Per anni la cyber security è stata concepita come una questione di perimetri: firewall, antivirus, sistemi di accesso controllato. L’obiettivo era tenere fuori gli attaccanti.
Oggi quel modello è superato, non perché gli strumenti di protezione siano diventati inutili, ma perché il contesto è cambiato radicalmente: il perimetro aziendale, così come lo conoscevamo, non esiste più.
Indice degli argomenti
Dalla protezione alla resilienza: un cambio di paradigma
Il cloud, il lavoro da remoto, l’interconnessione con fornitori e partner hanno dissolto i confini dell’infrastruttura IT. In questo scenario, costruire mura sempre più alte non è sufficiente.
È necessario un approccio diverso, che parta da un’assunzione scomoda ma realistica: “Nel dare per assunto il fatto che non è più sufficiente la protezione dall’esterno, si dà per implicito il fatto che i criminali informatici siano già dentro”, ci dice Andrea Ferrazzi di Relatech.
È un cambio di prospettiva che ha implicazioni profonde su come le aziende progettano le proprie strategie di sicurezza. Non si tratta più di costruire una fortezza inespugnabile, ma di essere pronti a gestire l’inevitabile.
La cyber resilience: resistere, adattarsi, continuare
La cyber resilience non è sinonimo di cyber security, ma ne rappresenta l’evoluzione naturale. Mentre la sicurezza informatica tradizionale mira a prevenire gli incidenti, la resilienza li mette in conto e lavora per minimizzarne l’impatto e accelerarne il recupero.
“Il ragionamento che va fatto è contenere il livello di esposizione al rischio al minimo sui canali di attacco più probabili, e poi prepararsi a dover ripristinare e garantire la continuità del business. La resilienza è sostanzialmente la capacità che nulla cambi”, continua Andrea Ferrazzi.
Una definizione che vale la pena sottolineare: la resilienza non è la capacità di non essere colpiti, ma la capacità che – nonostante il colpo – le operazioni essenziali continuino. E questo vale non solo per gli attacchi informatici: come ricorda Ferrazzi, la resilienza riguarda qualsiasi evento in grado di interrompere la continuità operativa, da un errore umano a un guasto infrastrutturale, fino a scenari che le Business Impact Analysis considerano rari ma tutt’altro che impossibili.
Il perimetro, poi, è diventato qualcosa di radicalmente diverso rispetto al passato. È ancora Andrea Ferrazzi a ricordarcelo: “Siamo già usciti da tempo dalla nostra zona di comfort e viviamo in un mondo dove il perimetro, per effetto dei nuovi modelli di business è di difficile definizione e pertanto di difficile controllo, opaco nei confini e spesso meno solido rispetto a ciò che abbiamo imparato a conoscere anni fa”.
Il rischio invisibile: quando la minaccia viene dall’interno della supply chain
Alcune delle violazioni più gravi degli ultimi anni non hanno colpito direttamente le grandi organizzazioni bersaglio. Hanno invece sfruttato una vulnerabilità strutturale del sistema economico moderno: la supply chain. Fornitori, partner tecnologici, software di terze parti: ogni anello della catena di fornitura è un potenziale vettore d’attacco.
Il mercato italiano sta prendendo progressivamente consapevolezza di questo rischio, ma c’è ancora molta strada da fare. Settori come il manifatturiero, la sanità e le pubbliche amministrazioni locali mostrano spesso le maggiori lacune, soprattutto per la presenza di sistemi legacy e una scarsa cultura della gestione del rischio nei confronti dei fornitori terzi.
Ma c’è un aspetto del rischio invisibile che spesso sfugge anche alle organizzazioni più strutturate: non sapere dove si trovano i propri asset digitali.
“I clienti a volte non sanno nemmeno dove hanno i loro asset. Quando mostriamo cosa vediamo noi, non sapevano nemmeno di averli o non sapevano che i loro dati stavano uscendo dal loro perimetro controllato”, sottolinea Andrea Ferrazzi.
Relatech, attraverso il servizio di External Attack Surface Monitoring, monitora dall’esterno l’esposizione degli asset del cliente, identificando vulnerabilità e punti di fuga dei dati prima che possano essere sfruttati da attori malevoli. Un approccio che ha già rivelato situazioni critiche: dati che transitavano attraverso giurisdizioni straniere, con normative sulla privacy radicalmente diverse da quelle europee, senza che l’azienda ne fosse consapevole.
Questo tipo di esposizione non è solo un problema tecnico: diventa un rischio legale e di compliance, soprattutto nell’era del GDPR e della direttiva NIS2.
L’impatto sul business: quanto costa non essere resilienti?
Parlare di cyber resilience in termini astratti è un lusso che le aziende non possono più permettersi. I numeri parlano chiaro. Secondo il rapporto IBM Cost of a Data Breach 2024, il costo medio globale di una violazione dei dati ha raggiunto 4,88 milioni di dollari, con picchi significativamente più alti nei settori healthcare e finanziario.
