Secondo l’85% dei CISO i dipendenti rendono la loro azienda vulnerabile agli attacchi informatici
Proofpoint, Inc., (NASDAQ: PFPT) azienda leader nella cybersecurity e nella compliance, ha pubblicato oggi una ricerca dedicata al rapporto delle aziende italiane con la cybersecurity, con un focus specifico sui dipendenti. Realizzata in collaborazione con la community Facciamo sistema – Cybersecurity, la ricerca ha messo in luce come il 52% delle aziende italiane abbia subito almeno un attacco informatico nel 2019, nella maggioranza dei casi (41%) ha segnalato addirittura più incidenti. Inoltre, l’85% dei CISO ritiene che i dipendenti possano rendere la propria azienda più vulnerabile a un attacco informatico.
Alla domanda su come i dipendenti possano rendere la loro azienda vulnerabile agli attacchi informatici, i CISO italiani hanno indicato la possibilità di farsi colpire delle email di phishing (67%) e di cliccare su link dannosi (63%), seguiti da una cattiva gestione delle informazioni sensibili (46%). Non solo: lo studio mostra anche un forte scollamento tra visione e realtà, quando si parla di consapevolezza e formazione in materia di cybersecurity.
Il 50% dei CISO ritiene che la mancanza di consapevolezza sulle minacce informatiche sia la sfida più grande, mentre il 39% ritiene che la propria azienda debba investire di più nella formazione e nella sensibilizzazione. Alla domanda sulle maggiori sfide della loro organizzazione nell’implementazione della tecnologia di sicurezza informatica, il 57% dei CISO ha evidenziato una mancanza significativa nelle competenze e nella formazione in tema di cybsercurity.
Sebbene siano assolutamente al corrente dell’importanza fondamentale della formazione e della consapevolezza (il 93% è d’accordo, l’83% addirittura “fortemente” d’accordo), il 65% dei CISO italiani ha ammesso di formare i propri dipendenti sulla consapevolezza della sicurezza informatica una volta all’anno o meno, addirittura il 17% dichiara non effettuare mai alcuna formazione. E quello che è probabilmente peggio, solo il 17% delle imprese ha un programma di formazione continua.
Il phishing è stato la tipologia di attacco più spesso registrato dalle aziende italiane nel 2019 (39%), seguito da Business Email Compromise (28%), Insider threat e credential phishing, entrambi al 22%. Anche l’emergenza COVID-19 ha avuto i suoi effetti, con il 26% delle imprese italiane che hanno ammesso un aumento del numero di attacchi legati alla pandemia.
Gli attacchi informatici possono avere un impatto finanziario e d’immagine devastante e di vasta portata per le imprese. I CISO italiani hanno evidenziato che i danni al brand e alla reputazione sono il principale pericolo legato alla cybersecurity (87%), seguiti dalla perdita di dati (80%) e dalle interruzioni dell’attività e dell’operatività (74%).
I CISO sono ben consapevoli del fatto che investire in una solida difesa informatica è fondamentale, poiché il 76% di loro vorrebbe avere un budget più elevato per la sicurezza informatica. In generale, i CISO sono abbastanza fiduciosi (63%) che la loro azienda sia ben preparata ad affrontare gli attacchi informatici, e il 59% di loro si fida effettivamente delle soluzioni e delle tecnologie di cui dispone.
Se le tecnologie sono viste dai CISO con fiducia, la situazione appare potenzialmente più problematica all’interno dell’organizzazione, con un netto scollamento tra il consiglio di amministrazione e il personale IT. Mentre il 52% dei CISO è d’accordo sul fatto che la sicurezza informatica rappresenti una priorità per il consiglio d’amministrazione, solo il 21% ritiene che i suoi membri siano ben preparati e in grado di comprendere le tecnologie necessarie per implementare le difese adatte in tema di cybersecurity. Al contrario, il 54% dei CISO si fida del proprio staff di sicurezza e della sua capacità di affrontare i temi della sicurezza informatica.
Dal punto di vista organizzativo, i CISO sono sempre più coinvolti a livello di consiglio di amministrazione, e contribuiscono a discutere il budget della sicurezza informatica nel 56% delle organizzazioni italiane, con il consiglio esecutivo coinvolto nel 55% dei casi.
“Una strategia incentrata sulle persone è necessaria per le organizzazioni in Italia, poiché i cybercriminali si rivolgono sempre più ai singoli individui piuttosto che alle infrastrutture, con l’obiettivo di rubare credenziali, assumere il controllo di dati sensibili e trasferire fondi in modo fraudolento”, spiega Luca Maiocchi, Country Manager di Proofpoint per l’Italia. “Con la nostra ricerca che rivela come l’85% dei CISO italiani ritenga che i propri dipendenti rendano il proprio business vulnerabile agli attacchi informatici, formazione e consapevolezza sulla cybersecurity, a fianco delle soluzioni tecnologiche più avanzate che fanno parte dell’offerta Proofpoint, si confermano priorità fondamentali in grado fare la differenza tra un attacco tentato e uno effettivamente subito. Insieme alle tecnologie e ai processi, un programma strutturato di formazione dovrebbe essere al centro della difesa informatica di ogni organizzazione”.