Gli esperti di sicurezza informatica non solo sono figure molto ricercate, ma sono anche tra le più stressate in azienda. Per questo, secondo Gartner, entro il 2025 quasi la metà dei CISO cambierà lavoro, e il 25% di essi cercherà ruoli professionali completamente diversi. “I professionisti della sicurezza informatica stanno affrontando livelli di stress insostenibili“, commenta Deepti Gopal, analista di Gartner. “I CISO sono in difesa, e gli unici risultati possibili sono essere hackerati o non esserlo. L’impatto psicologico di questa pressione influisce direttamente sulla qualità delle decisioni e sulle prestazioni dei leader della sicurezza informatica e dei loro team”.

I fattori legati alla pressione del ruolo professionale, uniti alle enormi opportunità di mercato per i professionisti della sicurezza informatica, si traducono in alte probabilità di abbandono da parte dei talenti, che incidono sulla stabilità dei team di sicurezza e, in ultima analisi, dell’azienda.

Secondo una ricerca condotta da Gartner, i programmi di sicurezza informatica incentrati sulla conformità, il basso supporto da parte del management e la scarsa maturità a livello di settore sono tutti indicatori di un’organizzazione che non considera la gestione dei rischi per la sicurezza un fattore critico per il successo aziendale. Le aziende dove si verificano queste condizioni sono le più esposte all’abbandono da parte di CISO e professionisti della sicurezza informatica, che cercheranno altre aziende o altri ruoli dove il loro impatto è meglio compreso e apprezzato. Goal sottolinea che, pur essendo irrealistico eliminare lo stress, se la cultura aziendale le supporta “le persone possono gestire lavori incredibilmente impegnativi e stressanti”.

Il fattore umano rimane la causa principale degli incidenti di sicurezza

Gartner prevede che, entro il 2025, la mancanza di talenti o gli errori umani saranno responsabili di oltre la metà degli incidenti informatici significativi. Il numero di attacchi informatici e di ingegneria sociale contro le persone sta aumentando poiché gli attori delle minacce vedono sempre più gli esseri umani come il punto più vulnerabile di sfruttamento.

Un sondaggio Gartner condotto a maggio e giugno 2022 ha rivelato che, nei dodici mesi precedenti, il 69% dei dipendenti ha aggirato le linee guida sulla sicurezza informatica della propria organizzazione. Nel sondaggio, che ha coinvolto 1.310 dipendenti, il 74% degli intervistati ha affermato di essere disposto a ignorare le linee guida sulla sicurezza informatica se questo aiuta loro o il loro team a raggiungere un obiettivo aziendale.

“I CISO devono considerare sempre più il rischio interno quando sviluppano un programma di sicurezza informatica“, suggerisce Paul Furtado, analista di Gartner. “Gli strumenti di sicurezza informatica tradizionali hanno una visibilità limitata sulle minacce che provengono dall’interno“.

Per affrontare questa crescente minaccia, Gartner prevede che la metà delle aziende medio-grandi adotterà programmi formali per gestire il rischio interno entro il 2025, contro l’attuale 10%. Un programma di gestione del rischio interno mirato dovrebbe identificare in modo proattivo e predittivo i comportamenti che potrebbero comportare la potenziale esfiltrazione di beni aziendali o altre azioni dannose e fornire indicazioni correttive, piuttosto che punizioni.