Abbiamo parlato della vita onlife e delle sue trappole che dobbiamo imparare ad evitare, e abbiamo illustrato il quadro normativo globale che, seppur con lentezza, ha introdotto disposizioni per contrastare l’azione dell’hacker, ponendo l’attenzione sul rapporto umano-umano con la vittima.
Il dato è un bene da proteggere: informazioni, servizi, hardware, software, oltre a garantire l’organizzazione ed i profitti delle aziende, comportano responsabilità verso la platea dei proprietari.
Il dato racconta chi siamo, le nostre scelte, le nostre abitudini, le nostre esigenze, le nostre abilitazioni professionali.
Il trattamento, la custodia, l’utilizzo, la diffusione devono avere una finalità specifica: questo significa consapevolezza e assenso per il proprietario, responsabilità e protezione per l’organizzazione che li gestisce.
GDPR e NIS2 sono le direttive che, più che mai, impartiscono alle aziende delle precise responsabilità. Più complessa è l’organizzazione, maggiori gli accorgimenti cui adempiere per garantire la liceità del trattamento e delle azioni. Occorre prevedere e definire procedure organizzative e tecniche contro azioni illecite. Nasce così una politica di sicurezza che regola autorizzazioni, identifica rischi e prevede contromisure tecniche, fisiche e procedurali, incluso il fattore umano.
Identificati i beni e il loro valore, classificati i soggetti per ruolo e affidabilità, l’azienda decide le regole di autorizzazione, prevede le azioni di resilienza a partire dalla valutazione dei rischi. Gli obiettivi di sicurezza sono chiari: riservatezza (evitare uso indebito di informazioni sensibili), integrità (prevenire alterazioni/manipolazioni), disponibilità (evitare perdite di accesso).
L’errore più grosso che si puo’ compiere è pensare che l’attacco hacker inizia solo nel momento in cui si riceve o si riscontra il primo segnale evidente. La sicurezza si garantisce con mezzi fisici (chiavi elettroniche), logici (password/PIN), biometrici (impronte, riconoscimento facciale). Combinazioni di queste attenzioni irrobustiscono la sicurezza, proporzionalmente al valore del dato. Questa è la base della resilienza risk-based richiesta da ACN e NIS2.
Riveste particolare importanza in questo contesto la redazione di apposite procedure operative che, in ambito aziendale, regolano l’uso quotidiano di dispositivi e applicativi, impartiscono delle chiare indicazioni sulla protezione delle infrastrutture informatiche e dei sistemi informativi e sulle modalità comportamentali che i propri dipendenti, non informatici, devono adempiere per garantire la chiusura del cerchio, anche dal basso.
Per esempio:
- stabilire che ogni attore dell’azienda abbia livelli di accesso e azione sui dati differente a seconda del ruolo che svolge in azienda. Ad esempio, un addetto amministrativo puo’ autorizzare un pagamento, un commerciale non deve eseguire analoga funzione.
- Istituire precise responsabilità dell’utente rispetto alla custodia delle password, dei dispositivi, alla segnalazione di anomalie o sospette frodi.
- Regolamentare ad ogni utente l’utilizzo di credenziali personali e non cedibili, stabilire un tempo limite finalizzato al cambio della password e delle regole precise di costruzione della stessa. Favorire o meno l’utilizzo di supporti/periferiche esterne ai dispositivi aziendali.
- Regolamentare l’utilizzo della mail aziendale e evidenziare le e-mail ricevute dall’esterno. Stabilire dei tempi di validità degli account aziendali abbinati alla permanenza del rapporto di lavoro
- Istituire una squadra dedicata a ricevere le segnalazioni di possibili tentativi di frode o phishing, facilmente contattabile ed in grado di dare risposte certe rispetto all’esito delle verifiche.
- Istituire in ambito IT il controllo e la gestione dei software.
- Istituire il concetto e la cultura della responsabilità condivisa, cuore della cultura NIS2.
Un incidente significativo non è solo un attacco riuscito, ma qualsiasi evento che comprometta riservatezza, integrità o disponibilità dei sistemi.
In ambito NIS2 (D.lgs. 138/2024) si impone pertanto la strutturazione di un Incident Response Plan (IRP) strutturato in 5 fasi: preparazione, rilevamento, contenimento, eradicazione/ripristino, lezioni apprese.
Si definiscono ruoli, es. Referente CSIRT (Computer Security Incident Response Team), obbligatorio entro dic.2025, contatti di emergenza e criteri di gravità nella fase di preparazione. Il rilevamento si basa su sistemi di monitoraggio e correlazione dei log in tempo reale (SIEM) e sulle segnalazioni degli utenti, a conferma della responsabilità condivisa nella gestione della sicurezza.
In fase di contenimento si isola il segmento di rete coinvolto, anche grazie a una corretta segmentazione preventiva dell’infrastruttura; segue la fase di eradicazione, con l’applicazione delle patch e il ripristino da backup testati.
Infine, la fase delle “lezioni apprese” consente di aggiornare il risk assessment e migliorare continuamente processi e controlli.
