Sintesi a cura del Moderatore: Massimiliano Catanzaro, Senior Sales Engineer / Sophos Italia
Nell’ambito dell’Evento Forum IT & Intelligence 2026 svoltosi presso la sede di Assolombarda, tra le varie sessioni che si sono susseguite durante la giornata, ho avuto il piacere di moderare un tavolo tematico che si proponeva di discutere e condividere fatti, sensazioni, opinioni, paure, insieme ad alcune figure manageriali in ambito IT e Sicurezza, appartenenti a realtà differenti del tessuto imprenditoriale – e non solo - italiano.
Il tema è noto, annoso, e ha una natura conflittuale: da una parte la crescita e l’innovazione, la rincorsa a quote di mercato non ancora conquistate attraverso processi e strumenti innovativi. Dall’altro la necessità di proteggere tutto questo da minacce sempre crescenti, in un contesto geopolotico che cambia di continuo, e non risparmia più nemmeno coloro che solo qualche anno fa’ mai sarebbero stati presi in considerazione quale obiettivo dalle organizzazioni del cyber crime.
Il primo grande ostacolo che devono affrontare i Security Manager è quello della sensibilizzazione del board. Senza investimenti e senza consapevolezza non si riesce a costruire una strategia vincente basata sulla combinazione delle due esigenze. La mancanza di un linguaggio comune che parli di impatti e non solo di rischio non lo permette, e quindi ancora oggi il leit motiv rimane rischio: rischio di sbagliare un progetto e gettare al vento ingenti investimenti, o semplicemente arrivare sul mercato più tardi degli altri. Il rischio invece di vedere andare in fumo e i propri sogni a causa di un incidente informatico è visto come una evenienza rara, che capita sempre solo agli altri, almeno fino a quando non si subisce un attacco o non lo subisce un’azienda concorrente. L’incidente quindi rimane il grimaldello capace di aprire forzieri e caveau con estrema facilità.
Nel corso di questi ultimi mesi però si è fatta largo una forma di rischio che prima veniva poco considerata. Il rischio normativo. Ha un nome ed un cognome: si chiama Direttiva NIS2. Introduce elementi di responsabilità diretta, l’esigenza di garantire formazione adeguata, di dotarsi di soluzioni avanzate, di costruire processi per gestire e fronteggiare incidenti, comunicare, insomma a lavorare sulla prevenzione ed essere pronti a garantire una rapida ripresa di servizi che non a caso sono definiti “essenziali”.
NIS2 parla di sanzioni. Se non si riesce a dimostrare che si è operato in una determinata maniera sugli aspetti sopraelencati, il management e di conseguenza l’azienda sono soggetti a multe anche salate. E questo pare essere la nuova leva per coloro che, faticosamente, hanno il compito di sensibilizzare la proprietà sull’esigenza di costruire intorno all’azienda una struttura che protegga il più possibile il proprio business aziendale.
In questo panorama è chiara quanto bizzarra l’evidenza di come parlare di prevenzione, non trovi ancora terreno fertile. La Direttiva la considera uno strumento indispensabile tanto quanto la formazione ed il buon senso non spinge certo nella direzione opposta.
Eppure sulla carta rappresenta il modo più economico per mitigare il rischio: spesso si tratta di spendere cifre tutto sommato abbordabili in ambito di formazione degli utenti (veicolo inconsapevole di oltre il 50% degli attacchi informatici), di ricerca ed eliminazione delle vulnerabilità (responsabili dell’altro 50%). Esistono poi strumenti più sofisticati e costosi per monitorare in modo continuo sia la propria postura di sicurezza in termini di identità e la presenza di nuove vulnerabilità.
L’altro grande assente in molti contesti è l’analisi del rischio, strumento indispensabile per circoscrivere i settori di intervento e razionalizzare le risorse quando le stesse sono poche. Insieme ad una valutazione sulla postura rispetto alla normativa NIS2 diventa lo strumento per cambiare il paradigma e definire un percorso ben specifico da intraprendere, con obiettivi realistici, azioni possibili, tempi certi ambiti di intervento limitati. Il tutto con lo scopo di mitigare gli impatti sul business reale.