Quali devono essere gli obiettivi prioritari in materia di sicurezza per un’azienda?
La priorità è la continuità operativa. La sicurezza non è un fine in sé, ma la condizione perché servizi e processi restino disponibili, i dati rimangano integri e gli SLA siano rispettati anche durante un incidente. In un contesto in cui catene digitali e fornitori sono interdipendenti, l’azienda deve essere in grado di erogare servizi senza interruzioni, preservare la fiducia dei clienti e proteggere la propria capacità di generare ricavi. Prevenzione e capacità di restare operativi sono parti del medesimo disegno strategico: la maturità della sicurezza di un’azienda non si misura soltanto dai tentativi bloccati, ma dalla capacità di continuare a funzionare quando qualcosa va storto, limitando l’impatto economico e reputazionale.
Dal punto di vista tecnologico, come si affrontano i rischi in modo efficace?
Le tecnologie sono essenziali e devono intervenire, innanzitutto, in chiave preventiva, ma non è sufficiente un impianto fondato su regole statiche e “signature”. I cyber criminali cambiano continuamente tattiche e tecniche di movimento laterale con una velocità che impone piattaforme capaci di combinare analytics avanzati, AI e threat intelligence, con una telemetria ampia che includa utenti, endpoint, server, workload cloud e traffico di rete. Serve la capacità di distinguere ciò che conta dal rumore, portando in superficie i segnali deboli che anticipano un incidente. Il contributo della tecnologia va però sostenuto integrandola all’interno di processi chiari, con ruoli e responsabilità definiti, metriche condivise con il business e tempi decisionali compatibili con le finestre operative.
Cosa serve oltre alla prevenzione?
La capacità di essere cyber resilienti. Dobbiamo assumere che l’invulnerabilità al 100% non esista. Neppure per chi utilizza le migliori tecnologie disponibili. L’obiettivo è ridurre la probabilità di compromissione e, se accade, garantire che l’azienda continui a erogare servizi senza impatti percepiti dai clienti, mentre i “runbook” di risposta riportano rapidamente la normalità. Questo richiede segmentazione e isolamento selettivo, orchestrazione del ripristino, replica dei dati, comunicazione coordinata verso stakeholder interni ed esterni e una disciplina di esercitazioni periodiche. In questa prospettiva, RPO (Recovery Point Objective) e RTO (Recovery Time Objective) cesano di essere metriche solo IT e diventano KPI di business, perché definiscono la perdita di dati ammissibile e il tempo di indisponibilità compatibile con gli obiettivi economici.
OpenText come abilita in pratica questo modello?
Mettiamo insieme tre dimensioni complementari. La prima è la visibilità “oltre il perimetro”,: visibilità esterna, analisi comportamentale interna e risposta coordinata. All’esterno partiamo dall’analisi globale degli indicatori di minacce: OpenText Adversary Signals (già ArcSight cyDNA) osserva su scala Internet l’infrastruttura e le tracce operative degli attori di minaccia, anticipando tattiche e metodi prima che giungano alle porte dell’azienda. All’interno dell’organizzazione, OpenText Core Threat Detection and Response effettua analisi comportamentali (UEBA) con machine learning non supervisionato per evidenziare comportamenti anomali di utenti, endpoint e workload, riducendo il rumore nel SOC e spostando il focus sugli eventi realmente rilevanti, integrandosi nativamente con gli ecosistemi di sicurezza Microsoft. La threat intelligence operativa BrightCloud alimenta reputazione di domini e IP, rilevazione di phishing e classificazioni Web in tempo reale. Infine, per garantire continuità e ripartenza veloce, le tecnologie Carbonite e Webroot nel portafoglio OpenText abilitano backup, replica e disaster recovery orchestrati.
Accesso e gestione dell’identità che ruolo hanno nella cyber resilienza?
L’identità è il nuovo perimetro e non riguarda più soltanto le persone. Oggi parliamo di identità di utenti, dispositivi, applicazioni, API e workload. Tutte queste identità definiscono la superficie di attacco reale. La cyber resilienza richiede un modello IAM che tenga insieme autenticazione forte, controllo degli accessi basato sul rischio, governance delle identità secondo il principio del minimo privilegio e una correlazione continua con i segnali comportamentali. È qui che si sommano tre esigenze: ridurre l’esposizione preventiva, riconoscere tempestivamente gli abusi d’identità e limitare l’effetto domino in caso di compromissione. In OpenText facciamo lavorare in modo coerente e coordinato le soluzioni di access management, identity governance e autenticazione avanzata con il motore di analisi comportamentale: l’anomalia non è solo un alert, diventa un input per modificare in tempo reale le decisioni di accesso, rafforzare la verifica o isolare un contesto finché l’analisi non è conclusa.
E per la protezione dei dati?
È un altro tassello complementare e imprescindibile della cyber resilienza. A queste esigenze OpenText dedica una serie di soluzioni specifiche (in precedenza riunite all’interno del brand Voltage – N.d.R.) e siamo l’unico vendor che, grazie a tecnologie di mascheramento brevettate, non si limita a cifrare i dati in condizione di riposo o in transito, ma anche durante l’uso pur preservandone la referenzialità funzionale.
Parliamo di compliance, a partire da NIS2
NIS2 rende cogente una gestione del rischio strutturata e la capacità di notificare gli incidenti entro finestre temporali precise, con tracciabilità e auditabilità delle evidenze. La nostra piattaforma supporta l’intero ciclo: misure preventive e di detection documentabili; telemetria e correlazioni utili per le notifiche tempestive agli stakeholder; meccanismi di replica e ripristino per garantire la resilienza del servizio. In questo modo tecnologia e governance si rafforzano a vicenda e l’allineamento ai requisiti normativi diventa più lineare. Inoltre, NIS2 richiede pratiche di sviluppo e codice sicuro lungo tutto il ciclo di vita del software: in questo ambito OpenText garantisce copertura con le soluzioni Fortify, da anni riconosciute come riferimento di mercato per la sicurezza applicativa.
L’AI è amica o nemica della sicurezza?
È entrambe le cose. L’AI oggi potenzia anche i criminali, dalla generazione di codice alla social engineering. Ma, se ben adottata, è un moltiplicatore di difesa: consente di riconoscere pattern anomali invisibili alle regole statiche e di passare da un approccio reattivo a uno preventivo. Serve però un salto di maturità: protezione rigorosa di credenziali e proprietà intellettuale, autenticazione forte, segregazione dei privilegi, responsabilità individuale e cultura della sicurezza guidata dal top management. OpenText porta un’esperienza pluridecennale di machine learning applicato alla security e la incorpora nelle sue soluzioni per renderla realmente efficace e fruibile dalle aziende.