Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

meme della settimana

Il tempo delle evidenze documentali

Home Cultura cyber
Partecipa al dibattito
Indirizzo copiato

Il tempo per documentare la gestione della sicurezza non dev’essere visto come un costo ma come un investimento, motivo per cui va affrontato tenendo conto della raccolta delle evidenze documentali necessarie all’attuazione degli obiettivi strategici dell’organizzazione. Altrimenti, il rischio è che si abbiano punti ciechi

Pubblicato il 1 dic 2025
meme4cyber360_evidenze
Credits to: Stefano Gazzella – https://www.linkedin.com/in/stefano-gazzella/

Quando si affronta il tema del tempo della documentazione della sicurezza cyber, le tinte sono certamente meno romantiche e iconiche del più gradito – quanto meno agli occhi del pubblico – del tempo delle mele.

Con altrettanta certezza, non possiamo trovare gli stessi toni pastello in quel misto di silicio, criteri e norme cogenti. Insomma: la data maturity è destinata a non essere pop.

Questo non significa, però, che si debba cedere a due pensieri contrapposti: il primo che colloca l’adempimento documentale come una mera perdita di tempo nella convinzione che la sicurezza è qualcosa che si fa; il secondo che, invece, ritiene che sia importante mettere tutto sulla carta.

Ma se oramai la paper security oramai è smentita dalla realtà, poiché ciò che è su carta e resta su carta non protegge certo da attacchi informatici, il rischio è quello di guardare al polo opposto pensando che il tempo della documentazione sia tempo perso.

Non un costo ma un investimento

Non ce ne voglia Proust per il gioco di parole, ma la ricerca di evidenze documentali non è certamente tempo perduto. Deve piuttosto essere visto come un investimento di tipo strategico, economico-finanziario ed operativo e dunque portare a risultati misurabili, confrontabili ma soprattutto efficaci ed efficienti.

Per le organizzazioni è necessario avere capacità di fornire evidenza degli adeguati assetti organizzativi che sono innanzitutto richiesti sia dall’art. 2086 co. 2 Codice Civile e che poi trovano il proprio diaframma applicativo all’interno di norme settoriali.

Nel caso della NIS 2, ad esempio, è richiesto specificamente di documentare la gestione della sicurezza per garantire completezza, affidabilità e tracciabilità delle evidenze.

Ma volendo essere ancor più pratici e spietati, in che modo si può progettare ed organizzare una strategia di sicurezza cyber coerente affrontando le sfide organizzativese non c’è comunicazione?

Insomma: in assenza di evidenze, il dialogo fra board e CISO non sarà difficile, ma impossibile. Mentre qualsivoglia obiettivo perde concretezza e misurabilità.

In pratica, lo scenario diventa analogo a quello della paper compliancein cui si ritiene che lo scritto prevalga sul reale dato che si favoriscono punti ciechi, che inevitabilmente attraggono quell’incertezza sugli obiettivi che rientra nella definizione stessa di rischio.

Ma sappiamo bene che lo spirito poco romantico della sicurezza cyber avversa l’ignoto e l’assenza di garanzie.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Redazione Cybersecurity360.it

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Garante privacy; Indipendenza delle Autorità privacy: le tre direttrici di riforma per un Garante più resiliente

  • protezione dati personali

    Indipendenza delle Autorità privacy: le tre direttrici di riforma per un Garante più resiliente

    27 Nov 2025

    di Pasquale Mancino

    Condividi
  • DragonForce ransomware

  • L'ANALISI TECNICA

    DragonForce ransomware mette in ginocchio il retail UK: cosa insegna alle aziende italiane

    05 Giu 2025

    di Redazione Cybersecurity360.it

    Condividi
  • GDPR AI assicurazioni

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • CryptPad e il paradigma zero-knowledge: un binomio vincente - La fiducia come capitale: la conformità al Gdpr e alla NIS 2 diventa un vantaggio competitivo

  • responsabilità proattiva

    La fiducia come capitale: la conformità a GDPR e NIS 2 diventa un vantaggio competitivo

    31 Ott 2025

    di Giuseppe Alverone

    Condividi
0
Lascia un commento, la tua opinione conta.x