La continua evoluzione della tecnologia ha radicalmente cambiato la percezione del posizionamento delle aziende rispetto al proprio ecosistema e al mondo esterno.
Il mondo connesso ha infatti fatto crollare i – seppur virtuali – bastioni perimetrali che dividevano ciò che è all’interno dell’azienda e ciò che non lo è. Oggi, quel perimetro è diventato liquido, assumendo la forma che le molteplici possibilità di fruizione delle informazioni – si pensi al cloud e al lavoro da remoto – gli hanno dato e rappresentando tutte le interazioni che le organizzazioni hanno con il mondo circostante.
Indice degli argomenti
Il paradigma della connessione “da ovunque a ovunque”
Il paradigma della connessione “da ovunque a ovunque”, nel quale tutti noi siamo ormai immersi ci ha fatto piombare, nostro malgrado, nell’agone di una guerra asimmetrica contro un numero sempre crescente di “threat actor” che, anche grazie ad algoritmi elaborati da AI, evolvono continuamente gli strumenti e le modalità attraverso le quali perpetrare attacchi sempre più sofisticati e subdoli.
Ogni singolo utente e ogni singolo device diventano così una potenziale porta di ingresso per i criminali.
In questo contesto multiforme e multicangiante, che mi dà le stesse sensazioni sensoriali di un incrocio tra la “Persistenza della memoria” di Dalì e “l’Urlo” di Munch, l’approccio classico alla cybersicurezza non è più sufficiente.
Lo dimostra il Rapporto Clusit 2025, che evidenzia come gli attacchi informatici in Italia siano aumentati nel 2024 del 15%. Una crescita inferiore rispetto a quella globale del 27%, ma comunque significativa. In ogni caso il nostro Paese ha subito il 10% degli attacchi globali, pur rappresentando solo l’uno per cento del Pil mondiale, in un’escalation che coinvolge ogni settore dell’economia a prescindere dalle dimensioni delle aziende.
La Strategie nazionale di cybersicurezza 2022-2026
Ed è in questo contesto che l’Agenzia per la cybersicurezza nazionale (ACN) ha messo a punto la Strategia nazionale di cybersicurezza 2022-2026, supportata da oltre 600 milioni di euro del PNRR per proteggere gli asset strategici nazionali. Il Parlamento ha inoltre recepito la direttiva NIS2 per i soggetti nazionali a rischio e il regolamento DORA, per il settore finanziario.
Bisogna difendersi bene, adattando dinamicamente la propria postura di sicurezza al perimetro liquido, e avendo cura di soddisfare la conformità alle norme. Questo è possibile attraverso la definizione e l’attuazione di una strategia efficace di cybersicurezza convergente sugli ambienti IT/OT/AI che, unendo misure tecniche e organizzative e alimentando costantemente la consapevolezza dei rischi associati all’uso improprio dei dispositivi informatici, mantenga l’organizzazione sempre pronta a fronteggiare l’evoluzione delle minacce, variando anch’essa forma e sostanza per adattarsi al perimetro liquido e rimanere conforme alle norme.
Strategie di cybersicurezza per proteggere il perimetro liquido
In questo contesto, risulta sempre più evidente come la vera sfida per le imprese non sia solo dotarsi di strumenti, ma evolvere verso una strategia di protezione più matura, che parta dalla comprensione del contesto operativo e dalla valorizzazione delle informazioni aziendali.
Un approccio efficace alla cybersicurezza non può più essere “technology first”, che ormai ha fatto il suo tempo, ma deve orientarsi verso una logica “risk first”. Questo significa aiutare le organizzazione a raggiungere una maturità consapevole, che parta dal comprendere il contesto operativo e porti a delineare una strategia di cybersicurezza efficace, adeguata alla propria situazione e alla protezione del valore reale dell’azienda, che si tratti di beni materiali o intangibili, adattando proattivamente le difese a ogni forma che il perimetro liquido può assumere.
GRC: Governance, Risk e Compliance
Un modello di cybersicurezza realmente efficace si basa su un processo continuo di protezione del valore informativo dell’impresa. Sotto l’etichetta GRC, indica un percorso armonico che si snoda tra i concetti resi effettivi e concreti di Governance, Risk e Compliance, includendo la valutazione dei processi interni ad ampio spettro, la comprensione del livello di rischio per il valore aziendale e l’inserimento nel quadro di adeguamento a norme e regolamenti cui sottostare, quali NIS2 e DORA .
Ispirato agli standard internazionali come ISO e NIST, questo processo ha l’obiettivo non solo di adottare buone pratiche, ma, soprattutto, di renderle sostenibili nel tempo, integrate nei processi aziendali e in grado di tutelare in maniera efficace il valore prodotto, garantendo, oltretutto, la trasparenza nei confronti degli stakeholder.
Una gestione strutturata della cybersicurezza
Una gestione strutturata della cybersicurezza prevede il coinvolgimento di un team multidisciplinare di professionisti, in grado di garantire cun processo integrato e omogeneo che, partendo dall’analisi del contesto, prosegue con la definizione della strategia di cybersicurezza, alla valutazione dei gap rispetto alla postura coerente con la strategia e il conseguente disegno dell’evoluzione delle misure tecniche e organizzative che mantengano costante nel tempo la protezione e la conformità a leggi, norme e regolamenti vigenti.
A rafforzare la strategia cyber contribuisce anche l’utilizzo di soluzioni di Continuous Controls Monitoring che permettono un controllo efficace e un adeguamento costante dell’evoluzione della postura di sicurezza, Accanto a queste innovazioni si rivela fondamentale anche l’esperienza maturata in ambiti verticali – dal finance alla pubblica amministrazione, fino all’industria e alle utility – che consente di adattare le strategie ai diversi contesti operativi, valorizzando le specificità e garantendo risposte su misura.
Nessuna ricetta magica, ma lavoro serio fianco a fianco con le aziende: ascoltarne le esigenze, far crescere la consapevolezza, accompagnarle nella definizione di una strategia adeguata ed efficace, con un approccio basato sulla prossimità e sull’aspetto umano, per far si che la cybersicurezza divenga sempre più un produttore di valore aziendale.
E che non ci sia un brutto risveglio per aver sottovalutato i problemi.
