Proofpoint, Inc, azienda leader nella cybersecurity e nella compliance, ha pubblicato una ricerca sul rapporto delle aziende italiane con la cybersecurity, con un focus specifico sui dipendenti, commissionando un’indagine che ha coinvolto 138 CISO in tutta Italia.
Realizzata in collaborazione con la community Facciamo sistema – Cybersecurity, la ricerca mette in luce come il 52% delle aziende italiane abbia subito almeno un attacco informatico nel 2019, nella maggioranza dei casi (41%) ha segnalato addirittura più incidenti. Inoltre, l’85% dei CISO ritiene che i dipendenti possano rendere l’azienda più vulnerabile a un attacco informatico.
“Il panorama delle minacce informatiche in Italia è in rapida evoluzione, con i cybercriminali che prendono di mira sempre più le persone e non le infrastrutture. Dalle minacce basate sulla posta elettronica, come gli attacchi BEC (Business Email Compromise), alla compromissione degli account cloud e ai gravi attacchi ransomware, i cybercriminali sono consapevoli che i dipendenti possono essere facilmente ingannati. Utilizzando gli attacchi di social engineering, gli aggressori possono rubare credenziali, dati sensibili e trasferire fondi in modo fraudolento. I dipendenti, di ogni livello e funzione, possono mettere a rischio l’azienda in numerosi modi, dall’utilizzo di password deboli alla condivisione di credenziali, fino all’apertura di link pericolosi e al download di applicazioni non autorizzate.
Per affrontare questo problema, le organizzazioni devono considerare la frequenza con cui vengono colpite, i rischi che questi attacchi comportano, il loro livello di preparazione e, soprattutto, la loro forza lavoro. La formazione dei dipendenti e la consapevolezza della sicurezza fanno spesso la differenza tra un tentativo di attacco e il suo successo.
Metodologia
Lo studio, condotto dalla community Facciamo sistema – Cybersecurity per conto di Proofpoint tra maggio e giugno 2020, ha intervistato 138 CSO/CISO di diversi settori industriali in Italia. Ha esplorato tre aree principali:
– Frequenza degli attacchi informatici
– Preparazione dei dipendenti e dell’organizzazione
– Sfide per l’implementazione di strategie informatiche
La ricerca ha rilevato che la necessità di proteggere le persone da minacce imminenti non è mai stata così elevata: più della metà delle organizzazioni italiane hanno subito almeno un attacco informatico l’anno scorso e un’elevata percentuale anche attacchi multipli. Dal buy-in a livello di consiglio di amministrazione, al potenziamento della formazione sulla consapevolezza della sicurezza IT, le aziende in Italia stanno adottando misure per potenziare le loro difese informatiche.
Italia: un panorama di minacce in evoluzione
Non c’è dubbio che le aziende a livello globale si trovino ad affrontare un panorama di minacce in rapida evoluzione, e l’Italia non fa eccezione. La nostra indagine ha rivelato che il 52% delle organizzazioni italiane ha subito almeno un attacco informatico nel 2019, e la maggior parte (41%) ha segnalato molteplici incidenti.
Il phishing è stata la minaccia più rilevante nel 2019 (39%), seguito da Business Email Compromise (28%), minacce interne e credential phishing, entrambi al 22%. Anche la pandemia COVID-19 ha avuto i suoi effetti, con il 26% delle imprese italiane che ha indicato un aumento del numero di attacchi connessi alla pandemia.
I cyber attacchi possono avere un impatto finanziario e sulla reputazione devastante per le imprese. I CISO italiani hanno evidenziato che il danno al marchio/reputazione è la principale conseguenza legata alla sicurezza informatica (87%), seguita dalla perdita di dati (80%) e da interruzioni aziendali/operative (74%).
I criminali informatici modificano costantemente i loro metodi e approfittano di eventi globali e regionali per lanciare i loro attacchi. Ad esempio, il 26% dei CISO italiani ha dichiarato di aver assistito a un aumento di attività fraudolente legate alla pandemia di Covid-19, mentre il 37% ha affermato di aver rivisto i propri processi di cybersecurity per essere più preparati a contrastarli.
