Cybersecurity, il ruolo chiave del CISO tra rischi crescenti e responsabilità

La cybersecurity non è più una variabile tecnica da gestire alla periferia dell’organizzazione: un assunto che trova sostanza nei dati contenuti nel rapporto “Vice of the CISO 2025” di Proofpoint, importante società americana attiva nel campo della sicurezza digitale per il mondo aziendale. Il rischio informatico, questa la doppia tendenza che emerge dallo studio, è ormai percepito come strutturale e destinato a incidere direttamente sulla continuità operativa e sul valore dell’impresa mentre il ruolo del Chief Information Security Officer è sempre più centrale nella strategia aziendale e (allo stesso tempo) esposta a una pressione crescente, sia sul piano operativo sia su quello personale.

La fotografia che riguarda i CISO italiani riflette una situazione di forte preoccupazione: l’84% di queste figure ritiene infatti probabile un attacco nei prossimi dodici mesi e la metà ammette che la propria organizzazione non è adeguatamente preparata a fronteggiarlo. La sensazione di vulnerabilità è quindi diffusa e riguarda non solo la sofisticazione delle minacce, ma anche la capacità delle imprese di assorbirne l’impatto. Non sorprende, in questo contesto, apprendere che più di tre quarti dei responsabili nazionali abbiano già sperimentato una perdita di dati significativa nel corso dell’ultimo anno, un dato che ribadisce come l’incidente cyber non sia più un’eccezione o un evento episodico, ma un’eventualità concreta con cui il management aziendale (Consigli di amministrazione naturalmente inclusi) deve convivere, facendo doverosa attenzione alle conseguenze economiche e reputazionali di questi incidenti.

La sicurezza informatica, insomma, si consolida come tema di governance, chiamando in causa decisioni che riguardano investimenti, priorità e responsabilità a livello di vertice.

Nonostante l’evoluzione delle minacce e degli strumenti di difesa sia in costante progresso, il punto più vulnerabile dell’organizzazione continua a rimanere il fattore umano. Il 68% dei CISO italiani indica, per esempio, le persone come il principale rischio per la sicurezza dell’organizzazione, pur evidenziando (nel 64% dei casi) come la maggioranza dei dipendenti conosca le buone pratiche di cybersecurity. Un paradosso evidente, che mette in luce il divario tra consapevolezza (dichiarata) e comportamenti reali. La maggior parte delle perdite di dati registrate nell’ultimo anno, secondo il rapporto di ProofPoint, è infatti riconducibile a errori, disattenzioni o azioni improprie degli insider; in particolare, il 94% dei responsabili di cybersecurity che ha subito incidenti attribuisce almeno una parte della responsabilità ai dipendenti in uscita, segnalando una criticità nella gestione delle fasi di transizione e delle informazioni sensibili. Il quadro che emerge riflette dunque la percezione di un livello di difesa insufficiente, che persiste anche in presenza di strumenti di protezione largamente diffusi. E a prescindere dalla natura della minaccia - dalle frodi via e-mail ai ben noti ransomware – il risultato finale tende a essere lo stesso, ovvero sia la perdita di dati. Non deve più di tanto stupire, in tal senso, il fatto che una quota significativa di CISO ammetta di prendere in considerazione il pagamento di un riscatto come estrema misura di contenimento del danno, a conferma dell’elevata posta in gioco.

In questo scenario già complesso, si inserisce la pervasiva diffusione dell’AI generativa, che rappresenta da un lato una priorità strategica da cogliere e dall’altra una grande fonte di preoccupazione. Il 69% dei CISO italiani ritiene infatti fondamentale abilitarne un utilizzo sicuro, ma il 60% teme la perdita di dati dei clienti attraverso piattaforme pubbliche, chatbot e strumenti di collaborazione basati su modelli LLM direttamente accessibili ai dipendenti.