Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

meme della settimana

Il lato paper della security

Home Cultura cyber
Indirizzo copiato

La paper security è un male iconico nella cyber security, ma non per questo gli adempimenti documentali devono essere ignorati o trascurati. Altrimenti, il rischio è quello di approssimare la gestione della sicurezza a una vera e propria scommessa alla cieca

Pubblicato il 19 set 2025
meme4cyber360_choice
Credits to: Stefano Gazzella – https://www.linkedin.com/in/stefano-gazzella/

Nel multiverso della sicurezza delle informazioni si sente spesso parlare di “paper security”.

Come il lato oscuro, corrompe e consuma la governance fino ad arrivare ad una sicurezza che esiste solo sulla carta e nelle convinzioni di chi la pratica.

Con l’effetto pratico di credere che “avere le carte a posto” basti e quindi ci si disperde in adempimenti formali a normative cogenti e volontarie di sicurezza delle informazioni. Illudendosi così di essere al sicuro, finché il castello di carte non crolla a fronte di un incidente o di un attacco cyber.

Con tutte le conseguenze di aver ignorato la postura di sicurezza.

Inoltre, il costo di gestione dell’iperproduzione documentale nel tempo sarà sempre superiore ai benefici comportando la conseguenza che la reportistica verrà gradualmente ignorata.

O meglio: verrà ignorata fino a che si realizzerà un impatto negativo.

Certo, il valore postumo rispetto ad una violazione di sicurezza di una documentazione ignorata la potrebbe far sembrare una sorte di “te l’avevo detto”.

Il problema è che non si limita a indisporre, ma ha quella brutta abitudine giuridicamente rilevante di spostare l’ipotesi di responsabilità soggettiva verso il campo del dolo o della colpa grave.

Il valore della documentazione: quality over quantity

Ricordiamoci, però, che soltanto un Sith vive di assoluti e quasi mai si occupa di sicurezza cyber.

Tant’è che ha lasciato irrisolta una vulnerabilità non da poco della Morte Nera.

Quindi non bisogna cedere al pensiero secondo cui tutta la documentazione in ambito di sicurezza sia censurabile come paper security.

Nella lettura palindroma di una corretta gestione della sicurezza, è necessario infatti rendicontare ciò che è stato fatto ed impegnarsi a fare ciò che si pianifica. Con buona pace di quelle ambizioni di sicurezza adattiva che è necessario perseguire, dal momento che tanto l’analisi retrospettiva che il livello predittivo devono fondarsi su evidenze da valutare e confrontare.

L’ambito documentale è importante in quanto rappresenta decisioni e strategie.

Quindi non va ridotto ad un adempimento di poco conto, da affrontare con la stessa leggerezza di uno “skip tutorial”. Ma va affrontata in modo strategico e riguarda strategie, scelte, impegni ed istruzioni, su più piani e livelli.

Bisogna però individuare quali documenti è necessario redigere e perché sono necessari.

La risposta può essere ricercata da obblighi normativi, come le recenti linee guida dedicate al rafforzamento della resilienza delle infrastrutture critiche nell’ambito della CER, o altrimenti dalla scelta di seguire un un framework adegato al proprio contesto organizzativo.

Per non cedere al lato paper della security, non è necessario eliminare ogni documentazione.

Piuttosto, dev’essere integrata in modo concreto.

Fare o non fare, non c’è provare“.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Redazione Cybersecurity360.it

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • CryptPad e il paradigma zero-knowledge: un binomio vincente - La fiducia come capitale: la conformità al Gdpr e alla NIS 2 diventa un vantaggio competitivo

  • responsabilità proattiva

    La fiducia come capitale: la conformità a GDPR e NIS 2 diventa un vantaggio competitivo

    31 Ott 2025

    di Giuseppe Alverone

    Condividi
  • Approccio Identity-First - Più dialogo fra Ceo e Cio: in gioco è l'adozione dell'AI, anche nella cyber

  • soluzioni di sicurezza

    L’identità al centro della cyber resilienza: come adottare un approccio Identity-First

    24 Lug 2025

    di Roberto Marzocca

    Condividi
  • data center

  • innovazione

    Data center, lo stato dell’arte a livello globale: vince la resilienza

    22 Ott 2025

    di Federica Maria Rita Livelli

    Condividi
  • XWorm RAT prende di mira gli sript kiddies

  • l'analisi tecnica

    XWorm RAT, il malware che prende di mira gli hacker alle prime armi

    27 Gen 2025

    di Salvatore Lombardo

    Condividi