.gif)
.png)
Ascolta l'articolo
0:00
0:00
È ormai un assioma nel settore della cybersecurity l’adagio: “Non è questione di sé, ma di quando accadrà”. Questa affermazione, per chi opera nell’incident response (IR), non è affatto banale né retorica, ma rappresenta la premessa concreta a scenari operativi potenzialmente disastrosi. È proprio da questa consapevolezza che dovrebbe nascere un approccio strutturato alla sicurezza; eppure, in molte organizzazioni, la certezza del rischio non si traduce ancora in scelte tempestive e investimenti coerenti.
Dalla consapevolezza all’inerzia: perché la sicurezza resta rinviata
Nonostante la consapevolezza diffusa dell’inevitabilità di un incidente informatico, questa certezza non si traduce sistematicamente in decisioni concrete volte a migliorare la postura di sicurezza o ad aumentare la resilienza aziendale.
L’esperienza sul campo rivela quanto sia arduo per gli IT manager ottenere il supporto necessario per investimenti in prevenzione e contenimento dei rischi. Le richieste di tempo e budget per attività fondamentali come l’hardening dei sistemi, la segmentazione di rete, il patching periodico e l’implementazione di configurazioni e controlli essenziali si scontrano regolarmente con risposte dilatorie quali “Mettiamolo a budget per il prossimo anno” o sottovalutazioni superficiali come “Abbiamo già l’antivirus, basta e avanza”.
Cybersecurity e continuità operativa: il nodo culturale e strategico
Questa resistenza non è solo finanziaria, ma è radicata in una forte resistenza al cambiamento culturale. L’inerzia organizzativa persiste anche in contesti normativi più stringenti, come la NIS2, che impone misure e processi obbligatori per legge. Troppe aziende non digitali by design faticano a cogliere la logica della sicurezza proattiva. Per molte organizzazioni, in particolare aziende e pubbliche amministrazioni, la cybersecurity è ancora vista come un “problema tecnico” e non come una questione strategica legata alla continuità operativa.
Le policy di cybersecurity non sono un capriccio tecnico, ma rappresentano la prima linea di difesa contro impatti potenzialmente devastanti. La sicurezza risulta costosa e inefficace quando è concepita come la mera sommatoria di tecnologie da installare, anziché come un modello organizzativo, una strategia e un cambiamento migliorativo.
Minacce evolute, impatti concreti: cosa accade quando la prevenzione non basta
Nel panorama attuale, gli scenari di attacco si sono significativamente potenziati. I vettori si sono evoluti, includendo phishing sempre più sofisticati, attacchi mirati contro la supply chain e sfruttamento di vulnerabilità zero-day nel giro di poche ore. Assistiamo a un gap temporale di oltre vent’anni tra l’evoluzione delle minacce e le difese adottate da molte organizzazioni, rimaste ancorate all’idea che un semplice antivirus aggiornato e un firewall siano sufficienti a garantire la protezione.
Come Incident Response Manager, ho assistito a conseguenze di disperazione e rimpianto che superano il danno finanziario diretto. Un attacco ransomware di successo può comportare settimane di inattività, la perdita di trent’anni di documenti, penali derivanti dalla mancata erogazione di servizi o forniture, danni reputazionali severi, sanzioni per violazione GDPR e, in casi estremi, la chiusura definitiva dell’attività. Non da ultimo, gli incidenti informatici possono avere un impatto diretto sulle persone, con dipendenti mandati in cassa integrazione e, a livello di management, amministratori finiti in ospedale per lo stress causato dal fermo produttivo totale.
Un elemento cruciale, spesso sottovalutato, è la gestione delle esfiltrazioni. Vedere dati sensibili dei dipendenti (carte d’identità, passaporti, documentazione medica sui familiari) pubblicati e disponibili pubblicamente pone un rischio significativo per le persone e richiede un cambio di approccio immediato nella strutturazione dei processi di cybersecurity.
Durante le fasi acute di incident response, il management acquisisce una chiara comprensione delle misure necessarie: l’assegnazione di budget per la rimozione di sistemi obsoleti, l’adozione di servizi MDR (Managed Detection and Response), l’implementazione della MFA (multi-factor authentication) almeno per le VPN e la posta elettronica, l’avvio di programmi di formazione, l’uso di EDR (Endpoint Detection and Response) e l’istituzione di policy più stringenti.
Dopo la crisi, il rischio del ritorno allo status quo
Tuttavia, il problema persiste: una volta che l’attività lavorativa è ripresa e la “crisi” immediata è conclusa, si osserva un frequente ritorno allo stato quo ante. L’attacco, il blocco delle attività, i danni economici e reputazionali non sono sufficienti, in molti casi, a innescare un cambiamento duraturo. Il ragionamento strategico corretto non deve focalizzarsi su quanto costa proteggersi, ma piuttosto su quanto costerebbe fermarsi di nuovo.
La letteratura è colma di buone pratiche e le tecnologie necessarie esistono. La differenza tra un’azienda che sopravvive a un attacco e una che soccombe risiede spesso nella corretta gestione della resilienza dei dati. Se fino a dieci anni fa i backup non erano una prassi universale, oggi la sensibilità sul tema è maggiore, sebbene le soluzioni tecniche e procedurali siano talvolta discutibili.
Il backup integro è il salvavita dell’azienda
Nei casi di attacco ransomware gestiti, le aziende dotate di backup integri e testati hanno ottenuto un orizzonte di ripartenza chiaro e relativamente rapido. Al contrario, quelle con backup compromessi hanno affrontato il buio totale: assenza di dati e servizi essenziali da cui ripartire.
Anche in assenza di budget per soluzioni avanzate, come gli immutable backup, o in presenza di un management non ancora convinto della necessità di investire, è imperativo stabilire una procedura interna rigorosa:
-
Definire RPO (Recovery Point Objective) e RTO (Recovery Time Objective) realistici e coerenti con le esigenze del business
- Custodire i backup offline, o garantirne comunque la separazione logica e fisica rispetto all’ambiente di produzione
- Testare periodicamente le procedure di ripristino
-
Simulare scenari di attacco e porsi la domanda critica: “I backup sopravviverebbero a questo scenario?”.
Quando, nonostante le richieste rimandate e i budget negati, l’attività si fermerà, saranno i backup a salvare l’azienda e tutto ciò che ne consegue. È indispensabile adottare processi e soluzioni che proteggano il dato, il lavoro e, soprattutto, le persone. La stessa sensibilità ormai acquisita per la necessità di un backup deve essere estesa alla cybersecurity intesa come un modello strutturato, efficace ed efficiente.
Di Andrea Coli – Incident Response Manager, Cyberoo
