Identità e dati sono i nuovi perimetri. La velocità è tutto. Oltre il 60% delle aziende presenta almeno una vulnerabilità critica esposta. La resilienza non si compra, ma si misura. Solo la governance integrata tra IT, OT, risk management e C-suite può renderla efficace
Un’interruzione operativa causata da un attacco informatico o da un guasto tecnologico può generare perdite economiche paragonabili a quelle di un lancio di prodotto fallito o di una crisi reputazionale. Mentre l’integrazione tra sicurezza e cloud si fa sempre più stretta, il 2024 si è chiuso con un segnale chiaro: le imprese italiane stanno rafforzando i propri investimenti in cybersecurity e business continuity Ma quanto sono davvero preparate a questo cambio di paradigma? Solo una minoranza di CISO si dice pienamente pronta ad affrontare un attacco o un incidente senza subire danni significativi o interruzioni prolungate. Un segnale allarmante che evidenzia quanto la sicurezza digitale sia ormai una leva critica di sopravvivenza, non solo di competitività.
Secondo l’ultimo rapporto CLUSIT, l’associazione italiana per la sicurezza informatica, il 10% dei cyberattacchi globali colpisce l’Italia: il dato evidenzia non solo la crescente esposizione del nostro Paese, ma anche la persistente fragilità di molte realtà produttive. Il report fotografa con lucidità una dinamica già nota agli analisti del settore: si amplia il divario tra chi può investire in cybersicurezza e chi ne resta escluso. Le grandi imprese – a seconda del grado di maturità e del settore di appartenenza – hanno rafforzato i propri presidi digitali, adottando policy evolute, strumenti di prevenzione avanzati e infrastrutture costantemente aggiornate. PA e PMI, invece, continuano a soffrire un divario crescente: risorse limitate, carenza di competenze specialistiche e, in molti casi, una scarsa consapevolezza del rischio. Senza test operativi sui piani di risposta, la resilienza resta solo teorica. In questo scenario, l’intelligenza artificiale emerge come un alleato per abilitare un approccio Zero Trust, considerato il framework più efficace per proteggere identità, accessi e flussi informativi. L’utilizzo dell’AI introduce però nuove superfici di attacco: algoritmi mal addestrati, automazioni non presidiate o manipolazioni dei dati possono trasformare la tecnologia in un punto di vulnerabilità.
La sfida per le organizzazioni non è solo adottare strumenti innovativi, ma farlo in modo consapevole, integrando l’AI in un framework di governance chiaro, verificabile e costantemente aggiornato. Il gap da colmare non è solo tecnologico: spesso mancano una strategia integrata, un assessment realistico delle vulnerabilità e – soprattutto – una cultura condivisa della resilienza digitale. Nel bilancio tradizionale, la cybersecurity viene spesso trattata come un costo operativo necessario – al pari di una polizza assicurativa: utile solo in caso di incidente. Un approccio che si rivela non solo riduttivo, ma anche strategicamente miope e, nel lungo periodo, economicamente insostenibile in un contesto ad alta esposizione digitale. Ed è proprio qui che i vendor possono giocare un ruolo abilitante: un’opportunità concreta per mettere a sistema competenze, visione e capacità di innovazione, accompagnando le imprese verso un modello di resilienza proattiva – fondato su tecnologia avanzata, governance strutturata e cultura della sicurezza diffusa.
LOGICHE OLTRE IL PERIMETRO
Cosa vuol dire essere cyber-resilienti? E come si traduce questa capacità nelle strategie dei principali attori della cybersecurity? Dal confronto con sette protagonisti di primo piano – Bitdefender, Check Point Software Technologies, CY4GATE Spa, Gyala, Kaspersky, Rubrik e Semperis – prende forma un panorama articolato, fatto di tecnologie avanzate, ma anche di cambiamenti culturali, organizzativi e operativi. Nel nuovo scenario cyber, la differenza non la fa chi riesce a evitare tutti gli attacchi, ma chi sa sopravvivere e ripartire subito dopo. Se la prevenzione è prioritaria, la velocità è tutto. Il tempo di reazione è ormai un indicatore tanto critico quanto la capacità di difesa preventiva. Una minaccia contenuta in pochi minuti può fare la differenza tra un disservizio gestibile e una crisi reputazionale irreparabile. Identità e dati sono i nuovi perimetri.
