La gestione della sicurezza informatica all’interno delle organizzazioni richiede un cambio di paradigma radicale per rispondere alle sfide del mercato attuale. Secondo Gartner (Gartner, Build Cyber Resilience Through Threat-Informed Risk Assessment and Decisions), la maggior parte delle valutazioni del rischio tradizionali si concentra inizialmente sugli inventari degli asset o sui framework di conformità, tentando solo in una fase successiva di integrare l’analisi delle minacce. Questo approccio convenzionale, basato prevalentemente su checklist statiche, è in grado di evidenziare le vulnerabilità teoriche ma non fornisce alcuna prova sul fatto che le difese implementate possano effettivamente resistere a un attacco reale sul campo. Procedere secondo schemi puramente orientati alla compliance impedisce di comprendere i percorsi end-to-end che gli aggressori utilizzerebbero per raggiungere i sistemi critici, traducendosi spesso in un dispendio di risorse inefficiente e in un disallineamento degli investimenti aziendali.
Per superare i limiti di questi assessment statici, si rende necessaria l’adozione di una threat informed defense, una strategia operativa che capovolge la prospettiva tradizionale ponendo al centro del processo decisionale gli avversari e le tattiche più rilevanti nel contesto attuale. L’analisi di Gartner evidenzia come il framework metodologico denominato Threat-Informed Defense Effectiveness (TiDE) consenta ai decisori aziendali di orientare le scelte strategiche basandosi sul reale comportamento degli attaccanti. Questo orientamento si rivela particolarmente efficace per ottimizzare le risorse delle piccole e medie imprese tecnologiche, in quanto permette di esaminare le performance difensive nelle fasi di protezione, rilevamento, risposta e ripristino focalizzando l’attenzione e il budget esclusivamente sui pochi percorsi d’attacco che rappresentano un pericolo concreto per il business.
La cyber resilienza non deve essere intesa come un ulteriore livello di protezione astratta o puramente teorica, bensì come il risultato visibile e dimostrabile di una gestione del rischio che si dimostra efficace nel momento del bisogno. Essa non si costruisce accumulando nuovi framework burocratici o inseguendo formali livelli di maturità, ma testando direttamente le difese sotto pressione e intervenendo tempestivamente su ciò che fallisce durante le simulazioni. La resilienza aziendale deriva dalle prove pratiche e non dalla documentazione cartacea. Attraverso questo approccio basato sulle evidenze, i C-level possono disporre di risposte chiare sulla reale protezione dei processi core, sostituendo le tradizionali mappe di calore statiche con dati verificati, intervalli di esposizione economica e opzioni di costo trasparenti.
Indice degli argomenti
I cinque passi del metodo TiDE per convalidare l’efficacia della sicurezza
Per trasformare la cyber intelligence sulle minacce in un processo decisionale guidato dalle evidenze empiriche, le organizzazioni possono adottare una metodologia strutturata in cinque fasi sequenziali. Il metodo TiDE non deve essere confuso con un insieme di strumenti tecnologici; si tratta di un approccio operativo che può essere eseguito utilizzando le informazioni di threat intelligence già disponibili, i dati dei red o purple team e il registro dei rischi aziendali. L’adozione di soluzioni software dedicate rappresenta un acceleratore per scalare il processo, ma non costituisce un requisito obbligatorio per avviarlo. L’obiettivo centrale di questo percorso consiste nel verificare se le difese in produzione siano realmente in grado di resistere alle minacce, focalizzandosi sull’impatto che i risultati dei test possono esercitare sulle scelte di investimento, piuttosto che sulla mera precisione decimale delle metriche quantitative.
1. Identificare gli scenari d’attacco più rilevanti per il proprio settore aziendale
Il primo passo del metodo consiste nell’iniziare l’analisi partendo dalle minacce esterne per poi muoversi verso l’interno dell’organizzazione, ribaltando la logica tradizionale basata sulla compilazione di lunghi inventari di asset. Risulta necessario identificare i pericoli principali che pongono un rischio significativo per l’azienda in un determinato momento, come i ransomware, le compromissioni della catena di fornitura (supply chain) o l’abuso da parte di attori interni (insider misuse).
Per ciascuna minaccia individuata, si raccomanda di selezionare da tre a cinque attori malevoli o campagne d’attacco che risultino specificamente rilevanti per il settore industriale e l’area geografica in cui l’azienda opera. Per ogni attore è fondamentale redigere uno scenario d’attacco sintetico, strutturato in una singola riga, che specifichi l’identità dell’avversario, le sue modalità tipiche di azione e i processi di business o gli asset critici che intende colpire.
