Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

sicurezza informatica

Cyber resilience nell’era dell’autonomous IT: come superare l’alert fatigue

Home Soluzioni aziendali
Indirizzo copiato

La cyber resilience non dipende solo dagli strumenti di difesa, ma dalla capacità organizzativa di reagire a volumi crescenti di allarmi. L’automazione intelligente e gli agenti digitali ridisegnano il modo in cui le imprese gestiscono la sicurezza

Pubblicato il 14 ott 2025
cyber-resilience-cybersecurity360 - Strategia nazionale di cyber sicurezza: focus, il rafforzamento della resilienza
Foto: Shutterstock

Nel panorama della sicurezza informatica, il concetto di cyber resilience (la capacità di un’azienda di opporre resistenza, adattarsi e recuperare rapidamente l’operatività in seguito ad attacchi informatici) si sta imponendo come metrica di maturità digitale.

Non basta più prevenire gli attacchi: bisogna saper reagire, adattarsi e ripristinare la continuità in tempi rapidi.

Come ha spiegato Rajesh Ganesan – Ceo di ManageEngine – durante il ManageEngine User Conference 2025, «tutte le organizzazioni devono partire dal presupposto di essere costantemente sotto attacco».

È una consapevolezza maturata dopo anni di escalation nei volumi di alert, segnali di intrusione e falsi positivi che, anziché migliorare la sicurezza, rischiano di comprometterla per sovraccarico informativo e stanchezza operativa.

Cyber Resilience Act, cos’è e cosa cambia per la sicurezza dei prodotti digitali e IoT

Dall’iperallarme alla resilienza operativa

Il fenomeno dell’alert fatigue è oggi uno dei principali fattori di vulnerabilità delle aziende digitali. Secondo Ganesan, i Security Operation Center (SOC) – le strutture deputate al monitoraggio degli eventi di sicurezza – si trovano spesso a dover gestire migliaia di segnalazioni ogni giorno, con una proporzione di falsi positivi superiore ai casi reali di minaccia.

Questa asimmetria genera un paradosso: più sistemi di monitoraggio vengono implementati, più aumenta la quantità di dati da filtrare manualmente.

«Le aziende dispongono di strumenti avanzati di detection e alerting, ma il problema non è tecnologico», ha spiegato Ganesan. «È la capacità di triage a determinare l’efficacia della risposta. Quando un team deve analizzare mille segnali e solo venti sono realmente pericolosi, l’errore umano diventa inevitabile».

Da questa stanchezza cognitiva – l’alert fatigue, appunto – nascono molti dei casi di ransomware (i virus del riscatto) e violazioni di rete che finiscono sulle cronache internazionali.

L’obiettivo della cyber resilience, quindi, non è solo prevenire gli attacchi, ma costruire un sistema capace di reggere all’urto dell’imprevisto.

È la stessa logica che Ganesan applica all’intero ciclo della trasformazione digitale: «La resilienza è l’unica costante. Non puoi evitare i fallimenti, ma puoi imparare a riprendere il controllo in tempi rapidi».

Il ruolo dell’automazione nella risposta agli incidenti: gli Autonomous SOC

Con l’aumento della complessità infrastrutturale – tra ambienti cloud, dispositivi mobili e sistemi ibridi – la capacità di reagire agli incidenti non può più dipendere solo da operatori umani.

La cyber resilience, spiega Ganesan, nasce dalla combinazione tra intelligenza umana e automazione intelligente: l’autonomous IT (che si riferisce a sistemi e processi IT operanti con intervento umano minimo o nullo, sfruttando l’AI e l’automazione per la gestione in autonomia di attività come la configurazione, la manutenzione, la sicurezza e la risoluzione dei problemi).

Nel modello delineato dal CEO di ManageEngine, l’idea non è sostituire gli analisti, ma affiancarli con “digital employee” capaci di svolgere compiti ripetitivi e di triage iniziale. Questi agenti digitali, costruiti secondo principi di intelligenza adattiva, analizzano i flussi di allarme, eliminano i duplicati, correlano eventi e segnalano solo i pattern anomali più rilevanti. «Il valore non sta nel numero di sistemi di difesa – osserva Ganesan – ma nella capacità di interpretarli insieme, in modo coerente e tempestivo».

La visione rimanda a una tendenza più ampia nell’industria della sicurezza IT: il passaggio dai Security Operation Center tradizionali agli Autonomous SOC, dove le piattaforme di automazione e intelligenza artificiale collaborano con i team di analisti.

Questo modello riduce i tempi medi di detection e response, ma soprattutto libera il capitale umano per le attività a maggiore valore aggiunto, come l’analisi predittiva e la simulazione di scenari d’attacco.

Comprendere la complessità per progettare resilienza

Per Ganesan, la sicurezza informatica è un problema di conoscenza più che di potenza di calcolo. La cyber resilience si fonda sulla consapevolezza di cosa può fallire, non sulla presunzione di invulnerabilità. L’idea riprende un principio ricorrente nei suoi interventi: l’importanza dei fondamentali.

«Quando parliamo di intelligenza artificiale o automazione, dobbiamo sempre tornare ai primi principi», afferma Ganesan. «Se non comprendiamo come funziona un modello, dove passano i dati e come vengono utilizzati, non potremo mai difenderli davvero».