Bitdefender si concentra sulla prevenzione tecnica proattiva e sulla riduzione della superficie d’attacco, con attenzione agli attacchi “living-off-the-land”. L’approccio mira a rafforzare i sistemi dall’interno, intervenendo su vulnerabilità, patching automatico e controllo degli accessi. Check Point Software Technologies promuove un paradigma “prevention-first”, sostenuto da AI, threat intelligence condivisa e automazione. L’assessment continuo, automatizzato e fondato su metriche oggettive è un pilastro della strategia: la resilienza non dipende solo dalla tecnologia, ma anche da governance, processi e cultura della formazione. CY4GATE Spa adotta un modello olistico e operativo, valorizzando strumenti come il cyber range, i backup automatici, e un forte focus sulla preparazione pratica. La resilienza è vista come la capacità di gestire un incidente in tempo reale, con ruoli chiari tra IT, security e business continuity. Gyala pone l’accento su ambienti OT e automazione della reaction, integrando detection e controllo diretto sugli asset (anche legacy o segregati). Kaspersky unisce tecnologia e cultura. Promuove difesa multilivello con AI ma punta molto anche su formazione continua e gamificata. L’azienda è tra le più attive nel contrastare il divario di competenze legate alla cybersecurity AI-driven. Rubrik ribalta la logica difensiva tradizionale e adotta un paradigma data-centric. Presuppone che la violazione sia già avvenuta e lavora per minimizzare impatto e tempo di recupero, grazie a backup immutabili, monitoraggio dei comportamenti e protezione delle identità. L’attenzione è sulla resilienza post-breach, più che sulla sola prevenzione. Semperis mette l’identità al centro della resilienza, concentrandosi su Active Directory, privilegi minimi e ITDR. Lo schema è molto organizzativo: gestione della crisi, simulazioni, runbook, visibilità su modifiche, e risposta coordinata in caso di attacco. AI, automazione e XDR costituiscono la triade della detection intelligente. L’intelligenza artificiale non è più percepita come tecnologia emergente, ma come elemento strutturale nei modelli di difesa e risposta: su questo punto tutte le aziende coinvolte concordano. Che si tratti di correlare segnali deboli, automatizzare la risposta o potenziare il lavoro dei SOC, l’AI consente di ridurre i falsi positivi, rilevare attacchi sofisticati e intervenire in tempo reale. Tuttavia, anche qui c’è un rischio crescente: quasi la metà delle aziende italiane ha già subito attacchi AI-assisted, ma solo una minoranza ha formato il personale su queste minacce.
LA BASE DELLA RESILIENZA
L’assessment non è un semplice check, ma un processo continuo per misurare la resilienza, identificare vulnerabilità e orientare le priorità. «Un imperativo strategico per la sopravvivenza e la competitività aziendale» – dichiara Federica Maria Rita Livelli, esperta di risk management e business continuity, tra le figure di riferimento del comitato direttivo CLUSIT. L’incremento degli attacchi informatici si accompagna a un corrispondente aumento della consapevolezza sul tema a livello di board. «Minacce digitali sempre più intense spingono verso un rafforzamento urgente della cyber-resilience a livello globale. Sempre più CdA riconoscono la resilienza digitale come leva di competitività e fiducia sul mercato. La resilienza va costruita in tempo di pace, per agire in tempo di guerra» – spiega Livelli. «Ma se la sicurezza tradizionale è focalizzata sulla difesa, la resilienza è una capacità adattiva: la capacità di un’organizzazione di assorbire l’urto, mantenere la continuità e ripristinare in fretta. Serve passare da una logica di difesa tecnica a una governance integrata, dove tecnologia, persone e processi suonano all’unisono come in un’orchestra. La cyber resilienza non è più un tema IT. Il board deve guidare questo cambiamento, promuovendo una visione integrata tra cybersecurity, business continuity e risk governance».