Un esempio concreto si rappresenta nello scenario in cui un affiliato ransomware aggira i filtri e-mail, sfrutta le vulnerabilità di sistema, distribuisce un payload di phishing, ruba le credenziali di accesso, supera le protezioni degli endpoint e infine cripta le unità condivise ed esfiltra i dati, impattando i sistemi di posta, le workstation del dipartimento finanziario, i server di file centrali e i relativi backup. La pianificazione deve rimanere focalizzata su un elenco breve e aggiornato, limitato a circa tre minacce complessive, per consentire l’avvio dell’assessment sulla base delle reali intenzioni degli avversari.
2. Dare priorità alle minacce classificandole come probabili, plausibili o possibili
Una volta definiti gli scenari d’attacco, l’attenzione deve essere focalizzata sulle tattiche, tecniche e procedure (TTP) che rivestono la maggiore rilevanza per l’ambiente operativo aziendale, traducendo le informazioni di intelligence in un piano di test disciplinato. La valutazione di ogni singola tecnica si basa sul bilanciamento di due fattori analitici:
- L’effettiva osservazione della tecnica all’interno dello specifico settore di mercato o contro organizzazioni che presentano ambienti tecnologici analoghi.
- La diretta applicabilità della tecnica al panorama IT e al modello operativo dell’azienda.
Sulla base di questi criteri, si applica una classificazione delle TTP strutturata su una scala a tre livelli stabili:
- Probabile: indica una tecnica che è stata concretamente osservata nel settore di riferimento o presso organizzazioni simili durante il trimestre in corso, e che risulta direttamente applicabile allo stack tecnologico o al modello operativo aziendale.
- Plausibile: definisce una tecnica osservata in altri contesti di mercato, la quale richiederebbe modifiche minori da parte dell’attaccante per adattarsi all’ambiente dell’azienda, oppure una tecnica non ancora osservata ma ritenuta tecnicamente realizzabile con adattamenti limitati.
- Possibile: si riferisce a una tecnica teoricamente realizzabile ma supportata da deboli evidenze empiriche, il cui successo richiederebbe un adattamento strutturale rilevante da parte dell’aggressore.
Ogni TTP deve essere documentata nel registro indicando la categoria assegnata, la motivazione logica e il processo o asset aziendale interessato, mantenendo un elenco complessivo di 10-15 tecniche per guidare le successive attività di verifica.
3. Validare i percorsi di business con simulazioni di red team e purple team
La terza fase prevede l’esecuzione di verifiche pratiche per confermare la tenuta delle difese aziendali lungo i percorsi critici. L’intensità e la profondità dei test devono essere calibrate in modo proporzionale alla classificazione di probabilità definita nella fase precedente, garantendo un’allocazione efficiente delle risorse ed evitando che l’attività si trasformi in una mera checklist di conformità. L’indagine deve focalizzarsi sui percorsi di business reali che collegano il comportamento dell’avversario ai risultati aziendali, anziché testare i singoli strumenti tecnologici in modo isolato.
Il livello di approfondimento dei test viene suddiviso in base alla priorità della minaccia:
- Per le tecniche classificate come probabili, si rende necessaria l’esecuzione di prove di attacco approfondite tramite attività mirate di red team o purple team, le quali replicano l’intera catena di attacco sul processo di business target, stabilendo preventivamente i criteri di successo, le modalità di arresto e i tempi attesi di rilevamento.
- Per le tecniche considerate plausibili, si ricorre a forme di convalida più leggere, quali sessioni di simulazione da tavolo (tabletop), verifiche delle configurazioni dei sistemi, simulazioni di violazione su scala ridotta o la riproduzione dei log per confermare il design dei controlli e la copertura del rilevamento.
- Per le opzioni ritenute solo possibili, l’azione si limita al monitoraggio e alla preparazione, integrando attività di threat hunting o logiche di alert specifiche, da rivalutare qualora intervengano mutamenti nello scenario delle minacce.
Le attività devono essere pianificate in sprint di breve durata, selezionando da tre a cinque scenari per trimestre, ciascuno associato a un responsabile definito e a una chiara regola di interruzione (ad esempio, terminare il test non appena l’attacco viene bloccato a un determinato stadio).
4. Misurare i controlli di produzione attraverso le quattro fasi di difesa
L’obiettivo della quarta fase risiede nella misurazione oggettiva delle prestazioni dei controlli di sicurezza operanti in produzione, distinguendo i dati reali dalle intenzioni teoriche di progettazione o dai punteggi di maturità astratti. Ogni percorso d’attacco sottoposto a verifica deve essere esaminato attraverso quattro stadi difensivi sequenziali:
- Protect: Il controllo di sicurezza ha bloccato la tecnica d’attacco?
- Detect: Si è rilevato il passaggio in tempo utile?
- Respond: Si è contenuta la minaccia?
- Recover: Quanto tempo è servito per il ripristino?
