Proofpoint, azienda leader nella cybersecurity e compliance, ha pubblicato il secondo report annuale “Cybersecurity: The 2023 Board Perspective”, che analizza la percezione dei consigli di amministrazione in merito a temi quali: il panorama delle minacce globali, le priorità di cybersecurity e le relazioni con i CISO.
Il report esamina le risposte di un’indagine globale condotta in modo indipendente su 659 membri dei consigli di amministrazione di aziende con 5.000 o più dipendenti di diversi settori di 12 Paesi: Stati Uniti, Canada, Regno Unito, Francia, Germania, Italia, Spagna, Australia, Singapore, Giappone, Brasile e Messico.
Le aree chiave analizzate riguardano: le minacce e i rischi informatici che i consigli di amministrazione devono affrontare; il loro livello di preparazione per mitigarle e l’allineamento con i CISO, anche sulla base delle opinioni dei CISO rilevate precedentemente da Proofpoint in occasione del report Voice of the CISO 2023.
I risultati rivelano che il 67% degli intervistati italiani (73% a livello globale) si sente a rischio di un attacco informatico materiale, un dato in aumento rispetto al 60% del 2022. Migliora invece il livello di preparazione, anche se il 39% dichiara di sentirsi impreparato ad affrontare un attacco mirato (53% a livello globale), in calo rispetto al 52% dello scorso anno.
Questi cambiamenti possono riflettere la costante volatilità del panorama delle minacce, tra cui le persistenti tensioni geopolitiche e l’aumento di attacchi ransomware e quelli rivolti alla supply chain. Con strumenti come ChatGPT sotto i riflettori negli ultimi mesi, è interessante notare come il 39% dei direttori dei consigli di amministrazione italiani intervistati consideri questa tecnologia emergente un rischio per la sicurezza della propria organizzazione. Si tratta di un dato significativo, ma decisamente inferiore a quanto registrato a livello globale, con una percentuale che ha raggiunto infatti il 59%.
Altri dati interessanti che emergono dal report: il 75% degli intervistati italiani considera la cybersecurity una priorità e il 71% ritiene che il proprio consiglio di amministrazione comprenda chiaramente i rischi informatici da affrontare, ma solo il 57% afferma di aver investito adeguatamente nella cybersecurity.
Dall’indagine è emerso che i membri dei consigli di amministrazione e i CISO italiani mostrano di avere preoccupazioni diverse riguardo alle principali minacce, mentre sono più allineati per quanto riguarda i rischi legati alle persone e alla protezione dei dati.
I principali risultati del report Proofpoint Cybersecurity: The 2023 Board Perspective per l’Italia evidenziano che:
- L’IA generativa è vista dai consigli di amministrazione con un misto di attenzione e fiducia: nonostante la forte presenza mediatica di strumenti come ChatGPT, solo il 39% dei dirigenti italiani intervistati considera questa tecnologia emergente come un rischio per la sicurezza della propria organizzazione.
- Il confronto anno su anno mostra la crescente preoccupazione dei membri dei consigli di amministrazione italiani per il rischio informatico: il 67% degli intervistati ritiene che la propria organizzazione sia a rischio di un attacco informatico materiale, rispetto al 60% registrato nel 2022.
- Consapevolezza e investimenti portano a una migliore preparazione: il 75% dei dirigenti dei consigli di amministrazione italiani concorda sul fatto che la cybersecurity sia una priorità, il 71% ritiene che il proprio consiglio comprenda chiaramente i rischi informatici da affrontare, il 57% afferma di aver investito adeguatamente nella cybersecurity e l’85% prevede che il proprio budget per la cybersecurity aumenterà nei prossimi 12 mesi. Questi sforzi stanno portando a una migliore preparazione in Italia, evidenziata dalla percezione degli intervistati, con solo il 39% che ritiene la propria organizzazione non ancora pronta a far fronte a un attacco nei prossimi 12 mesi, rispetto al 52% del 2022.
- Consigli di amministrazione e CISO mostrano preoccupazioni diverse riguardo alle principali minacce: per il board, malware (41%), ransomware (39%), compromissione degli account cloud (31%) e attacchi DDoS (31%) sono le principali preoccupazioni. I CISO italiani invece temono soprattutto attacchi alla supply chain (30%), frodi via e-mail/BEC (26%) e malware (25%).
- I dirigenti sono tendenzialmente allineati ai CISO per quanto riguarda i rischi legati a persone e protezione dei dati: circa la metà dei consigli di amministrazione (55%) e dei CISO italiani (48%) concordano sul fatto che l’errore umano sia il rischio maggiore ed entrambi – 59% e 53% – condividono livelli di fiducia simili nella capacità di protezione dei dati della propria organizzazione.
- Maggiore consapevolezza e cultura della sicurezza, budget più elevato e competenze di cybersecurity sono i primi tre obiettivi dei consigli di amministrazione: Il 45% dei dirigenti italiani ha dichiarato che la protezione IT della propria organizzazione trarrebbe beneficio da una maggiore consapevolezza e cultura della sicurezza tra i dipendenti, il 37% desidererebbe un budget più ampio per la cybersecurity, mentre il 35% competenze in materia di cybersecurity all’interno del consiglio di amministrazione.
- Le interazioni e le relazioni tra consiglio e CISO devono migliorare: il 55% dei dirigenti italiani afferma di interagire regolarmente con i responsabili della sicurezza, in calo rispetto al 67% dello scorso anno. Questo dato lascia quindi quasi la metà dei consigli di amministrazione senza solide relazioni con i CISO. Nonostante questo, consigli di amministrazione e CISO sono generalmente allineati quando interagiscono, con il 67% dei dirigenti che afferma di avere una visione d’insieme con il proprio CISO (con il 57% dei CISO che conferma la relazione).
- La responsabilità personale continua a preoccupare, sia i consigli di amministrazione che i CISO: il 63% dei dirigenti ha espresso preoccupazione per la responsabilità personale in seguito a un incidente di cybersecurity nella propria organizzazione, confermata anche dal 53% dei CISO.
“I risultati del nostro report mostrano come la preoccupazione di subire un attacco informatico sia ben presente anche a livello di consiglio di amministrazione, evidenziando come tradurre una maggiore consapevolezza in strategie di sicurezza efficaci che proteggano persone e dati resti ancora una sfida complessa da affrontare”, ha dichiarato Ryan Kalember, executive vice president of cybersecurity strategy di Proofpoint. “Lo sviluppo di relazioni ancora più forti tra consiglio di amministrazione e CISO sarà fondamentale nei prossimi mesi, in modo che entrambi possano avere conversazioni più significative, assicurandosi di investire nelle giuste priorità.”
“I membri dei consigli di amministrazione stanno prendendo sul serio le questioni di cybersecurity, dimostrando di non farsi illusioni sui rischi umani e sull’impatto che le minacce cyber hanno sul bilancio di un’azienda. Stanno facendo passi avanti nelle relazioni con i responsabili della sicurezza, comprendendo come una solida collaborazione sia più che mai fondamentale,” continua Ryan Kalember. “Ma non è il momento di compiacersi. I consigli di amministrazione devono continuare a investire in modo significativo per migliorare preparazione e resilienza aziendali. Questo significa impegnarsi per ottenere conversazioni ancora più profonde e produttive con i CISO, al fine di garantire che i dirigenti prendano decisioni informate e strategiche che portino a risultati positivi.”
Il report Cybersecurity: The 2023 Board Perspective è disponibile qui https://www.proofpoint.com/it/resources/white-papers/board-perspective-report