Il quadro normativo europeo – con NIS2, DORA, GDPR, CRA e AI Act – impone standard elevati di preparazione, test e formazione. Tuttavia, non tutti i settori sono allo stesso livello. Il report ENISA NIS360 del 2024 evidenzia forti disallineamenti di maturità. Tra i settori maturi: energia elettrica, telecomunicazioni, banche e infrastrutture digitali. Settori vulnerabili: PA, sanità, marittimo, spazio, ICT services, gas. L’elemento critico è la governance, che nella pratica si traduce nella capacità di orchestrare business continuity, cybersecurity, risk management e formazione sotto una visione unitaria e attiva, anziché delegare tutto all’IT. Federica Maria Rita Livelli propone un modello “bionico”, dove la resilienza emerge dalla sinergia tra tecnologie integrate, formazione continua e collaborazione interfunzionale. L’adozione di architetture Zero Trust, la protezione AI-driven degli endpoint e le piattaforme orchestrate di security (con visibilità su cloud, dati, IoT e reti) sono gli elementi indispensabili di questo modello. Tuttavia, ciò che fa davvero la differenza è la verifica costante: testare i piani di recovery, simulare attacchi, sfruttare cyber range, digital twin e strumenti di gamification per formare i team. L’AI generativa sta ridefinendo la rapidità e la precisione della risposta agli incidenti, automatizzando detection, analisi comportamentale, classificazione delle vulnerabilità e azioni di contenimento. «Strumenti che, nelle mani giuste, abilitano decisioni più rapide e data-driven» – spiega Livelli.
VISIBILITÀ E REAZIONE
Molti strumenti giocano un ruolo chiave nel rafforzare la resilienza di un’azienda di fronte alle minacce informatiche. «Le tecnologie di sicurezza proattiva, come le valutazioni delle vulnerabilità e la gestione automatizzata delle patch, contribuiscono a colmare tempestivamente le criticità, migliorando l’efficacia delle difese» – spiega Richard De La Torre, technical product marketing manager di Bitdefender. Parallelamente, gli strumenti di ispezione della rete agiscono in modo attivo per contrastare attacchi come la diffusione di malware e i movimenti laterali non autorizzati all’interno dell’infrastruttura. «Le soluzioni di rilevamento e risposta estese (XDR) sono essenziali per individuare attività sospette lungo un’ampia superficie di attacco. Per essere davvero efficaci – continua De La Torre – queste soluzioni devono offrire visibilità su sistemi, reti, piattaforme di identificazione, carichi di lavoro in cloud e dispositivi IoT. Al tempo stesso occorre adottare un approccio Zero Trust, integrando strumenti avanzati per la gestione dell’identità e degli accessi (IAM), soluzioni di monitoraggio dell’integrità e meccanismi di autenticazione a più fattori (MFA), così da rafforzare ogni punto di accesso e contenere i rischi in modo proattivo». La crescita degli attacchi “living-off-the-land”, in cui gli hacker sfruttano strumenti legittimi già integrati nei sistemi – come PowerShell, Netsh, Sudo o SSH – mettono a dura prova le normali operazioni di amministrazione IT.
Secondo i dati di Bitdefender, questa tecnica è stata riscontrata in quasi l’85% degli incidenti di sicurezza più gravi. Mitigare tali minacce rappresenta una sfida significativa, poiché l’intervento potrebbe interferire con i processi aziendali ordinari. Soluzioni avanzate come Bitdefender GravityZone Proactive Hardening and Attack Surface Reduction (PHASR) offrono un supporto concreto, riducendo dinamicamente la superficie di attacco e limitando l’accesso a strumenti sensibili laddove non strettamente necessario. «Oggi le aziende hanno a disposizione numerosi strumenti per rafforzare la propria resilienza contro gli attacchi informatici» – afferma De La Torre. «Tuttavia, è fondamentale che le aziende siano consapevoli del valore strategico di queste soluzioni e compiano scelte mirate, privilegiando quelle in grado di offrire il massimo ritorno sugli investimenti, sia in termini di protezione che di continuità operativa».