Ma i costi diretti per ripristino dei sistemi, notifiche alle autorità ed eventuale riscatto nei casi di ransomware, sono solo la superficie. I danni indiretti sono spesso più difficili da quantificare e più duraturi nel tempo:
- danno reputazionale e perdita di fiducia da parte di clienti e partner;
- interruzione operativa con impatto su fatturato e produttività;
- sanzioni normative, in particolare con l’entrata in vigore della NIS2;
- costi legali e di gestione della crisi;
- aumento dei premi assicurativi cyber.
La direttiva NIS2, recepita in Italia con il D.lgs. 138/2024, ha ampliato significativamente il perimetro dei soggetti obbligati e inasprito le sanzioni per chi non rispetta gli obblighi di sicurezza e notifica degli incidenti.
Per molte aziende italiane, la compliance normativa è diventata un driver imprescindibile per investire nella cyber resilience: non solo una questione di best practice, ma di obbligo di legge.
Un’interruzione operativa causata da un attacco informatico, insomma, non è più solo un problema del reparto IT. È un problema del CEO, del Consiglio di Amministrazione e degli azionisti.
Cultura e organizzazione: la resilienza si costruisce prima dell’attacco
La tecnologia è necessaria, ma non sufficiente. Uno degli errori più comuni nelle organizzazioni è pensare che investire in strumenti di sicurezza sia equivalente a essere sicuri.
La vera resilienza nasce da una cultura aziendale che mette la sicurezza al centro dei processi decisionali, non a margine e non come adempimento burocratico.
Questo significa che la responsabilità non può essere delegata esclusivamente al CISO o al team IT. Deve permeare l’intera struttura organizzativa, dal top management agli operatori di linea. E deve tradursi in processi chiari, esercitazioni regolari e una formazione continua e mirata.
“Se non si ha cultura, si possono sommare errori a errori”, sottolinea giustamente Andrea Ferrazzi.
Una frase semplice, quasi ovvia, ma che nasconde una verità scomoda: la maggior parte degli incidenti informatici ha un elemento umano alla propria origine. Phishing, credenziali compromesse e configurazioni errate sono tutti errori che una cultura della sicurezza adeguata può prevenire o contenere.
La formazione del management: un elemento spesso trascurato
Particolarmente critica è la preparazione del top management, che spesso è la categoria meno coinvolta nei programmi di formazione sulla sicurezza e al tempo stesso quella che, in caso di incidente grave, deve prendere decisioni rapide e consequenziali.
“Chi si chiama, come si chiama, cosa si scrive, in quanto tempo si fanno certe cose, cosa deve essere dichiarato: sono tutti aspetti fondamentali”, ci dice Andrea Ferrazzi di Relatech alla luce della sua lunga esperienza sul campo.
La gestione di un incidente informatico segue protocolli precisi: notifiche all’ACN (Agenzia per la Cybersicurezza Nazionale), comunicazioni ai clienti, gestione della stampa, coordinamento interno. Chi non li conosce rischia di aggravare la situazione nel momento in cui la pressione è massima.
Relatech risponde a questa esigenza con il servizio MDR Pro, che affianca il management dei clienti non solo nella detection e risposta agli incidenti, ma anche negli aspetti formali e procedurali della gestione della crisi.
“Offriamo un servizio al management di tutti i clienti che scelgono il nostro servizio MDR Pro, dove li aiutiamo nella risoluzione degli incidenti supportandoli negli aspetti formali, per esempio nel dialogo con l’ACN”, aggiunge Ferrazzi.
Da dove inizia un’azienda che vuole essere davvero resiliente?
La domanda che ogni CEO e CIO dovrebbe porsi non è “siamo sicuri?”, ma “quanto siamo resilienti?”. E la risposta richiede un’analisi onesta della propria postura di sicurezza, delle proprie vulnerabilità e della propria capacità di risposta.
Per le aziende che devono rivedere la propria strategia, spesso con risorse non illimitate, il punto di partenza non è necessariamente l’acquisto di nuovi strumenti. È la conoscenza.
Conoscere dove si trovano i propri asset, quali dati escono dalla propria rete e verso dove, quali fornitori hanno accesso ai sistemi critici, e qual è il proprio livello reale di esposizione al rischio. Da questa mappa di consapevolezza si costruisce una strategia di cyber resilience efficace e prioritizzata.
I passi fondamentali da seguire sono:
- Condurre una Business Impact Analysis per identificare i processi critici e il costo reale di un’interruzione.
- Mappare la superficie di attacco, inclusa quella esterna e quella relativa alla supply chain.
- Definire un piano di risposta agli incidenti con ruoli, responsabilità e procedure chiare.
- Investire nella formazione, a tutti i livelli dell’organizzazione, con particolare attenzione al management.
- Adottare un approccio di monitoraggio continuo, perché la resilienza non è uno stato, ma un processo.
La cyber resilience non è un traguardo da raggiungere una volta per tutte: è una disciplina continua che richiede aggiornamento costante, esercitazioni regolari e la capacità di imparare da ogni incidente, anche da quelli degli altri.
Le aziende che la intendono così non sono quelle che non vengono mai attaccate. Sono quelle che, quando vengono attaccate, continuano a funzionare.
