Ci sono tanti mestieri difficili, ma in ambito informatico forse uno dei più complessi è quello del CISO, Chief Information Security Officer. Il suo compito principale, la sua missione, è garantire all’azienda e agli stakeholder la sicurezza dei dati aziendali, oggi più che mai diventati un asset strategico. Sulle pagine di Edge9 abbiamo spesso riportato le considerazioni delle più importanti aziende che operano nel campo della cybersecurity e, più in generale, della gestione dei dati. La conclusione a cui giungono gli attori di questo settore è pressoché unanime: le minacce non possono essere completamente prevenute e bisogna rassegnarsi al fatto che le aziende verranno attaccate. La conseguenza di questa affermazione è che, per quanto sia necessario innalzare le difese, le aziende devono saper reagire agli attacchi, per intercettarli nel più breve tempo possibile, minimizzando le conseguenze e, in ogni caso, essere pronte a implementare un piano di emergenza per ripristinare velocemente le risorse compromesse.
CISO, un mestiere complesso
All’apice dell’organizzazione che sovraintende a tutte queste attività c’è, appunto, il CISO. Di nome e di fatto, aggiungiamo noi, perché anche quando la carica non è esplicitata in azienda, alla fine ci sarà sempre qualcuno, in alcuni casi direttamente l’imprenditore, soprattutto in molte piccole realtà italiane, che dovrà intervenire, per quanto supportato da consulenti esterni. È in questo contesto che Proofpoint, azienda leader nella cybersecurity e specializzata nella protezione dell’email, ancora oggi vettore principale di attacco, ha presentato il report Voice of the CISO 2023, che analizza i risultati di un’analisi globale svolta su oltre 1.600 CISO di aziende di medie e grandi dimensioni, 100 per ognuno dei 16 Paesi oggetto dell’analisi, Italia inclusa. Per presentare il report, Proofpoint ha organizzato un evento per la stampa, a cui Edge9 ha partecipato, in cui erano presenti Luca Maiocchi, Country Manager di Proofpoint, e Matteo Colella, CISO di Siram Veolia.
Il report conferma quanto sia difficile il lavoro di un CISO: il 68% degli intervistati a livello globale e il 49% di quelli italiani è convinto che ci sia un rischio concreto di un attacco. Questo dato era diminuito nel 2022, probabilmente per un falso senso di tranquillità mentre si usciva dalla pandemia, ed è sui livelli dell’anno precedente. Quello che fa ancora più clamore è la percentuale di CISO che si ritiene impreparato a gestire un attacco mirato: 61% a livello globale e 52% in Italia. Il fatto che quasi la metà dei responsabili di sicurezza italiani si senta preparato non deve però far dormire sonni tranquilli: è forse più confortante non sentirsi preparati, perché a quel punto si metteranno in atto delle azioni per esserlo in pratica, mentre è forte il rischio che chi si ritiene pronto non lo sia in realtà e che quindi subirà delle conseguenze ancora peggiori quando, quasi irrimediabilmente, l’attacco arriverà.
Il pericolo di perdere dati sensibili
Un dato di difficile lettura che si evince dal report è che l’83% dei CISO italiani afferma che i dipendenti che hanno lasciato l’organizzazione hanno contribuito, in qualche modo, alla perdita di dati sensibili. Ci sentiamo di leggerlo al contrario, ossia che quando è effettivamente avvenuta una perdita di dati, in molti casi degli ex dipendenti possono aver contribuito. Pensare che la stragrande maggioranza dei dipendenti che lasciano un’azienda si porti via dei dati sensibili, e non parliamo del commerciale che si porta in dote la lista dei clienti, disegna un quadro fin troppo fosco dell’ambiente lavorativo italiano.
Proseguendo nell’analisi del report, c’è un altro dato potenzialmente contraddittorio, che però dice molto su quanto sia complesso gestire la sicurezza dei dati in azienda: il 54% delle aziende ha subito la perdita di dati sensibili negli ultimi 12 mesi, ma il 53% dei responsabili ritiene di avere una protezione dei dati adeguata. Il primo dato sembra corroborare la nostra visione sull’impatto degli ex dipendenti, mentre l’incrocio dei due dati disegna uno scenario in cui la percezione della realtà e quello che accade spesso divergono.
Il ruolo dei dipendenti nel prevenire le minacce
Il report comunque conferma che i CISO, e le aziende in generale, vivono sotto il rischio di costanti attacchi, che le contromisure esistono, ma non si può pensare di prevenire tutte le minacce. Si deve essere preparati al fatto che alcuni attacchi possono andare a buon fine e quindi è indispensabile poter reagire velocemente quando questo avviene. C’è poi un’ulteriore conferma che tutti i dipendenti, i collaboratori e, in generale, gli stakeholder sono coinvolti attivamente nella prevenzione e nella gestione degli attacchi, ribadendo la necessità di formare e coinvolgere in modo costruttivo tutti gli attori coinvolti.
“Molti CISO non provano più quel senso di fiducia che forse hanno sperimentato per un breve periodo, quando erano ottimisti dopo aver sconfitto il caos scatenato dalla pandemia. Tornati al ‘business as usual’, sono meno sicuri delle capacità della propria azienda di difendersi dai rischi IT,” dichiara Andrew Rose, Resident CISO EMEA di Proofpoint. “Il nostro report Voice of the CISO 2023 rivela che, tra le crescenti difficoltà legate alla protezione di personale e dati, i CISO sperimentano una forte pressione personale con aspettative più elevate, burnout e incertezza sulla propria responsabilità. Il miglioramento della relazione tra responsabili della sicurezza e membri dei consigli di amministrazione fa comunque ben sperare e questa partnership consentirà alle aziende di superare le nuove sfide che dovranno affrontare quest’anno e oltre”.
Il report completo è disponibile a questo indirizzo: https://www.proofpoint.com/it/resources/white-papers/voice-of-the-ciso-report