La cybersecurity è dominante nelle agende dei consigli di amministrazione, con il 77% dei membri che la ritiene una priorità assoluta e il 76% che ne discute almeno su base mensile. Di conseguenza, nel 75% dei casi i cda comprendono chiaramente i rischi sistemici che le loro organizzazioni devono affrontare e il 76% ha già effettuato investimenti adeguati nella sicurezza IT. Ma l’ottimismo potrebbe essere mal riposto: quasi due terzi (65% a livello globale, 60% in Italia) dei membri dei consigli di amministrazione ritengono infatti che la loro organizzazione sia a rischio di attacchi informatici materiali nei prossimi 12 mesi e la metà circa pensa che la propria azienda sia impreparata a far fronte a un attacco mirato. Si tratta del 47% a livello globale, che diventa il 52% in Italia.
A rivelare questi dati è il report “Cybersecurity: the 2022 board perspective” (SCARICA QUI IL REPORT COMPLETO), con cui Proofpoint e il consorzio di ricerca interdisciplinare Cybersecurity at Mit Sloan (Cams) hanno analizzato le percezioni di 600 membri dei cda di organizzazioni con 5.000 o più dipendenti di diversi settori in merito alle principali sfide e rischi di sicurezza. Nell’agosto 2022, sono stati intervistati 50 dirigenti in ogni mercato di 12 Paesi: Stati Uniti, Canada, Regno Unito, Francia, Germania, Italia, Spagna, Australia, Singapore, Giappone, Brasile e Messico. Tre le aree chiave analizzate: le minacce e i rischi informatici che i consigli di amministrazione devono affrontare; il loro livello di preparazione per combatterle e l’allineamento con i Ciso anche sulla base delle opinioni rilevate da Proofpoint all’interno del report Voice of the Ciso 2022.
Errore umano al centro solo per due terzi degli intervistati
Secondo la ricerca, solo due terzi degli intervistati considera l’errore umano come la principale vulnerabilità informatica, nonostante il World Economic Forum abbia indicato questo rischio all’origine del 95% di tutti gli incidenti di cybersecurity. Emerge inoltre che esiste uno scollamento tra consigli di amministrazione e Ciso nel valutare il rischio creato da criminali informatici sempre più sofisticati: il 65% dei membri del consiglio di amministrazione ritiene che la propria organizzazione sia a rischio di attacco informatico materiale nei prossimi 12 mesi, rispetto al 48% dei Ciso. In Italia la situazione è più o meno allineata, con il 60% dei membri del consiglio di amministrazione preoccupati, contro il 46% dei Ciso.
Sforzi ancora insufficienti
In merito alle minacce da affrontare, consigli di amministrazione e Ciso hanno preoccupazioni simili: in Italia, i membri dei consigli di amministrazione hanno identificato frodi via e-mail e compromissione della posta elettronica aziendale (Bec) come la loro principale preoccupazione (40%), seguita da DDoS (Distributed denial of service) (36%) e dalla compromissione degli account cloud (32%). I Ciso italiani hanno invece indicato minacce interne, smishing/vishing e frodi e-mail/Bec nell’ordine come loro principali preoccupazioni.
In questo quadro, nonostante il 75% degli intervistati ritenga che il proprio consiglio di amministrazione comprenda il rischio sistemico dell’organizzazione, il 76% di aver investito adeguatamente nella cybersecurity, il 75% che i propri dati siano adeguatamente protetti e il 76% di discutere di cybersecurity almeno mensilmente, questi sforzi appaiono insufficienti: il 47% ritiene ancora che la propria organizzazione non sia pronta a far fronte a un attacco informatico nei prossimi 12 mesi, con una percentuale che in Italia arriva addirittura al 52%.
Differenza di percezione dei rischi
Ma quali sono i rischi percepiti? La perdita di fatturato e l’interruzione delle attività sono in cima alla lista delle preoccupazioni dei consigli di amministrazione italiani (38%), in netto contrasto con la percezione dei Ciso, che si dichiarano più preoccupati dei danni alla reputazione e della perdita di clienti attuali. E che si possa contare su un’elevata consapevolezza dei dipendenti non è una garanzia: sebbene il 76% degli intervistati ritenga che i dipendenti comprendano appieno il loro ruolo nella protezione dell’organizzazione dalle minacce, il 67% dei membri del consiglio di amministrazione (il 62% in Italia) ritiene che l’errore umano sia ancora la più grande vulnerabilità informatica.
Dal report emerge inoltre che la relazione tra consigli di amministrazione e Ciso può essere migliorata. C’è una forte differenza di prospettiva tra loro, particolarmente acuta in Italia: qui il 74% dei membri del consiglio di amministrazione dichiara di confrontarsi in modo diretto con il proprio Ciso, ma solo il 34% dei Ciso la pensa allo stesso modo. A livello globale le percentuali sono del 69% contro il 51% a testimonianza di un rapporto sicuramente più paritario.
Infine, dalle rilevazioni si evidenzia una certa propensione dei consigli di amministrazione alla supervisione normativa: l’80% degli intervistati (il 78% in Italia) concorda sul fatto che le organizzazioni dovrebbero essere tenute a segnalare un attacco informatico rilevante alle autorità di regolamentazione entro un lasso di tempo ragionevole. Solo il 6% (8% in Italia) non è d’accordo.
Ancora molta strada da fare
“I membri dei consigli di amministrazione svolgono un ruolo fondamentale nella postura di sicurezza complessiva delle proprie aziende, come pure nella relativa cultura, e hanno una responsabilità fiduciaria e di supervisione. Per questo motivo, devono comprendere le minacce IT da affrontare e la strategia in atto per essere resilienti dal punto di vista informatico,” sottolinea Keri Pearlson, executive director di Cybersecurity del Mit Sloan (Cams). “I membri dei consigli di amministrazione devono cercare il modo di rendere i Ciso loro partner strategici. Con il rischio di cybersecurity in primo piano nelle agende dei consigli di amministrazione, un migliore allineamento delle priorità di Ciso e board in materia di sicurezza non potrà che migliorare la protezione e la resilienza delle loro organizzazioni.”
“È incoraggiante vedere come la cybersecurity sia finalmente al centro della discussione nei consigli di amministrazione. Tuttavia, il nostro report evidenzia come ci sia ancora molta strada da fare per comprendere il panorama delle minacce e preparare le loro organizzazioni ad affrontare i cyberattacchi,” sottolinea Lucia Milică, vicepresident e global resident Ciso di Proofpoint. “Uno dei modi in cui i consigli di amministrazione possono aumentare la preparazione è quello di operare a stretto contatto con i loro Ciso. La relazione tra board e Ciso è fondamentale per la protezione di persone e dati, con ogni parte che deve impegnarsi per una comunicazione più efficace e uno sforzo collaborativo al fine di garantire il successo dell’organizzazione.”