I CISO (Chief Information Security Officer) nelle aziende di tutto il mondo hanno spesso le mani legate quando si tratta di combattere il cybercrime.
Non hanno sufficiente influenza all’interno dei consigli di amministrazione e trovano difficoltà nel giustificare i budget di cui avrebbero bisogno, rendendo quindi le aziende inevitabilmente più vulnerabili ai rischi. Questa è la situazione che emerge dai risultati del nuovo report di Kaspersky Lab (1): per l’86% dei CISO in generale – e per l’80% di quelli europei – le violazioni sul fronte della cybersicurezza sono inevitabili; la prima preoccupazione è quella legata ai gruppi di cybercriminali che agiscono con motivazioni economiche.
Dal cloud agli insider maligni: nelle aziende moderne le possibilità di attacco sono in aumento
L’aumento delle cyberminacce, insieme alla digital transformation che molte aziende stanno affrontando oggi, sta rendendo il ruolo dei CISO (le figure che all’interno di un’azienda hanno il compito di definire le corrette strategie per proteggere al meglio gli asset aziendali e mitigare i rischi informatici) sempre più importante nelle aziende di oggi. Il report di Kaspersky Lab mostra che oggi la pressione nei confronti dei CISO è ai massimi livelli: il 57% di quelli intervistati considera le infrastrutture complesse, che coinvolgono cloud e mobilità, come una sfida importante, mentre il 50% mostra di essere preoccupato per il continuo aumento dei cyberattacchi.
I CISO ritengono che i gruppi di cybercriminali che agiscono con motivazioni di carattere economico (per il 40% degli intervistati) e gli attacchi malevoli da parte di possibili insider (per il 29%) costituiscano il rischio maggiore per le loro imprese, e che queste stesse minacce siano estremamente difficili da prevenire: o perché sferrate da cybercriminali “professionisti” o perché appoggiate da dipendenti che dovrebbero invece stare dalla giusta parte.
Le sfide per giustificare i budget obbligano i CISO a competere con altri dipartimenti
I budget destinati alla cybersicurezza stanno aumentando. Poco più della metà dei CISO coinvolti dal sondaggio (il 56% a livello globale, il 49% per quanto riguarda l’Europa) si aspetta un aumento dei loro budget in futuro, mentre il 38% degli intervistati (il 49% per l’Europa) prevede che quei budget resteranno invariati.
Nonostante queste opinioni, i CISO si scontrano con le sfide che riguardano proprio i budget, dal momento che è quasi impossibile per loro mostrare un chiaro ritorno di investimento (ROI) o garantire una protezione al 100% dai cyberattacchi.
Ad esempio, più di un terzo (il 36%) dei CISO sentiti afferma di non potersi assicurare i budget necessari per la sicurezza IT, non potendo garantire del tutto che una violazione non avverrà. Inoltre, quando gli stanziamenti legati alla sicurezza vengono considerati da un’azienda come parte della spesa IT complessiva, i CISO si ritrovano a competere con altri reparti per quanto riguarda gli investimenti. La seconda ragione principale per la quale non si riesce a stanziare del budget dedicato è legata proprio al fatto che la sicurezza a volte rientra nella spesa IT complessiva. Un terzo dei CISO coinvolti (il 33%) ha dichiarato che il budget che potrebbero ottenere è considerato, invece, prioritario per progetti digital, cloud o altri piani IT, in grado di mostrare un ritorno di investimento più chiaro.
Con l’avanzamento della Digital Transformation, i CISO hanno bisogno di maggior ascolto all’interno dei consigli di amministrazione
I cyberattacchi possono condurre a gravi conseguenze per le aziende: più di un quarto degli intervistati coinvolti dallo studio di Kaspersky Lab indica, tra gli effetti più dannosi derivabili dai cyberattacchi, i danni reputazionali (28% in generale, il 27% per i CISO europei) e finanziari (25%).
Tuttavia, nonostante il possibile impatto negativo di un cyberattacco, solo il 26% dei leader della sicurezza IT intervistati dichiara di fare parte dei consigli di amministrazione delle proprie aziende. Tra quelli che non ricoprono questo ruolo, uno su quattro (25%) crede di doverlo avere. Questo dato per i CISO europei sale al 41%.
La maggior parte dei responsabili della sicurezza IT (58% in generale, 64% per gli intervistati europei) ritengono oggi di essere adeguatamente coinvolti nei processi decisionali della propria azienda. La Digital Transformation sta diventando un fattore chiave per la direzione strategica delle grandi aziende, anche la cybersicurezza dovrebbe essere considerata come tale. È necessario che il ruolo ricoperto dai CISO si evolva per riflettere questi cambiamenti, dando loro la capacità di influenzare le decisioni.
Morten Lehn, General Manager Italy di Kaspersky Lab ha dichiarato: “Storicamente, i budget dedicati alla cybersecurity sono stati percepiti come una spesa IT con priorità bassa, ma oggi non è più così. Le possibilità di attacco rivolte alle aziende moderne stanno aumentando, così come la frequenza o l’impatto delle cyberminacce e il costo degli incidenti informatici. Il risultato è che sempre più dirigenti stanno ora trattano la questione della sicurezza IT come un investimento. Oggi i rischi di cybersicurezza sono in cima alla lista delle priorità per CEO, CFO e Risk Officer. In effetti, stanziare del budget per la sicurezza informatica non è solo un modo per prevenire le violazioni e i rischi disastrosi che possono associarsi ad essi, è anche un metodo per proteggere la continuità delle operazioni aziendali, nonché gli investimenti principali di un’azienda”.