Il processo richiede la registrazione di fatti documentati, eliminando le opinioni soggettive: è necessario tracciare l’evento specifico, la durata temporale delle azioni e i costi economici sostenuti per la risoluzione dei problemi. I risultati confluiscono in un report sintetico di una sola pagina per ciascun percorso testato, all’interno del quale si riportano i dati analitici dei test, l’efficacia dei controlli, le raccomandazioni d’intervento e l’indicazione chiara dell’esposizione economica residua prima e dopo l’applicazione dei correttivi di sicurezza, quantificando il rendimento atteso per ogni euro investito nel potenziamento delle difese.
5. Decidere gli investimenti riducendo l’incertezza con metriche economiche reali
L’ultimo passo del metodo converte le evidenze raccolte durante i test in opzioni decisionali chiare, consentendo alla direzione aziendale di effettuare scelte di investimento finanziario difendibili e collegate a vincoli temporali precisi. Ciascuno scenario analizzato viene formalizzato all’interno del registro dei rischi o della dashboard aziendale attraverso quattro righe di sintesi:
- Decisione: l’indicazione esplicita dell’azione da intraprendere, specificando se finanziare l’intervento immediatamente, pianificare la risoluzione nel successivo sprint operativo oppure interrompere l’attività riallocando i fondi su altre priorità.
- Esposizione attuale e successiva: la definizione dell’intervallo di danno finanziario potenziale legato al processo di business colpito. Ad esempio, un attacco ransomware sul sistema di elaborazione dei pagamenti può evidenziare un’esposizione economica compresa tra i 3 e i 6 milioni di dollari nello stato attuale, stimando una riduzione tra 1 e 2 milioni di dollari a seguito dell’irrigidimento delle identità e della sintonizzazione dei sistemi DLP (Data Loss Prevention).
- Motivazione: una singola frase esplicativa interamente basata sulle prove fornite dai test, indicando quali controlli abbiano tenuto e quali vulnerabilità o ritardi nel rilevamento abbiano permesso il movimento laterale o l’esfiltrazione dei dati.
- Costi, proprietà e tempi: una stima realistica espressa in intervalli finanziari (ad esempio, un investimento compreso tra i 350mila e i 440mila euro), con l’indicazione del team interno responsabile dell’implementazione e un limite temporale definito per il raggiungimento del miglioramento (ad esempio, entro 90 giorni).
Attraverso questa schematizzazione, i decisori aziendali possono disporre di un quadro comparativo trasparente, focalizzando la spesa sui progetti che offrono la maggiore riduzione del rischio per unità di budget investita.
Superare la compliance statica per costruire una resilienza basata sulle prove
L’adozione sistematica di un approccio guidato dall’efficacia consente alle organizzazioni di superare definitivamente la logica dei controlli puramente formali, trasformando la sicurezza informatica da un obbligo burocratico a un elemento di protezione strategica misurabile. Il valore tangibile di questo cambio di passo si manifesta nel momento in cui le decisioni relative ai rischi informatici diventano più rapide, difendibili e direttamente connesse alle minacce che contano di più. Questo permette ai team di sicurezza di dedicare meno tempo alla stesura di lunghi report teorici o presentazioni supplementari, concentrando gli sforzi sulle evidenze empiriche che guidano l’azione aziendale.
Per valutare se l’introduzione della threat informed defense stia effettivamente generando valore per l’organizzazione, la direzione può monitorare il raggiungimento di specifici indicatori di successo sul campo:
- Decisioni più rapide: I risultati dei test si traducono immediatamente in azioni approvate e finanziate oppure formalmente differite, evitando che i correttivi rimangano bloccati all’interno dei backlog operativi per mesi.
- Focus mirato delle attività di verifica: La maggior parte degli sforzi di testing si concentra sulle tecniche d’attacco classificate come probabili o plausibili, abbandonando l’uso di checklist di controllo generiche.
- Riduzione misurabile del rischio: Gli intervalli di esposizione economica associati ai processi di business critici si restringono progressivamente a ogni trimestre, mostrando un miglioramento quantificato.
- Compromessi commerciali trasparenti: Le discussioni relative agli investimenti e ai livelli di protezione concordati fanno costante riferimento a dati certi, costi reali e intervalli di esposizione finanziaria, rendendo le decisioni esplicite e difendibili davanti al consiglio di amministrazione.
- Riallocazione ottimale delle risorse: I budget e il personale vengono sistematicamente spostati dai controlli a basso valore aggiunto verso quelle azioni che dimostrano di ridurre l’esposizione in modo tangibile.
- Evidenze e dati aggiornati: Gli scenari di minaccia e i risultati dei test vengono aggiornati e convalidati su base trimestrale, garantendo che le scelte strategiche non vengano mai guidate da informazioni obsolete.
In conclusione, spostare il focus dalla compliance statica alla prova pratica della resilienza offre ai decisori aziendali la trasparenza necessaria per governare il rischio. Dimostrare l’efficacia dei controlli sotto pressione permette di ottimizzare la spesa e di proteggere i processi core, assicurando che ogni investimento risponda direttamente alle reali modalità operative degli aggressori.








Partecipa alla community