La cybersecurity in Italia è un tema sempre più sentito in linea teorica, ma all’atto pratico non trova ancora adeguato riscontro nelle corrette misure di prevenzione da implementare, soprattutto per contrastare il comportamento spesso incauto dei dipendenti.
La conferma arriva da uno studio realizzato da Facciamo Sistema-Cybersecurity e supportato da Proofpoint, su 138 Ciso di realtà appartenenti a diversi settori merceologici. Il 52% ha ammesso di aver subito un incidente informatico nel 2019 e il 41% ne ha registrato diversi. L’85% degli interpellati ha poi lamentato come i colleghi delle varie linee di business possano rendere più vulnerabile l’azienda: “Il panorama non è incoraggiante”, ha puntualizzato Luca Maiocchi, country manager di Proofpoint Italia, “e l’emergenza seguita alla pandemia Covid-19 ha fornito nuovi spunti agli attaccanti. Basti pensare a quanto accaduto in maggio, quando è stata coinvolta la Federazione dell’Ordine dei Farmacisti Italiani in un’azione che invitava a scarica l’app Immuni, per poi diffondere un ransomware”. La ricerca ha evidenziato un aumento degli attacchi nel 26% delle realtà analizzate.
In generale, emerge una scarsa cultura del rischio fra i dipendenti e un insufficiente supporto aziendale al miglioramento della situazione: “L’e-mail resta il vettore principale di un attacco”, ha rilevato Maiocchi. “tant’è vero che il 67% dei nostri intervistati si ritiene vulnerabile al phishing e il 63% al click su link dannosi. Si tende a rispondere in modo reattivo, piuttosto che preventivo, senza pensare ai costi e agli effetti di questa impostazione”.
Luca Maiocchi, country manager di Proofpoint Italia
I Ciso lamentano, nel 50% dei casi, mancanza di consapevolezza interna e nel 39% scarsi investimenti in formazione. Quest’ultima è del tutto assente nel 17% del campione analizzato e nel 65% dei casi avviene solo una volta all’anno. Peraltro, se il 52% è d'accordo sul fatto che la sicurezza informatica rappresenti una priorità per il consiglio d’amministrazione, solo il 21% ritiene che i suoi membri siano ben preparati. Viene da chiedersi quanto i responsabili della sicurezza informatica siano in grado di sfruttare il fatto di essere sempre più coinvolti nei consigli d’amministrazione e concorrano, nel 56% dei casi analizzati, a determinare il budget di loro competenza.
Un esempio virtuoso in tal senso arriva da Aeroporto di Bologna, che ha saputo sfruttare la disponibilità di fondi europei, non troppo difficili da ottenere, per avviare un programma di cybersecurity awareness: “Siamo partiti con il coinvolgimento dei massimi livelli aziendali in quindici minuti di colloqui sul tema”, ha spiegato Luigi Ricchi, manager del team It e Innovazione. “L’aumento di consapevolezza a questi livelli ha consentito di far partire un progetto di formazione, durato ventiquattro mesi ed erogato attraverso la piattaforma Proofpoint, mirato a far crescere nei dipendenti la capacità di riconoscere un attacco soprattutto via e-mail. Al termine, i partecipanti hanno sostenuto un esame e ottenuto una certificazione. Aumentano il livello di maturità aziendale complessiva su questo fronte”.