La Timeline di notifiche al CSIRT in Italia è rigida:
- 24 ore: Allarme preliminare
- 72 ore: Report dettagliato con impatti
- 1 mese: Analisi root cause + misure correttive
Obbligatori sono i test annuali: esercitazioni per il management, simulazioni phishing per utenti, red team per IT. Perché un IRP non testato è carta straccia.
Mentre l’IT anticipa le minacce, i colleghi produttivi navigano tra e-mail, riunioni, piattaforme, diventando perfetti bersagli dei phishing che possono superare ogni firewall aziendale.
Serve l’applicazione di una continua Security Awareness. I dati sono l’oro grezzo che diventa informazione, saggezza, strategia ma devono essere adeguatamente protetti da una conoscenza diffusa e condivisa.
Cultura della Cybersecurity è responsabilità comune.
Ogni dipendente deve essere proattivo in tal senso, seguire le indicazioni aziendali sfruttando il bagaglio di conoscenza e consapevolezza acquisiti.
La leadership deve comunicare che la cybersecurity è una priorità strategica, attivando le campagne di awareness nelle 3 fasi: analisi multidisciplinare (IT, HR, Comunicazione, Legale), progettazione di moduli per ogni ruolo, implementazione con metriche di efficacia.
La maturità del modello aziendale puo’ essere misurata attraverso il modello SANS (Security Awareness Maturity Model). Questo modello ha una scala da uno a cinque e ciascun gradino descrive quanto l’azienda passa da una formazione occasionale e reattiva a un programma continuo, misurabile e strategico. A salti si passa da nessun programma(L1) alla dimostrazione attraverso KPI dei livelli di protezione raggiunti(L5).
Un’azienda deve essere per esempio in grado di misurare: il tasso di click su mail di phishing (da mantenere sotto il 5%), l’aumento di segnalazioni spontanee di incidenti e un punteggio superiore all’80% nei test post‑formazione. Le campagne di phishing simulato, svolte con cadenza almeno annuale, misurano il comportamento reale degli utenti, che diventano così la prima linea di difesa.
Oltre a firewall e sistemi SIEM (Security Information and Event Management), stanno emergendo tecnologie come la blockchain: un database distribuito peer‑to‑peer e immutabile, nato con Bitcoin ma applicabile anche alla gestione di log, documenti e supply chain. La blockchain non sostituisce strumenti come IDS (Intrusion Detection System) o MFA (Multi‑Factor Authentication), ma li integra, offrendo log non manipolabili e una tracciabilità completa delle operazioni.
Un esempio di applicazione della blockchain sono gli smart contract, che favoriscono la stipula di contratti digitali, automatizzando i processi relativi alla firma e agli eventi. In un prestito si possono attivare le trattenute automatiche alla scadenza, senza interventi intermedi. Per la pubblica amministrazione possono gestire le catene dei fornitori, per le aziende certificare documenti digitali e, in ambito IoT, contribuire a proteggere reti domestiche e industriali.
La decentralizzazione, e in alcuni casi meccanismi come il proof‑of‑work, rende la blockchain più resiliente agli attacchi: maggiore è il numero di nodi, maggiore è il livello di sicurezza complessivo. La tecnologia non risolve tutti i problemi, ma può elevare l’architettura di sicurezza, combinando immutabilità e automazione sopra le basi tradizionali di firewall e segmentazione di rete.
La compliance a NIS2 non è quindi un evento puntuale, ma un processo di trasformazione continua che integra tecnologie, procedure e cultura organizzativa.
In questo percorso abbiamo analizzato come la cybersicurezza non è solo una questione tecnica ma una continua evoluzione. Siamo passati dalla storia, visionato l’evoluzione normativa, per atterrare sull’esigenza di una scelta di quotidianità. Intrecci che mirano alla protezione dei dati, che parlano di noi, per garantire, oggi più che mai, continuità e certezza nei servizi.
Nessuna tecnologia puo’ garantirci nulla senza la consapevolezza dei rischi a cui ci espone la nostra vita onlife. La vera differenza la fanno: cultura, formazione continua e responsabilità condivisa. Occorre trasformare norme e best practice in abitudini concrete, così che ogni clic, ogni procedura e ogni decisione diventino un pezzo di difesa, per noi stessi, per la nostra organizzazione e per la comunità in cui viviamo. Occorre alimentare la capacità di resilienza dell’essere umano.
Nel prossimo ciclo di articoli parleremo di Leadership e Project Management: non solo di ruoli aziendali, ma di come si guidano le persone in un contesto di lavoro sempre più digitale. Di quanto questo modo di “fare guida” sia diverso dal passato. Metteremo al centro il leader come architetto di contesto e il project manager come regista del lavoro. Occorre importare la velocità di questo tempo e l’esigenza di sicurezza in organizzazioni pensate bene. I progetti hanno un senso, le responsabilità sono condivise e il tempo delle persone è al centro.
Grazie per essere arrivato fin qui.
Buone festività Natalizie e Buon Anno Nuovo.