Indipendentemente dal vettore o dall’argomento dell’attacco, un elemento rimane invariato: le minacce informatiche prendono sempre più di mira le persone e non le infrastrutture, e purtroppo è sufficiente un clic da parte di un dipendente perché un attacco abbia successo.
A tal proposito, la nostra ricerca ha rivelato che l’85% dei CISO ritiene che i dipendenti possano rendere la loro azienda più vulnerabile a un attacco. Alla domanda su come i dipendenti abbiano messo a rischio l’azienda, i CISO italiani hanno risposto: cadendo nella trappola di email di phishing (67%), cliccando su link pericolosi (63%), gestendo in modo inadeguato le informazioni sensibili (46%).
Attenzione puntata sul livello di preparazione
Una difesa informatica robusta richiede una combinazione di persone e tecnologia per avere successo.
Quando si tratta di consapevolezza e formazione sulla sicurezza, la nostra ricerca mostra un forte scollamento tra visione e realtà. Il 50% dei CISO definisce la mancanza di consapevolezza sulle minacce informatiche la loro sfida più grande, mentre il 39% ritiene che la propria azienda dovrebbe investire di più nella formazione e nella sensibilizzazione. Alla domanda sulle maggiori sfide affrontate nell’implementazione di tecnologia di sicurezza, il 57% dei CISO ha evidenziato un significativo divario nelle competenze e nella formazione in materia di sicurezza.
Sebbene i CISO siano evidentemente consapevoli dell’importanza fondamentale della formazione e della consapevolezza (l’83% è fortemente d’accordo, il 93% è d’accordo in totale), il 65% ha ammesso di formare i propri dipendenti una volta all’anno o meno, con uno sbalorditivo 17% che non li ha mai formati. Il risultato probabilmente più grave è rappresentato dal fatto che solo il 17% delle imprese ha un programma di formazione continua.
I CISO sono consapevoli del fatto che investire in una solida difesa informatica sia fondamentale, poiché il 76% vorrebbe avere un budget più elevato per la sicurezza. In generale, i CISO sono abbastanza fiduciosi (63%) che la loro azienda sia ben preparata ad affrontare gli attacchi informatici, e il 59% si fida effettivamente delle soluzioni e delle tecnologie di cui dispone.
Se le tecnologie sono viste dai CISO con fiducia, un potenziale problema sembra emergere all’interno dell’organizzazione, con un netto scollamento tra il consiglio di amministrazione e il personale IT. Mentre il 52% dei CISO è d’accordo sul fatto che la sicurezza informatica rappresenti una priorità per il board, solo il 21% ritiene che i suoi membri siano ben preparati e comprendano le tecnologie necessarie per implementare le giuste difese. D’altra parte, il 54% dei CISO si fida del proprio team di sicurezza e della capacità di affrontarne i temi.
Dal punto di vista organizzativo, i CISO sono sempre più coinvolti a livello di consiglio di amministrazione e contribuiscono a discutere il budget della cybersecurity nel 56% delle organizzazioni italiane, con l’esecutivo coinvolto nel 55% dei casi.
Conclusioni
Indipendentemente dagli strumenti di attacco – email, applicazioni cloud, web, social media – gli autori delle minacce continuano a sfruttare il fattore umano.
Che si tratti di impostori che si spacciano per colleghi fidati, o di email di phishing sempre più convincenti e link pericolosi, sono gli utenti a essere in prima linea nella battaglia contro i criminali informatici.
Ecco perché una strategia focalizzata sulle persone è un must per le aziende. Si parte dall’identificazione degli utenti più vulnerabili e dalla garanzia che siano dotati delle conoscenze e degli strumenti per difendere la vostra azienda.
Affinché questa strategia sia efficace, è necessario combinare soluzioni tecnologiche di protezione sempre più avanzate, sistemi di controllo e maggiore visibilità a un programma di formazione che deve essere regolare, completo e adattabile e coprire una serie di argomenti – dalle motivazioni e dai meccanismi delle minacce, a come semplici comportamenti come il riutilizzo delle password e l’inadeguata protezione dei dati possono aumentare le probabilità di successo di un attacco”.