IMPRESE ALLA PROVA
Con un dwell time medio superiore ai 21 giorni, un attacco informatico può agire indisturbato per settimane – come spiega David Gubiani, regional director sales engineering, EMEA Southern & Israel di Check Point Software Technologies. «L’assessment non può ridursi a un’attività una tantum, ma deve essere continuo, contestuale e automatizzato. Solo così diventa un pilastro solido della strategia di cyber resilienza». «Un’organizzazione resiliente non si limita a implementare soluzioni di sicurezza, ma ne valuta continuamente l’efficacia in un ciclo virtuoso: identificazione, protezione, rilevamento, risposta e recupero. Un assessment periodico è determinante per mantenere e migliorare la postura di sicurezza di un’organizzazione, consentendo di Identificare vulnerabilità e punti deboli nell’infrastruttura IT che potrebbero essere sfruttati da attori malintenzionati. Inoltre, permette di valutare l’efficacia delle misure di sicurezza per sapere realmente quanto le attuali difese siano efficaci nel prevenire o mitigare gli attacchi, assicurando la conformità normativa».
In Check Point, l’assessment è parte integrante dell’offerta di Threat Exposure Management, potenziata attraverso l’integrazione con ThreatCloud AI. Per valutare l’efficacia delle strategie, le organizzazioni devono guardare a indicatori concreti. Tra i più significativi: il tempo medio di rilevamento (MTTD) e quello di risposta (MTTR), che indicano rispettivamente quanto rapidamente si individua una minaccia e quanto tempo serve per mitigarla. Fondamentali anche il numero di vulnerabilità critiche rilevate, la percentuale di sistemi conformi alle policy aziendali e la frequenza degli incidenti registrati. Monitorare queste metriche consente non solo di reagire, ma di migliorare in modo continuo la postura di sicurezza. «Questi indicatori – continua Gubiani – permettono di passare da una sicurezza “intuitiva” a una basata su dati concreti e misurabili, abilitando il ciclo continuo di valutazione e miglioramento che permette ai CISO di quantificare e ridurre il rischio in modo concreto».
L’automazione e l’intelligenza artificiale stanno trasformando la risposta agli incidenti. La quantità di dati da analizzare supera le capacità umane, e le minacce richiedono una reazione in tempo quasi reale. Secondo i dati di Check Point Research, oltre il 60% delle aziende presenta almeno una vulnerabilità critica esposta, spesso per mancanza di visibilità trasversale. In base agli assessment emergono errori ricorrenti: confondere compliance e sicurezza, lasciare la gestione solo all’IT senza coinvolgere il business, sottovalutare le minacce interne e operare senza una visione integrata. Tra le cause principali: sistemi non aggiornati, piani di risposta mai testati, formazione insufficiente del personale e reti poco segmentate. «La resilienza si misura sul campo – sottolinea Gubiani – affrontando questi errori attraverso strategie mirate e best practice per migliorare la postura di sicurezza e la resilienza dell’organizzazione».
LA RESILIENZA SI ALLENA
Per affrontare uno scenario digitale sempre più instabile, le organizzazioni devono andare oltre la semplice sicurezza per costruire una vera cyber-resilience by design. «Una realtà davvero resiliente è quella che riesce a garantire la continuità anche durante un attacco» – spiega Alessio Paccariè, head of marketing CY4GATE Spa. «Ciò è possibile solo se tecnologia, processi e persone sono pronti a prevenire, rispondere e adattarsi in tempo reale». Il passaggio è culturale: dalla difesa statica alla gestione dinamica dell’incidente. La capacità di contenere l’impatto, garantire la continuità e recuperare rapidamente si trasforma in un vantaggio competitivo. La velocità di reazione diventa tanto strategica quanto la prevenzione. «MTTD e MTTR – tempo medio di rilevamento e di risposta – sono metriche fondamentali: fanno la differenza tra un problema circoscritto e una crisi sistemica». Sul piano tecnologico, la resilienza si fonda su strumenti evoluti: piattaforme di log analysis, AI per l’analisi comportamentale, monitoraggio continuo, backup immutabili, segmentazione delle reti e threat hunting. «Queste tecnologie consentono non solo di rilevare minacce in tempo reale, ma anche di anticiparle e contenerle» – spiega Paccariè.
