APPROFONDIMENTI

Cyber resilience is the new cyber security

In un contesto senza più confini digitali, dove le minacce sono pervasive, l’intelligenza artificiale moltiplica la complessità e il rischio arriva anche dall’interno, l’unica strategia efficace è assumere che la violazione sia inevitabile e progettare fin da subito la continuità operativa

Tempo di lettura10 min.
di Mercedes Oledieu

La trasformazione digitale ha cambiato radicalmente le modalità con cui le aziende devono affrontare la questione della sicurezza informatica. L’interconnessione sistemica, la diffusione del cloud, l’adozione massiva del lavoro ibrido e l’espansione dell’Internet of Things hanno reso obsoleta la classica protezione perimetrale, basata sull’assunto che esista un “interno” sicuro e un “esterno” da cui difendersi. Questo modello si è incrinato sotto il peso di attacchi sempre più sofisticati, che spesso si insinuano proprio attraverso canali interni, utenti compromessi o servizi cloud non adeguatamente configurati.

In questo scenario, la protezione aziendale non può più essere pensata come una barriera statica ma deve evolversi in un ecosistema dinamico, capace di adattarsi alle minacce, di resistere agli impatti e di garantire continuità operativa anche durante un attacco in corso. Serve un cambiamento sistemico che coinvolga le policy interne, i fornitori tecnologici, i processi di governance e, soprattutto, l’approccio mentale del management.

L’evoluzione dei modelli difensivi oltre la prevenzione

Il cambiamento fondamentale consiste nel passaggio da un modello centrato sulla prevenzione a un modello incentrato sulla capacità di resistere, rispondere e ripristinare. Questo non significa abbandonare la prevenzione, ma affiancarla con strumenti e processi che rendano l’intero sistema informativo resiliente. Il perimetro, inteso come area interna sicura da difendere da aggressioni esterne, non è più rilevante: oggi il perimetro è ovunque, in ogni dispositivo, in ogni endpoint, in ogni dipendente che si collega da remoto.

Il nuovo approccio alla protezione aziendale richiede una convergenza tra sicurezza informatica, continuità operativa e gestione del rischio. In questo contesto, si affermano modelli come l’Adaptive Security Architecture, che prevede una difesa non statica ma reattiva, basata sull’analisi del comportamento in tempo reale, sull’adattamento alle minacce e sull’automazione delle risposte. Altri framework come il NIST Cybersecurity Framework sono sempre più adottati per implementare una governance basata su cicli iterativi di identificazione, protezione, rilevamento, risposta e recupero.

Cyber resilienza: una visione integrata tra tecnologia, processi e persone

La cyber resilienza si configura come l’evoluzione più matura del concetto di sicurezza. È la capacità di un’organizzazione di prepararsi, rispondere e adattarsi a eventi avversi, preservando la continuità dei processi critici. Non si tratta solo di contenere i danni, ma di progettare sistemi informativi che sappiano convivere con l’imprevisto.

Questa capacità non si limita a strumenti tecnologici: richiede una pianificazione integrata, una chiara definizione delle responsabilità, una formazione continua del personale e l’allineamento costante tra le esigenze operative e le strategie di protezione.

La resilienza non è, dunque, solo un obiettivo tecnico, ma un principio organizzativo che si misura nella capacità di garantire l’esperienza utente, la disponibilità dei servizi e la reputazione aziendale. Le aziende più avanzate stanno integrando la cyber resilienza nei processi di business continuity management (BCM), nei modelli ESG, nei piani strategici pluriennali.

Un’altra sfida è rappresentata dalla misurabilità della resilienza. Non esistono metriche universali, ma è possibile combinare indicatori tecnici (MTTR, tempo medio di ripristino; dwell time; incident rate) con indicatori organizzativi (numero di simulazioni, aggiornamento dei piani di continuità, livello di maturità del SOC).

Alcune aziende stanno sperimentando “scorecard” dinamiche, che integrano dati provenienti da tool di threat intelligence, piattaforme di vulnerability management e sistemi di performance operativa. La possibilità di rappresentare visivamente lo stato di resilienza in tempo reale sarà una delle prossime frontiere della governance digitale.

Monitoraggio continuo e analisi comportamentale: il ruolo dell’AI

In un panorama di minacce così mutevole, la sorveglianza continua è una necessità imprescindibile. Il concetto stesso di “sicurezza statica” perde significato: la protezione deve essere dinamica, intelligente, reattiva. Tutto ciò definisce l’ambito di intervento delle tecnonolgie di intelligenza artificiale le uniche in grado oggi di rilevare minacce sconosciute, anticipare comportamenti sospetti e correlare eventi apparentemente scollegati.

L’uso del machine learning consente ai sistemi di apprendere nel tempo e di affinare le regole di detection. L’analisi comportamentale (UEBA – User and Entity Behavior Analytics) è ormai considerata una componente essenziale dei sistemi SIEM di nuova generazione. Questi strumenti permettono una visibilità profonda sugli ambienti IT, con una capacità di indagine automatizzata che riduce i falsi positivi e accelera i tempi di risposta.

