Nel panorama della sicurezza informatica, il concetto di cyber resilience (la capacità di un’azienda di opporre resistenza, adattarsi e recuperare rapidamente l’operatività in seguito ad attacchi informatici) si sta imponendo come metrica di maturità digitale.
Non basta più prevenire gli attacchi: bisogna saper reagire, adattarsi e ripristinare la continuità in tempi rapidi.
Come ha spiegato Rajesh Ganesan – Ceo di ManageEngine – durante il ManageEngine User Conference 2025, «tutte le organizzazioni devono partire dal presupposto di essere costantemente sotto attacco».
È una consapevolezza maturata dopo anni di escalation nei volumi di alert, segnali di intrusione e falsi positivi che, anziché migliorare la sicurezza, rischiano di comprometterla per sovraccarico informativo e stanchezza operativa.
Indice degli argomenti
Dall’iperallarme alla resilienza operativa
Il fenomeno dell’alert fatigue è oggi uno dei principali fattori di vulnerabilità delle aziende digitali. Secondo Ganesan, i Security Operation Center (SOC) – le strutture deputate al monitoraggio degli eventi di sicurezza – si trovano spesso a dover gestire migliaia di segnalazioni ogni giorno, con una proporzione di falsi positivi superiore ai casi reali di minaccia.
Questa asimmetria genera un paradosso: più sistemi di monitoraggio vengono implementati, più aumenta la quantità di dati da filtrare manualmente.
«Le aziende dispongono di strumenti avanzati di detection e alerting, ma il problema non è tecnologico», ha spiegato Ganesan. «È la capacità di triage a determinare l’efficacia della risposta. Quando un team deve analizzare mille segnali e solo venti sono realmente pericolosi, l’errore umano diventa inevitabile».
Da questa stanchezza cognitiva – l’alert fatigue, appunto – nascono molti dei casi di ransomware (i virus del riscatto) e violazioni di rete che finiscono sulle cronache internazionali.
L’obiettivo della cyber resilience, quindi, non è solo prevenire gli attacchi, ma costruire un sistema capace di reggere all’urto dell’imprevisto.
È la stessa logica che Ganesan applica all’intero ciclo della trasformazione digitale: «La resilienza è l’unica costante. Non puoi evitare i fallimenti, ma puoi imparare a riprendere il controllo in tempi rapidi».
Il ruolo dell’automazione nella risposta agli incidenti: gli Autonomous SOC
Con l’aumento della complessità infrastrutturale – tra ambienti cloud, dispositivi mobili e sistemi ibridi – la capacità di reagire agli incidenti non può più dipendere solo da operatori umani.
La cyber resilience, spiega Ganesan, nasce dalla combinazione tra intelligenza umana e automazione intelligente: l’autonomous IT (che si riferisce a sistemi e processi IT operanti con intervento umano minimo o nullo, sfruttando l’AI e l’automazione per la gestione in autonomia di attività come la configurazione, la manutenzione, la sicurezza e la risoluzione dei problemi).
Nel modello delineato dal CEO di ManageEngine, l’idea non è sostituire gli analisti, ma affiancarli con “digital employee” capaci di svolgere compiti ripetitivi e di triage iniziale. Questi agenti digitali, costruiti secondo principi di intelligenza adattiva, analizzano i flussi di allarme, eliminano i duplicati, correlano eventi e segnalano solo i pattern anomali più rilevanti. «Il valore non sta nel numero di sistemi di difesa – osserva Ganesan – ma nella capacità di interpretarli insieme, in modo coerente e tempestivo».
La visione rimanda a una tendenza più ampia nell’industria della sicurezza IT: il passaggio dai Security Operation Center tradizionali agli Autonomous SOC, dove le piattaforme di automazione e intelligenza artificiale collaborano con i team di analisti.
Questo modello riduce i tempi medi di detection e response, ma soprattutto libera il capitale umano per le attività a maggiore valore aggiunto, come l’analisi predittiva e la simulazione di scenari d’attacco.
Comprendere la complessità per progettare resilienza
Per Ganesan, la sicurezza informatica è un problema di conoscenza più che di potenza di calcolo. La cyber resilience si fonda sulla consapevolezza di cosa può fallire, non sulla presunzione di invulnerabilità. L’idea riprende un principio ricorrente nei suoi interventi: l’importanza dei fondamentali.
«Quando parliamo di intelligenza artificiale o automazione, dobbiamo sempre tornare ai primi principi», afferma Ganesan. «Se non comprendiamo come funziona un modello, dove passano i dati e come vengono utilizzati, non potremo mai difenderli davvero».
