Ogni anno, il report Voice of The CISO di Proofpoint fa il punto sulle opinioni e le prospettive dei responsabili della sicurezza in prima linea. Il 2025 rappresenta una svolta per i CISO (Chief Information Security Officer) che affrontano un panorama caratterizzato da minacce informatiche persistenti, ambienti di dati complessi, tecnologie emergenti come l’IA generativa e crescenti pressioni sul piano personale e professionale.
Sulla base di un’indagine globale condotta tra 1.600 CISO in 16 Paesi, questo report offre uno sguardo sulle sfide e le priorità dei CISO, nonché sull’evoluzione del loro ruolo. Di seguito, sono delineate le conclusioni più interessanti relativamente a sette temi fondamentali.
1. Tra fiducia e preoccupazioni
Sebbene il 67% dei CISO ritenga di avere una cultura della sicurezza informatica solida, ben il 76% ritiene che la propria azienda rischi di subire un grave attacco informatico nei prossimi 12 mesi, in aumento rispetto al 70% nel 2024. Questo paradosso riflette un’opinione crescente: le violazioni sono sempre più considerate come inevitabili piuttosto che evitabili.
Questa crescente preoccupazione non è priva di fondamento. Due terzi (66%) dei CISO hanno riportato una grave perdita di informazioni sensibili lo scorso anno, in forte aumento rispetto al 46% nel 2024. Nonostante gli investimenti nel rafforzamento della sicurezza e nella sensibilizzazione, più della metà (58%) dei CISO si sente ancora impreparato in caso di attacco informatico nel 2025.
2. Le minacce informatiche arrivano da tutte le direzioni
A fronte di una tale varietà di minacce, i CISO hanno opinioni contrastanti su quale sia la principale minaccia informatica. La frode via email e le minacce interne sono al primo posto (37%), seguiti da ransomware (36%), takeover degli account cloud (34%) e attacchi alla supply chain (33%).
Il denominatore comune di tutte queste minacce? La perdita di dati. Indipendentemente dal vettore d’attacco, le informazioni sensibili rimangono il premio finale per i criminali informatici. Non sorprende che due terzi (66%) dei CISO ammetta che la propria azienda sarebbe propensa a pagare un riscatto per ripristinare i sistemi o impedire la divulgazione di dati da parte di un criminale informatico.
3. La proliferazione dei dati supera i controlli di sicurezza
Non assistiamo tanto a un aumento del volume dei dati quanto piuttosto a una vera e propria esplosione degli stessi nei cloud, nei dispositivi e negli strumenti di IA generativa. Questa capillare distribuzione dei dati rende la loro classificazione, governance e protezione più difficile che mai. Mentre il 98% dei CISO afferma di disporre di un programma di prevenzione della perdita dei dati (DLP), solo il 6% dispone di una risorsa dedicata per gestirla.
I risultati lo dimostrano: Il 66% dei CISO coinvolti ha subito una grave perdita di dati negli ultimi 12 mesi. In particolare, le principali cause sono di origine umana che si tratti di utenti interni negligenti, compromessi o malintenzionati. Come afferma Phil Ross, CISO di Air New Zealand, “Le perdite di dati non avvengono per magia. Sono sempre innescate dalle persone”.
4. Il problema umano persiste
I collaboratori sono la più grande risorsa di un’azienda ma anche la sua vulnerabilità informatica più grande. Il 66% dei CISO concorda sul fatto che il rischio umano sia la principale minaccia informatica che la loro azienda deve affrontare, anche se il 68% ritiene che i collaboratori comprendano il proprio ruolo nella protezione dei dati.
Nonostante ciò, molte aziende non dispongono di protezioni incentrate sulle persone adeguate. La formazione sulla sicurezza dei collaboratori occupa una posizione bassa nella lista delle tecnologie implementate, e solo il 70% delle aziende dispone di un programma dedicato di gestione dei rischi interni. Questo divario tra la sensibilizzazione percepita e il comportamento effettivo dei collaboratori continua a rappresentare un punto cieco.
5. Dalle restrizioni alla governance con l’IA
L’IA generativa è oggi una costante nelle aziende e nel panorama delle minacce. Il 60% dei CISO considera l’IA generativa un rischio per la sicurezza, in aumento rispetto al 54% dello scorso anno. La loro principale preoccupazione include la perdita di dati tramite strumenti pubblici di IA generativa, l’utilizzo di piattaforme di collaborazione come Slack e Teams e la semplicità con cui i collaboratori possono creare e condividere dati sensibili al di fuori del perimetro della protezione tradizionale.
Tuttavia, i CISO riconoscono il potenziale dell’IA. Il 64% afferma che l’utilizzo sicuro dell’IA è una priorità essenziale per i prossimi due anni e il 68% sta studiando funzionalità ottimizzate dall'IA per difendersi dagli errori umani e dalle minacce avanzate.
6. Evoluzione della posizione del CISO nei consigli di amministrazione
Dopo aver raggiunto l’apice nel 2024, l’allineamento tra CISO e consiglio di amministrazione è calato. Quest’anno, solo il 64% dei CISO ritiene che il proprio consiglio di amministrazione condivida la loro visione in materia di sicurezza informatica, un calo significativo rispetto all’84% dell’anno scorso. Allo stesso tempo, solo il 66% dei CISO ritiene che i membri del consiglio di amministrazione dovrebbero avere competenze in materia di sicurezza informatica, un calo importante rispetto all’84%.
Tuttavia, ci sono stati dei progressi. Per la prima volta, l’impatto sul valore dell’azienda è la principale preoccupazione del consiglio di amministrazione in caso di attacco informatico, a indicare una valutazione più strategica del rischio informatico da parte della dirigenza.
7. Pressione crescente, sostegno limitato
Le pressioni nei confronti dei CISO rimangono costanti. Il 66% dei CISO considera eccessive le aspettative, percentuale stabile rispetto allo scorso anno, ma comunque superiore agli anni precedenti. Ancor più preoccupante è che il 67% si ritiene personalmente responsabile quando si verifica un incidente di sicurezza e solo il 67% ritiene di disporre di budget, strumenti e personale adeguati per raggiungere i propri obiettivi.
Esiste comunque un lato positivo. Il 65% dei CISO afferma che la propria azienda ha adottato misure per proteggerli dalla responsabilità personale, un passo fondamentale per limitare i casi di burnout, che continuano a aumentare anno su anno.
Conclusione
L’edizione 2025 del report Voice of the CISO delinea un quadro complesso: i responsabili della sicurezza sono più esperti e visibili che mai, ma sono anche più vulnerabili agli attacchi, al burnout e a aspettative potenzialmente irragionevoli.
La sfida ora è trasformare la fiducia dell’azienda in vera resilienza. Ciò significa tecnologie più intelligenti, sicuramente, ma anche una governance rafforzata, un maggior investimento nel personale e un impegno autentico da parte del consiglio di amministrazione. L'evoluzione del panorama delle minacce richiede anche di rivedere l’approccio alla protezione delle risorse più preziose per un'azienda: i suoi collaboratori e i suoi dati.
Scarica il report completo Voice of the CISO 2025 qui.
Iscriviti al nostro prossimo webinar Voice of the CISO per scoprire in diretta i principali risultati del report e le prospettive dei CISO.