«L’AI gioca un ruolo chiave: accelera la detection, automatizza le risposte e riduce i falsi positivi, liberando risorse nei team di sicurezza». Ma la tecnologia non basta. «Un errore che vediamo spesso negli assessment è credere che bastino policy e strumenti. Invece mancano test realistici, backup efficaci, e i piani di risposta, quando esistono, spesso non sono noti al personale». I settori più vulnerabili? PA, sanità e manifattura. «Non tutti i settori viaggiano alla stessa velocità. Finanza e assicurazioni, spinte da regolamenti e obblighi di compliance, hanno costruito presidi maturi. Diverso il discorso per PA, sanità, manifattura e PMI: comparti in cui la resilienza è spesso frenata da limiti culturali, mancanza di risorse e carenze infrastrutturali». Una delle criticità ricorrenti è la scarsa collaborazione tra IT, sicurezza e continuità operativa. «Serve un coordinamento continuo, con ruoli chiari e processi condivisi. L’obiettivo è costruire un’unica strategia, non approcci a silos». Dal backup al comportamento: la resilienza si allena. «La strategia di backup e disaster recovery gioca un ruolo centrale, ma deve essere pensata per garantire il ripristino rapido» – spiega Paccariè. «Servono automazione, isolamento dei dati, test periodici e parametri di RTO (Recovery Time Objective) ben definiti. La resilienza non è teoria, ma azione concreta. Anche se molte aziende dichiarano di avere piani di ripristino, questi non vengono testati regolarmente, soprattutto nelle PMI o in settori meno regolamentati». Ecco perché sempre più aziende adottano cyber range, ambienti simulati per esercitarsi su scenari reali. «Formazione continua, esercitazioni regolari, cultura condivisa sono gli ingredienti per una postura solida». Non basta avere un piano: bisogna aggiornarlo e integrarlo nel disegno complessivo dell’organizzazione, in modo da legare cybersecurity, business continuity e risk governance sotto una regia unitaria.
LA VELOCITÀ È TUTTO
La cyber resilienza va oltre la cybersecurity. «Se la security si concentra sulla prevenzione, l’identificazione e gestione di un incidente, la resilienza si ottiene quando oltre al contenimento dell’impatto si ha il ripristino delle funzionalità operative dell’infrastruttura» – spiega Nicola Mugnato, CTO & co-founder di Gyala. «Un’organizzazione cyber-resiliente è in grado di assorbire l’impatto di un attacco, proteggere la continuità operativa e ripristinare in modo rapido i servizi essenziali, inclusi quelli OT, come per esempio la riattivazione automatica di un PLC compromesso». La piattaforma Agger di Gyala nasce con questa logica e integra automazione e reaction personalizzabili a livello di ogni singolo agent o device, il che permette di assicurare l’operatività e riprendere facilmente il controllo. Per abilitare un nuovo approccio alla cyber resilienza, è necessario superare la logica puramente difensiva. «Tecnologie come XDR e sonde di rete con algoritmi di Intelligenza artificiale, contribuiscono a prevenire le minacce» – spiega Mugnato. «La possibilità di personalizzare le regole di reaction, anche per singolo device, oppure funzionalità come il Tag System per individuare facilmente dove e con quale impatto sia avvenuto un incidente rappresentano un vero salto di qualità nelle logiche di recovery. Inoltre, il monitoraggio dello stato dei device OT e la capacità di intervenire direttamente dalla piattaforma per isolare un asset o guidarne il ripristino – sono elementi essenziali per accelerare il ritorno alla piena operatività». Prevenzione e reazione non sono più alternative, ma componenti sinergiche. «Prevenire resta fondamentale, ma oggi la velocità di reazione è il vero abilitatore della resilienza» – afferma Mugnato.