Questa affermazione, apparentemente di buon senso, traduce una verità profonda: non esiste resilienza senza trasparenza.
Le aziende che adottano soluzioni di automazione devono sapere dove si trovano le loro vulnerabilità, come circola l’informazione e chi può accedervi. La cyber resilience, in questo senso, non è un obiettivo statico ma un processo di apprendimento continuo, che si rinnova ogni volta che la superficie d’attacco cambia.
Dalla prevenzione alla risposta: la lezione della resilienza
Nel discorso di Milano, Ganesan ha raccontato un dato emblematico: «Siamo costantemente sotto attacco. Subiamo attacchi DDoS ventiquattr’ore su ventiquattro». La frase fotografa una realtà diffusa: la difesa perfetta non esiste, e il vero vantaggio competitivo risiede nella rapidità di reazione.
Per questo motivo, la cyber resilience non coincide con la sicurezza in senso stretto, ma con la capacità organizzativa di mantenere la continuità operativa anche in caso di violazione. Significa non solo isolare l’incidente, ma garantire che le funzioni critiche – dai sistemi di pagamento ai servizi ai clienti – restino attive o possano essere ripristinate in tempi brevi.
La differenza tra un’azienda vulnerabile e una resiliente, sottolinea Ganesan, sta nella capacità di imparare dall’attacco. Ogni evento di sicurezza diventa così una fonte di dati che alimenta i modelli di difesa futuri, riducendo progressivamente la superficie di rischio. È un ciclo virtuoso che trasforma la minaccia in apprendimento, e l’automazione in memoria collettiva.
L’alert fatigue come sintomo culturale
Oltre alla dimensione tecnica, il tema dell’alert fatigue rivela una componente culturale.
In molte organizzazioni, la sicurezza è ancora percepita come un compartimento separato, un insieme di procedure che convivono accanto al business ma non dentro di esso. L’eccesso di allarmi, spesso ignorati o classificati come “rumore di fondo”, è la conseguenza di questa separazione.
Secondo Ganesan, la vera cyber resilience nasce quando la sicurezza diventa parte del linguaggio aziendale, condivisa tra IT, management e funzioni operative. In altre parole, quando il personale non tecnico sa riconoscere un rischio digitale come parte del proprio ruolo. L’automazione aiuta a rendere visibili questi segnali, ma è la governance trasversale a trasformarli in decisioni.
La gestione intelligente degli allarmi, quindi, non è solo un esercizio di machine learning, ma un cambiamento culturale che sposta la sicurezza dal perimetro alla strategia.
L’autonomous IT come ecosistema adattivo
Nel delineare la prospettiva futura, Ganesan definisce l’autonomous IT come un sistema che apprende dal comportamento umano e lo amplifica, senza sostituirlo. L’obiettivo è costruire infrastrutture capaci di reagire a minacce emergenti in modo dinamico, adattando le risposte alle priorità aziendali.
In questa visione, gli agenti digitali non sono entità isolate, ma componenti di un ecosistema distribuito che collega sicurezza, operations e governance. Possono analizzare i flussi di log in tempo reale, correlare anomalie tra diversi sistemi e suggerire azioni correttive basate su dati aggiornati. Ma il punto non è l’automazione in sé, bensì la collaborazione intelligente tra persone e macchine, dove ogni decisione è verificabile e tracciabile.
La cyber resilience si realizza, così, come qualità emergente del sistema, non come somma di strumenti. Quando la tecnologia lavora in background e i team possono concentrarsi sulla strategia, la sicurezza diventa un attributo naturale dell’organizzazione, non un costo o un obbligo normativo.
Misurare la resilienza: un obiettivo collettivo
L’approccio descritto da Ganesan suggerisce una ridefinizione dei parametri con cui si misura la sicurezza aziendale. Non più solo il numero di incidenti evitati, ma la rapidità di risposta, la continuità dei servizi e la capacità di apprendere dagli errori.
In questa prospettiva, l’autonomous IT non è un punto d’arrivo ma un percorso: un equilibrio fra automazione e controllo umano, fra velocità e affidabilità. Le organizzazioni più mature in termini di cyber resilience saranno quelle in grado di integrare questi elementi in modo trasparente, costruendo un modello di sicurezza distribuita e adattiva.
Come ricorda Ganesan, «le possibilità davanti a noi sono infinite». Ma l’infinità delle possibilità, nel lessico della sicurezza, non è sinonimo di libertà assoluta: significa responsabilità continua, vigilanza costante e capacità di ripensare, ogni giorno, la relazione tra tecnologia e fiducia.