Questa affermazione, apparentemente di buon senso, traduce una verità profonda: non esiste resilienza senza trasparenza.

Le aziende che adottano soluzioni di automazione devono sapere dove si trovano le loro vulnerabilità, come circola l’informazione e chi può accedervi. La cyber resilience, in questo senso, non è un obiettivo statico ma un processo di apprendimento continuo, che si rinnova ogni volta che la superficie d’attacco cambia.

Dalla prevenzione alla risposta: la lezione della resilienza

Nel discorso di Milano, Ganesan ha raccontato un dato emblematico: «Siamo costantemente sotto attacco. Subiamo attacchi DDoS ventiquattr’ore su ventiquattro». La frase fotografa una realtà diffusa: la difesa perfetta non esiste, e il vero vantaggio competitivo risiede nella rapidità di reazione.

Per questo motivo, la cyber resilience non coincide con la sicurezza in senso stretto, ma con la capacità organizzativa di mantenere la continuità operativa anche in caso di violazione. Significa non solo isolare l’incidente, ma garantire che le funzioni critiche – dai sistemi di pagamento ai servizi ai clienti – restino attive o possano essere ripristinate in tempi brevi.

La differenza tra un’azienda vulnerabile e una resiliente, sottolinea Ganesan, sta nella capacità di imparare dall’attacco. Ogni evento di sicurezza diventa così una fonte di dati che alimenta i modelli di difesa futuri, riducendo progressivamente la superficie di rischio. È un ciclo virtuoso che trasforma la minaccia in apprendimento, e l’automazione in memoria collettiva.

L’alert fatigue come sintomo culturale

Oltre alla dimensione tecnica, il tema dell’alert fatigue rivela una componente culturale.

In molte organizzazioni, la sicurezza è ancora percepita come un compartimento separato, un insieme di procedure che convivono accanto al business ma non dentro di esso. L’eccesso di allarmi, spesso ignorati o classificati come “rumore di fondo”, è la conseguenza di questa separazione.

Secondo Ganesan, la vera cyber resilience nasce quando la sicurezza diventa parte del linguaggio aziendale, condivisa tra IT, management e funzioni operative. In altre parole, quando il personale non tecnico sa riconoscere un rischio digitale come parte del proprio ruolo. L’automazione aiuta a rendere visibili questi segnali, ma è la governance trasversale a trasformarli in decisioni.

La gestione intelligente degli allarmi, quindi, non è solo un esercizio di machine learning, ma un cambiamento culturale che sposta la sicurezza dal perimetro alla strategia.

L’autonomous IT come ecosistema adattivo

Nel delineare la prospettiva futura, Ganesan definisce l’autonomous IT come un sistema che apprende dal comportamento umano e lo amplifica, senza sostituirlo. L’obiettivo è costruire infrastrutture capaci di reagire a minacce emergenti in modo dinamico, adattando le risposte alle priorità aziendali.

In questa visione, gli agenti digitali non sono entità isolate, ma componenti di un ecosistema distribuito che collega sicurezza, operations e governance. Possono analizzare i flussi di log in tempo reale, correlare anomalie tra diversi sistemi e suggerire azioni correttive basate su dati aggiornati. Ma il punto non è l’automazione in sé, bensì la collaborazione intelligente tra persone e macchine, dove ogni decisione è verificabile e tracciabile.

La cyber resilience si realizza, così, come qualità emergente del sistema, non come somma di strumenti. Quando la tecnologia lavora in background e i team possono concentrarsi sulla strategia, la sicurezza diventa un attributo naturale dell’organizzazione, non un costo o un obbligo normativo.

Misurare la resilienza: un obiettivo collettivo

L’approccio descritto da Ganesan suggerisce una ridefinizione dei parametri con cui si misura la sicurezza aziendale. Non più solo il numero di incidenti evitati, ma la rapidità di risposta, la continuità dei servizi e la capacità di apprendere dagli errori.

In questa prospettiva, l’autonomous IT non è un punto d’arrivo ma un percorso: un equilibrio fra automazione e controllo umano, fra velocità e affidabilità. Le organizzazioni più mature in termini di cyber resilience saranno quelle in grado di integrare questi elementi in modo trasparente, costruendo un modello di sicurezza distribuita e adattiva.

Come ricorda Ganesan, «le possibilità davanti a noi sono infinite». Ma l’infinità delle possibilità, nel lessico della sicurezza, non è sinonimo di libertà assoluta: significa responsabilità continua, vigilanza costante e capacità di ripensare, ogni giorno, la relazione tra tecnologia e fiducia.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Mattia Lanzarone
Giornalista

Leggi anche:

Who's Who

Aziende

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Backup automatico

  • guida

    Backup automatico: una soluzione essenziale per le aziende

    18 Mar 2025

    di Federico Parravicini

    Condividi
  • L'IA applicata nella sicurezza nazionale: criticità e soluzioni

  • La guida

    L'IA applicata nella sicurezza nazionale: sfide e soluzioni

    13 Ott 2025

    di Vincenzo Calabrò

    Condividi
  • Disinformazione russa: la rilevanza nelle dinamiche geopolitiche

  • guerra ibrida

    Disinformazione russa: la rilevanza nelle dinamiche geopolitiche

    16 Mag 2025

    di Laura Teodonno e Tommaso Diddi

    Condividi