La vera sfida è di predisporre una AI “buona” in grado di contenere l’AI “malevola” che dispone degli stessi strumenti indirizzati a un fine opposto.

Dal SOC reattivo al Cyber Fusion Center proattivo

Con l’aumento del lavoro distribuito e l’adozione di architetture multicloud, i Security operations center (SOC) stanno evolvendo verso modelli federati e scalabili. Il SOC moderno deve saper gestire eventi che si originano in ambienti cloud pubblici, infrastrutture on-premise e dispositivi mobili, orchestrando risposte in tempo reale su ecosistemi disomogenei. Questa nuova generazione di SOC sfrutta infrastrutture serverless, piattaforme XDR (Extended detection and response) e logica event-driven, per offrire protezione contestuale e indipendente dal luogo in cui risiede il dato o l’utente.

La resilienza si misura così anche nella capacità di mantenere coerenza operativa in un mondo frammentato.

Un paso i avanti ulteriore verso la cyber resilience aziendale è offerto dall’idea di  Cyber Fusion Center (CFC): un’evoluzione concettuale e operativa dei tradizionali SOC, pensata per offrire un approccio più integrato, proattivo e collaborativo alla cybersecurity aziendale. Si tratta di una struttura centralizzata che unisce in modo sinergico diverse funzioni di sicurezza (come threat intelligence, gestione degli incidenti, risposta agli attacchi, analisi forense, sicurezza delle reti e delle applicazioni) con l’obiettivo di migliorare la capacità di rilevare, comprendere e contrastare le minacce informatiche.

Sul piano organizzativo, i Cyber Fusion Center sono spesso progettati per operare secondo un modello collaborativo e basato su casi d’uso, piuttosto che su flussi di lavoro rigidi. Questo consente una maggiore agilità nel rispondere a minacce complesse, come gli attacchi persistenti avanzati (APT), le campagne di cyberespionaggio o gli attacchi ransomware multi-vettore.

A differenza del SOC, che si concentra prevalentemente sulla monitoraggio in tempo reale, sul rilevamento e sulla gestione degli incidenti, il CFC adotta una logica “fusion”, mutuata dal mondo dell’intelligence e della difesa, che promuove la condivisione attiva di informazioni e una visione trasversale dei rischi. Questa integrazione è spesso rafforzata da team multidisciplinari in cui collaborano analisti di sicurezza, threat hunter, esperti di threat intelligence, sviluppatori di automazione, analisti di rischio e persino specialisti di compliance.

Qui si lavora per scenari, si simulano crisi, si costruiscono playbook dinamici, si attiva la comunicazione interna e si mantiene la business continuity anche in presenza di minacce attive. In alcuni casi, queste unità sono integrate con i team di compliance, legali e comunicazione, in un’ottica davvero olistica della sicurezza aziendale.

Uno degli aspetti distintivi di un Cyber Fusion Center è la sua capacità di integrare fonti di intelligence interne ed esterne, combinando feed automatizzati con analisi umane, al fine di costruire una comprensione più approfondita e contestualizzata delle minacce. Questo permette alle aziende di anticipare le minacce, piuttosto che limitarsi a reagire una volta che queste si sono già manifestate.

Automazione e orchestrazione per una risposta immediata

I CFC più evoluti fanno largo uso di strumenti di automazione, orchestrazione e intelligenza artificiale (come le piattaforme SOAR – Security Orchestration, Automation and Response e le soluzioni di UEBA), per ridurre i tempi di risposta, migliorare l’efficienza e alleggerire il carico degli analisti.

Le piattaforme SOAR sono solo l’inizio di un processo di automazione molto più ampio. L’obiettivo, infatti, non è solo reagire velocemente, ma orchestrare l’intera catena decisionale, dalla detection alla remediation. Questo include l’aggiornamento automatico delle policy, il patching dinamico, l’iscrizione su blacklist di IP malevoli, l’attivazione di sistemi di backup e l’isolamento delle risorse critiche.

In futuro, queste tecnologie saranno sempre più integrate con sistemi di analisi intelligente basata su AI e ML, per stimare in tempo reale l’impatto economico di un attacco e guidare le decisioni operative, traducendo metriche tecniche in indicatori comprensibili per il top management.

La variabile umana come punto di forza

L’elemento umano resta comunque centrale perché la resilienza non può esistere senza una consapevolezza diffusa. I modelli di sicurezza più efficaci sono quelli che trasformano i dipendenti in sensori distribuiti, capaci di riconoscere e segnalare comportamenti anomali.

Il futuro delle campagne di awareness sarà personalizzato, continuo, integrato nei flussi di lavoro. La gamification, l’AI conversazionale, i contenuti adattivi sono strumenti già sperimentati con successo. Le aziende più avanzate stanno sviluppando piattaforme di “human risk management”, che monitorano l’esposizione individuale al rischio e offrono percorsi formativi mirati.