«Perché consente di bloccare rapidamente gli incidenti, minimizzare l’impatto e ripristinare l’operatività anche in assenza di intervento umano diretto». A fare la differenza sono le tecnologie capaci di adattarsi al contesto e agire in tempo reale: «Dalla possibilità di personalizzare le regole di detection e reaction per singolo asset, all’analisi avanzata del traffico di rete a livello applicativo (layer 7), fino al monitoraggio attivo e passivo degli apparati OT. Un altro elemento critico è la capacità di operare anche in reti segregate, supportando ambienti misti con sistemi legacy». Raggruppate in una piattaforma unificata come Agger, queste funzionalità offrono una base solida per sviluppare una resilienza cyber concreta e duratura.
L’AI CAMBIA LE REGOLE
L’intelligenza artificiale accelera in modo significativo la risposta agli incidenti di sicurezza grazie alla sua capacità di analizzare grandi volumi di dati in tempo reale, individuare comportamenti anomali e automatizzare le azioni di contenimento. «Nelle soluzioni EDR e XDR, l’AI consente di rilevare anche minacce sofisticate o sconosciute, riducendo i falsi positivi e alleggerendo il carico dei team di sicurezza» – spiega Cesare D’Angelo, general manager Italy, France & Mediterranean di Kaspersky. «Inoltre, è in grado di attivare risposte automatiche – come l’isolamento di dispositivi compromessi o la quarantena di file sospetti – che permettono di limitare l’impatto dell’attacco sin dai primi istanti. In questo modo, le organizzazioni possono intervenire con maggiore tempestività ed efficacia, migliorando la loro resilienza complessiva».
Secondo una ricerca Kaspersky, il 43% delle aziende italiane ha già rilevato attacchi informatici guidati dall’AI, di conseguenza l’integrazione di un ecosistema XDR completo consente una visione unificata e una risposta tempestiva. «Inoltre, servizi gestiti, come Kaspersky Managed Detection & Response, permettono di rilevare e contenere minacce complesse anche in assenza di competenze interne. Infine, la Threat Intelligence migliora la reattività agli incidenti. In uno scenario ad alto rischio reputazionale, queste tecnologie rappresentano una difesa essenziale». Per migliorare la resilienza aziendale è essenziale adottare soluzioni di sicurezza multilivello, integrate e alimentate da tecnologie avanzate come l’intelligenza artificiale – continua D’Angelo. «Le soluzioni Kaspersky Next integrano funzionalità basate sull’intelligenza artificiale per rilevare automaticamente le minacce emergenti, affiancate da avanzate misure di hardening, come application control, web control e gestione di vulnerabilità e patch». La formazione continua è una leva decisiva per costruire la resilienza aziendale. «L’82% delle aziende italiane ne riconosce il valore, ma il 43% denuncia una carenza di competenze specifiche, soprattutto in ambito cybersecurity e intelligenza artificiale. Per colmare questo gap – spiega D’Angelo – servono percorsi pratici e mirati, come quelli offerti da Kaspersky Cybersecurity Training e Kaspersky Automated Security Awareness Platform, che includono moduli sulle minacce AI-assisted». La teoria, però, non basta. Strumenti interattivi come il nuovo Kaspersky interactive ransomware game e risorse aggiornate come AI Technology Research e Kaspersky Daily rafforzano l’apprendimento continuo. «Un approccio olistico alla formazione combina contenuti tecnici, pratici e culturali, trasformando i dipendenti da anello debole a prima linea di difesa, contribuendo in modo determinante alla resilienza complessiva».
RESILIENZA DATA-DRIVEN
«La capacità di operare efficacemente in un ambiente caratterizzato da minacce costanti definisce un’organizzazione cyber-resiliente». Parola di Alessio Stellati, regional director Italy di Rubrik. Non si tratta solo di difendersi. «La vera resilienza consiste nell’identificare precocemente le minacce, contenerne l’impatto e garantire la continuità operativa anche durante un attacco. Una strategia cyber-resiliente integra sicurezza, protezione dei dati e business continuity. Significa saper reagire in fretta, ripristinare sistemi e dati in modo efficace. Ma significa anche apprendere dagli incidenti, adattare le strategie, formare i dipendenti e attivare team di risposta strutturati». Alla base, però, c’è un cambio di paradigma: «Occorre agire come se una violazione fosse già avvenuta, pianificando ogni azione per essere pronti al peggio».
