Cybersecurity aziendale: preoccupazione per il fattore umano
Il fattore umano rimane una delle preoccupazioni principali per la cybersecurity aziendale, secondo il 94% dei CISO italiani: in quasi due terzi delle organizzazioni che ammettono di aver subito un cyberattacco, la responsabilità è di dipendenti negligenti o malintenzionati. Lo evidenzia un report di Proofpoint, realizzato in collaborazione con The Cybersecurity Digital Club, community con l’obiettivo di condividere conoscenza ed esperienze sulla sicurezza informatica, dedicato al rapporto delle aziende italiane con la cybersecurity, focalizzata sulla protezione di persone e dati.
Scarsa attenzione alla sicurezza
Secondo i CISO, sono molti i modi in cui i dipendenti possono rendere più vulnerabile l’azienda, dalla tendenza a cliccare su links pericolosi (80%) all’ utilizzo in modo incontrollato di dispositivi USB (65%), scaricare allegati e files da fonti sconosciute (57%) e condividere informazioni personali con fonti esterne (57%).
Non c’è per forza dolo: in molti casi il rischio nasce da una scarsa attenzione generale alla sicurezza, con il 47% dei dipendenti che condivide le credenziali del proprio account e il 39% che permette l’utilizzo di dispositivi aziendali a familiari e amici. La scarsa attenzione alla sicurezza costringe le aziende a pagare un tributo importante: tra le organizzazioni che ammettono di aver subito un cyberattacco, in quasi due terzi dei casi la responsabilità è stata di insiders negligenti o criminali.
L’impatto registrato dalle organizzazioni colpite è stato significativo, andando anche oltre la semplice perdita finanziaria, comunque riportata dal 38% dei CISO. Una percentuale ancora più alta, il 50%, ha indicato il danno di reputazione come risultato di una violazione, mentre per il 25% vi è stata la perdita di dati critici per l’azienda.
Formazione e tecnologie dedicate
I CISO italiani stanno prendendo sul serio la questione del rischio legato alle persone, con la stragrande maggioranza che ha messo in atto protocolli per combattere le minacce derivanti dal loro comportamento. In particolare, iniziative mirate a identificare minacce basate sull’email vengono intraprese dalla quasi totalità delle aziende (96%). Altre misure adottate includono formazione sulla gestione delle password (88%) e sulle best practices di sicurezza (80%). Solo il 4% dei CISO ammette di non avere un programma di formazione continua sulla sicurezza informatica.
In termini di sicurezza complessiva, il 65% dei CISO ha adottato tecnologie dedicate per controllare e gestire le minacce interne, mentre il 33% ha predisposto un piano di risposta al cosiddetto insider risk. Sebbene questi dati siano ampiamente positivi, un terzo delle organizzazioni italiane rimane senza strumenti specifici per le minacce interne e un quinto senza alcuna forma di protocollo specifico.
Anche la visibilità e l’accesso alle informazioni sensibili sono fonte di preoccupazione. Sebbene sia certamente positivo che il 71% dei CISO dichiarino di compartimentare questo tipo di dati e di limitarne l’accesso a determinati dipendenti, le buone notizie finiscono qui. Meno della metà dei CISO (43%) monitora regolarmente l’accesso ai dati da parte degli utenti, mentre circa un quarto (24%) non ha una buona visibilità dei luoghi in cui vengono archiviati.
L’impatto di lavoro ibrido e piattaforme cloud sulla cybersecurity
La forte adozione del lavoro ibrido e il crescente utilizzo di piattaforme cloud, accelerato ulteriormente dall’impatto della pandemia nel corso degli ultimi due anni, ha peggiorato ulteriormente la situazione a livello di sicurezza, riducendo la visibilità dei CISO su chi accede ai dati e da dove, secondo il 22% degli intervistati.
Con il 90% degli attacchi informatici che richiede un’interazione umana per avere successo, sempre più spesso i cybecriminali puntano sulle persone per farsi aprire la porta dell’azienda, con un clic o un download incauto. I CISO italiani ne sono evidentemente consapevoli, identificando correttamente i rischi elevati per le persone e formando gli utenti sulle minacce più pericolose e prevalenti. Detto questo, la strada da percorrere è ancora lunga.
Nonostante l’aumento del rischio di perdita di dati, il report mostra che solo il 43% dei CISO italiani dichiara di disporre di un agent specifico di Data Loss Prevention (DLP). Il 14% addirittura ammette di non avere alcun tipo di protocollo o tecnologia preventiva dalla perdita di dati.
“I dati non si perdono da soli – evidenzia Emiliano Massa, Area Vice President della regione Southern Europe di Proofpoint – sono le persone a perderli. Vengono rubati da un aggressore esterno tramite credenziali compromesse, inoltrati a una terza parte non autorizzata da un utente disattento o rubati da un dipendente malintenzionato che spesso li passa a un concorrente. Sebbene i risultati della nostra indagine dimostrino che i CISO sono ben consapevoli di questo problema e stanno adottando misure per contrastarlo, oggi è più importante che mai difendere i dati aziendali, proteggendo le persone che li trattano regolarmente, con processi di formazione e misure tecniche adeguate“.
Metodologia
Lo studio, condotto dalla community Cybersecurity Digital Club – una community per fare sistema per conto di Proofpoint tra settembre e ottobre 2022, ha coinvolto 103 CISO di diversi settori industriali in Italia, esplorando aree quali il ruolo del fattore umano nella cybersecurity aziendale, le cause e l’impatto delle violazioni di sicurezza sulle organizzazioni, la visibilità aziendale su dati e dipendenti, e le iniziative di formazione intraprese dalle aziende a propria tutela.