Infine, la resilienza è già oggi un criterio di valutazione ESG, un elemento di due diligence nei processi di acquisizione, un parametro richiesto dagli investitori. Le aziende che riescono a documentare la propria capacità di reazione agli incidenti informatici si posizionano meglio sul mercato, ottengono migliori condizioni assicurative, rafforzano il rapporto fiduciario con il cliente.

Il modello Zero Trust: fiducia zero, controllo continuo

Il paradigma Zero Trust è molto più di una configurazione tecnica: è un principio di progettazione. Non si tratta solo di autenticazione forte, ma di una governance dell’identità continua. In ambienti ibridi e multicloud, la gestione delle identità diventa la nuova superficie d’attacco.

IAM, PAM (Privileged Access Management), CIEM (Cloud Infrastructure Entitlement Management) sono tecnologie fondamentali per implementare un accesso granulare, dinamico e contestuale. L’uso dell’intelligenza artificiale nei sistemi di autorizzazione permetterà in futuro una gestione ancora più adattiva, in grado di prevenire l’abuso dei privilegi in tempo reale.

Microsegmentazione come risposta architetturale

Una delle strategie tecnologiche più efficaci per aumentare la cyber resilienza è la segmentazione della rete. La microsegmentazione consente di costruire aree a fiducia limitata, in cui ogni segmento viene controllato e isolato. Questo approccio riduce la possibilità di movimento laterale degli attaccanti e consente un contenimento più rapido in caso di incidente. L’integrazione con tecnologie SDN (Software-defined networking) permette, in aggiunta, una gestione granulare e dinamica delle policy di accesso. L’adozione di queste soluzioni comporta però un cambiamento profondo della struttura IT, che deve diventare sempre più modulare e adattabile, supportata da policy di sicurezza capaci di aggiornarsi automaticamente in base al contesto.

La convergenza di sicurezza IT/OT nei contesti industriali

Uno degli ambiti dove la cyber resilienza assume maggiore complessità è quello industriale, dove si intersecano tecnologie informatiche (IT) e operative (OT). Le reti industriali, spesso progettate per funzionare in ambienti chiusi e isolati, si trovano ora interconnesse a sistemi aziendali, esposte alle stesse vulnerabilità del mondo IT. In questo contesto, garantire la continuità operativa richiede non solo protezione dei dati, ma anche salvaguardia dei processi fisici. Gli attacchi a sistemi SCADA o PLC possono avere impatti diretti sulla produzione, sulla sicurezza dei lavoratori o sull’ambiente. La resilienza diventa quindi anche una questione di sicurezza funzionale, con necessità di test continui, simulazioni su digital twin e strumenti di network detection and response specifici per ambienti OT.

Le 10 Best practice di cyber resilienza

  1. Effettuare una mappatura completa e aggiornata degli asset critici aziendali, considerando sia le risorse fisiche che digitali, e riesaminare periodicamente il loro livello di esposizione alle minacce informatiche.
  2. Valutare regolarmente il rischio cyber con strumenti quantitativi (es. CRQ – Cyber Risk Quantification), per poter allocare budget e risorse in modo proporzionato alla reale esposizione.
  3. Applicare un modello di sicurezza Zero Trust, basato sul principio “mai fidarsi, verificare sempre”, che richiede l’autenticazione continua degli utenti e dei dispositivi, il controllo dinamico degli accessi, la segmentazione delle reti e l’applicazione di policy di minimo privilegio in tutta l’infrastruttura digitale.
  4. Attivare sistemi di monitoraggio continuo, capaci di rilevare in tempo reale eventuali anomalie o vulnerabilità, adottando piattaforme XDR (Extended Detection and Response), che integrano funzionalità SIEM, EDR e analisi contestuali, fornendo capacità avanzate di rilevamento e risposta agli incidenti su tutti i vettori di attacco attraverso una piattaforma centralizzata e coordinata.
  5. Adottare tecnologie basate su intelligenza artificiale e machine learning per automatizzare l’identificazione delle minacce e la risposta agli incidenti, potenziando la capacità predittiva dei sistemi di sicurezza.
  6. Integrare soluzioni di backup resilienti, geograficamente distribuite e regolarmente testate per il ripristino rapido, affiancandole a piani di disaster recovery che includano anche scenari di cyber attacco prolungato.
  7. Rivedere costantemente le policy di sicurezza, aggiornandole in funzione dell’evoluzione delle minacce e delle normative, con audit interni periodici per verificarne l’efficacia e la conformità.
  8. Organizzare piani di formazione continua con aggiornamenti frequenti e realizzare esercitazioni di risposta agli incidenti (cyber drill), coinvolgendo non solo i team IT ma anche le funzioni business.
  9. Integrare la sicurezza nei processi di sviluppo software (DevSecOps), garantendo che ogni nuova funzionalità sia valutata anche in termini di impatto e robustezza rispetto alle minacce informatiche.
  10. Valutare e gestire il rischio informatico della supply chain, stabilendo criteri minimi di sicurezza per i fornitori, verifiche periodiche di conformità e meccanismi di risposta condivisi per contenere potenziali vulnerabilità propagate da terze parti.

LEGGI ANCHE

Gli ultimi articoli