Se la resilienza parte dal dato, diverse tecnologie possono contribuire a una reale resilienza IT – soprattutto nel momento in cui si parte dal concetto che la violazione è più che probabile. «In primo luogo, è essenziale una sicurezza incentrata sui dati, che dia la priorità alla loro protezione, andando ad analizzare dove risiedono i dati sensibili e chi li usa, con la capacità di implementare solidi controlli di accesso con verifiche continue, sia umane che automatizzate» – spiega Stellati. «L’intelligenza artificiale può e deve essere un alleato prezioso, in quanto apprende comportamenti in grado di rilevare anomalie e segnali deboli di un attacco in corso, tra cui modelli di login insoliti, esfiltrazioni di dati inaspettate o sottili modifiche alle configurazioni di sistema che altrimenti potrebbero passare inosservate».
La resilienza dell’identità rappresenta una criticità strategica, spesso sottovalutata ma centrale nella sicurezza delle organizzazioni: «Autenticazione forte, monitoraggio continuo e gestione dei privilegi limitano le possibilità di compromissione. L’analisi del comportamento, il rilevamento di privilegi eccessivi e il blocco degli account compromessi sono elementi ugualmente importanti. Sebbene gli attacchi siano inevitabili – spiega Stellati – queste misure riducono significativamente l’impatto e il tempo di permanenza di una violazione, limitando i danni che gli attaccanti possono infliggere. Infine, anche i backup immutabili costituiscono un elemento fondamentale di una strategia completa di protezione, perché garantiscono il ripristino dei sistemi in caso di attacco».
L’IDENTITÀ AL CENTRO
Per Antonio Feninno, vice president of sales per il Sud Europa di Semperis, la cyber resilienza richiede un cambiamento del modello di sicurezza: non più solo la protezione perimetrale, ma l’identità digitale al centro della strategia, test continui di gestione della crisi e awareness diffusa a ogni livello. «Resilienza significa cambiare prospettiva: l’identità va messa al centro, le crisi simulate vanno affrontate come fossero reali, e la consapevolezza deve diventare parte del DNA aziendale. La resilienza reale integra prevenzione, rilevamento e risposta, garantendo continuità operativa anche sotto attacco».
Il cuore della sicurezza si sposta su Active Directory – oggi tra i bersagli primari di minacce avanzate. «Tecnologie come ITDR, EDR/XDR, SIEM con UEBA, backup immutabili e architetture Zero Trust sono essenziali per costruire un modello di difesa proattivo. I settori più maturi hanno adottato framework come NIST o MITRE ATT&CK, mentre sanità, manufacturing e PA sono spesso esposti, soprattutto sul fronte identity e AD» – spiega Feninno. La continuità operativa diventa la nuova metrica del business: «Quando l’obiettivo è restare operativi, la sicurezza evolve in una funzione abilitante, dove la gestione dell’identità e la risposta a crisi cyber devono essere coordinate». Il cyber crisis management assume un ruolo chiave: «Serve un team trasversale, con runbook condivisi e simulazioni regolari. Gli assessment periodici devono misurare la postura delle identità, il tempo medio di rilevamento e risposta (MTTD/MTTR), il privilegio minimo e la capacità di recovery di AD».
Gli errori più frequenti? «Privilegi eccessivi, assenza di test sui backup e scarsa visibilità sulle modifiche critiche». Anche Feninno evidenzia come la velocità di reazione sia oggi cruciale quanto la prevenzione: «L’AI gioca un ruolo chiave nella detection comportamentale e nella risposta automatizzata, riducendo il dwell time e limitando i danni». A completare il quadro, serve una formazione continua – tecnica, organizzativa e decisionale – per alimentare una cultura della resilienza a tutti i livelli dell’organizzazione. «Cambiare paradigma è l’unico modo per rafforzare davvero la resilienza».
