Pierpaolo Alì director Southern Europe di OpenText Cybersecurity delinea esigenze e soluzioni di protezione negli scenari complessi in cui si combinano ambienti ibridi e multi-cloud, automazione spinta, team distribuiti e responsabilità condivise.
Quali sono oggi le principali preoccupazioni di sicurezza di chi ha applicazioni critiche e dati sensibili in cloud?
La prima preoccupazione è la perdita di controllo operativo dovuta alla frammentazione. Quando le applicazioni vivono tra cloud diversi e data center tradizionali, il rischio più concreto è l’incoerenza: policy applicate in modo diverso, posture non uniformi, configurazioni che si allontanano dagli standard, servizi esposti senza che qualcuno se ne accorga per tempo. È un problema di velocità: l’infrastruttura cambia più rapidamente della capacità di governarla con verifiche occasionali.
Il secondo tema è l’identità. Nel cloud, l’identità è il perimetro reale e gli attaccanti lo sanno. Credenziali sottratte, token riutilizzati, privilegi accumulati nel tempo, accessi temporanei che diventano permanenti: sono tutte condizioni che rendono un attacco più semplice e una compromissione più difficile da distinguere da un’operazione legittima.
Infine, emerge sempre più il tema della protezione e della resilienza del dato. La minaccia non è soltanto la cifratura dei ransomware, ma la combinazione tra indisponibilità ed esfiltrazione, con un impatto che non riguarda solo l’IT ma anche processi, reputazione e compliance. Chi gestisce dati sensibili non può fermarsi alla prevenzione ma deve anche garantire integrità, copie immutabili e capacità di ripristino rapido, insieme alla tracciabilità richiesta dai regolatori.
Come si affrontano in modo operativo queste esigenze?
Per costruire una visibilità utile, cioè capace di trasformare telemetria e log in decisioni, serve correlare eventi, posture e contesto, ridurre il rumore e automatizzare la correzione delle esposizioni più frequenti, prima che diventino porte aperte.
Se l’identità nel cloud coincide col perimetro, allora va trattata come un’infrastruttura critica. Zero trust e modelli di privilegi minimi devono diventare disciplina quotidiana nella governance delle identità, supportati da una revisione continua delle autorizzazioni e autenticazione forte dove serve.
Per garantire operativamente la protezine dei dati serve innanzitutto mantenerli cifrati lungo l’intero ciclo di vita ma anche rendere verificabile la resilienza. Backup e recovery devono essere progettati per resistere anche quando l’attaccante prova a colpire le copie, con segregazione, immutabilità e test periodici di ripristino.
Quali sono le soluzioni e l’approccio proposti da OpenText Cybersecurity per tradurre in pratica queste priorità operative?
L’approccio di OpenText è costruire continuità tra governance e operations, evitando che prevenzione, detection e ripristino restino domini separati. La logica è di piattaforma: mettere in comune dati, contesto e processi, in modo che un segnale rilevato in un punto possa diventare azione in un altro.
La sicurezza cloud non viene affrontata come insieme di strumenti isolati, ma come piattaforma coerente di governance. La OpenText Cybersecurity Cloud funge da layer unificante tra rilevazione delle minacce, gestione delle identità, protezione del dato e risposta agli incidenti.
Sul versante delle security operations, OpenText Enterprise Security Manager (ArcSight) fornisce capacità SIEM avanzate per correlare eventi provenienti da ambienti cloud e on-premise, mentre i moduli di orchestrazione consentono di automatizzare i Playbook di risposta. OpenText Security Log Analytics (ArcSight) supporta log management, investigazione e threat hunting con un’impostazione pensata anche per esigenze di compliance e integrità del dato.
Sul fronte dell’identità, OpenText Identity Manager lavora sulla governance del ciclo di vita, riducendo il rischio di accessi residui e privilegi non più giustificati, mentre OpenText Advanced Authentication consente di rafforzare le policy di autenticazione, anche con modelli più moderni rispetto alla sola password.
Sulla resilienza del dato, OpenText Data Protector si inserisce come componente di data protection e recovery per ambienti ibridi, con l’obiettivo di rendere più solida la catena di ripristino e più difficile la manomissione delle copie.
L’elemento distintivo è la condivisione di contesto tra queste componenti, che consente di trasformare eventi isolati in una visione organica del rischio.
In che modo queste componenti vengono ricondotte a un’unica governance della sicurezza in cloud?
La governance unica non coincide con “un solo prodotto”, ma con un piano di governo coerente: telemetria condivisa, correlazione, gestione dei casi, policy e workflow che non cambiano a seconda dell’ambiente. In pratica significa che eventi, identità e dati possono essere letti insieme, nello stesso contesto operativo, riducendo i tempi di valutazione iniziale e aumentando la qualità delle decisioni.
Questa impostazione diventa particolarmente rilevante in ambienti multi-cloud, dove l’errore più comune è adottare strumenti eccellenti ma scollegati, con regole e priorità diverse tra team. La piattaforma serve a rendere misurabile e governabile ciò che altrimenti resta frammentato.
Voi proponete anche OpenText Core Adversary Signals, un soluzione inconsueta. Mi spiega che cosa fa concretamente?
OpenText Core Adversary Signals (ArcSight) porta un punto di vista “outside in”. Mentre SIEM e strumenti di detection lavorano soprattutto su ciò che avviene dentro l’organizzazione, questa soluzione osserva segnali su scala Internet, individua traffico e comportamenti malevoli rilevanti e li collega a infrastrutture e campagne, costruendo una lettura più ricca di come si muove l’avversario.
Il valore operativo è l’early warning e la prioritizzazione. Se un’organizzazione riceve migliaia di alert, la domanda non è solo “che cosa è successo”, ma “che cosa merita attenzione adesso”. Inserita in un modello di governance, questa visione esterna aiuta a capire quali segnali hanno un legame plausibile con attività ostili in corso e a guidare in modo più mirato hunting, hardening e risposta.
Qual è l’errore più comune che vede nelle aziende quando parlano di cloud security?
Trattarla come un progetto una tantum. Nel cloud, posture, identità e dati cambiano continuamente. La sicurezza funziona quando diventa processo: misurare ogni giorno, ridurre i privilegi in modo sistematico e testare davvero ripristino e procedure operative. Quando queste discipline lavorano insieme, la cloud security smette di essere un insieme di controlli e diventa governo del rischio, a supporto della trasformazione digitale.