Cyber Security in azienda, oltre la compliance: secsolutionforum e CSA nella Cyber Arena

di Lucia Dallavalle

Dal concetto di dissoluzione del perimetro di sicurezza, con tutte le conseguenze che ciò comporta in termini di rischi, costi e governance, ha preso le mosse l’incontro che secsolutionforum, in stretta collaborazione con CSA – Cyber Security Angels, ha organizzato nel grande contenitore di Fiera SICUREZZA 2025. La tavola rotonda è stata ospitata nello spazio della Cyber Arena e ha visto la partecipazione di Alessandro Bazzani, ICT Manager di Midi Europe ISUZU, Tiziano Sartori, Responsabile Comunicazione, Elettricità e Tecnologie digitali in AmAmbiente, e Valerio Cucciniello, Head of Data & AI Office di Fiera Milano. Attraverso le esperienze condivise dai panelist e grazie all’efficace moderazione di Luca Moroni, co-fondatore del network Cyber Security Angels, l’incontro ha esplorato le trasformazioni che le aziende devono avviare per rispondere alle minacce informatiche in modo adeguato e resiliente, come richiesto dalle normative. La sicurezza aziendale richiede oggi un approccio del tutto diverso da quello con cui si poteva affrontare la cybersecurity fino a ieri, un approccio che deve tenere conto di innumerevoli aspetti.

L’erosione del perimetro e la nuova governance secondo Bazzani

Alessandro Bazzani ha aperto la riflessione sottolineando come, fino a pochi anni fa, la sicurezza informatica si basasse su un “cerchio di sicurezza” ben definito, all’interno del quale le aziende operavano con relativa facilità. Oggi, questo perimetro si è dissolto a causa dello smart working, dell’adozione del cloud e di minacce sempre più sofisticate. La situazione di aumentata insicurezza che ne deriva ha un impatto economico importante (il costo medio globale di un data breach è pari a $ 4.88 M), che aumenta significativamente ($ 1 M in più) quando le violazioni coinvolgono il lavoro da remoto. In questo scenario anche i fornitori esterni diventano potenziali punti di vulnerabilità. Come possiamo rispondere alle nuove minacce? Ci vengono in aiuto le normative europee, come la NIS2, che segnano un punto di svolta per le aziende: la sicurezza informatica non è più una questione confinata ai reparti tecnici, ma diventa una responsabilità diretta del Consiglio di Amministrazione. La gestione del rischio diventa dunque un tema di governance aziendale e richiede ai tecnici lo sforzo di trasferire concetti, che hanno proprie complessità tecniche, al management abituato a ragionare in termini di numeri e di business. Per rispondere a queste sfide, occorre un approccio Zero Trust, con l’adozione di tecnologie MFA (autenticazione a più fattori) e del principio del minimo privilegio. I pilastri su cui investire sono l’identità digitale, la protezione del dato attraverso backup solidi e la capacità di resistere agli attacchi e ripristinare i servizi, tramite piani di business continuity e di disaster recovery. Soprattutto, emerge la necessità di investire nelle persone, che restano l’anello debole della catena, attraverso una formazione continua e la partecipazione a network di professionisti per lo scambio di best practices, lontano dalle logiche commerciali dei singoli vendor.

Sicurezza come elemento strutturale: la visione di Sartori

Tiziano Sartori ha portato la prospettiva di chi gestisce servizi pubblici essenziali, come l’acqua e la raccolta rifiuti per AmAmbiente nel territorio del Trentino orientale. In un mondo digitale frenetico, la continuità del servizio fisico dipende strettamente dalla disponibilità e continuità del dato digitale. “Un incidente informatico, nell’ottica della NIS2, non è più solo un problema tecnico, ma un rischio per la collettività: per esempio non ci si può permettere l’interruzione dell’erogazione d’acqua a causa di un guasto ai server”. Sartori identifica tre sfide strutturali. La prima riguarda la governance aziendale che deve essere distribuita e coinvolgere ogni livello dell’impresa integrando sicurezza fisica, passiva e informatica in una visione unitaria. La seconda sfida è progettuale: la sicurezza deve essere progettata sin dalle fasi di investimento (sicurezza “by design”), non come rimedio successivo a un incidente. Infine, Sartori sottolinea l’importanza della consapevolezza diffusa: gli informatici devono imparare ad usare un linguaggio comprensibile per trasformare la cybersecurity da materia di nicchia a cultura condivisa da ogni figura in azienda e da tutti i cittadini. La compliance alle normative come NIS2 non deve essere quindi vissuta come un obbligo, ma come un’opportunità di crescita collettiva.

Consapevolezza e human factor: i pilastri dell’innovazione responsabile per Cucciniello

Valerio Cucciniello ha approfondito il tema della scomparsa del confine tra rischio fisico e rischio digitale. Abbiamo assistito a una progressiva espansione delle superfici di attacco e dei punti di ingresso che richiede una governance rigorosa dell’ecosistema delle terze parti e dei fornitori di servizi e, come anticipato dai colleghi, l’adozione di un approccio zero trust. Cucciniello pone l’accento sul ruolo dello human factor non solo come vulnerabilità, ma come componente fondamentale da guidare attraverso la semplificazione tecnologica. Le figure come la sua sono chiamate a fare da traduttori, da semplificatori delle nuove tecnologie e di come possano essere utilizzate, puntando sulla consapevolezza dei benefici così come dei rischi ai quali si può andare incontro. Sottolinea come formazione continua e diffusione di una cultura della consapevolezza sull’Intelligenza Artificiale sono elementi imprescindibili. E’ necessario accompagnare le persone con programmi di upskilling e reskilling, spiegando non solo le opportunità ma anche i limiti e le implicazioni etiche e normative. Solo così si può trasformare il fattore umano in leva strategica per la sicurezza e l’innovazione. Un altro aspetto fondamentale è la definizione di una governance aziendale. L’adozione di tecnologie disruptive come l’Intelligenza Artificiale deve avvenire mettendo al tavolo tutti gli attori che, per le proprie competenze e il proprio ambito di attività, possono dare un contributo allo sviluppo coerente del framework di adozione.
La ricetta proposta prevede un approccio basato su casi d’uso ben definiti e un calcolo preventivo dei rischi in fase di progettazione. Anche per Cucciniello, il confronto all’interno di una community di esperti, e in eventi come questa tavola rotonda, è essenziale per condividere casi d’uso e soluzioni che permettono di anticipare un problema o individuarlo e risolverlo più facilmente.

Le conclusioni del moderatore Moroni

Luca Moroni ha coordinato un incontro realmente operativo tra tecnici e professionisti, ha alimentato una discussione profonda sulle nuove sfide della cybersecurity, evidenziando come la sicurezza non possa più essere considerata un elemento accessorio o puramente tecnico, ma debba diventare un pilastro strutturale della governance. Nel corso del confronto, Moroni ha sottolineato che la sicurezza ha un valore intrinseco che va oltre il prezzo di mercato. Rivolgendosi ai responsabili acquisti e ai fornitori di sicurezza tradizionale, Moroni ha ribadito che la NIS2 impone alle aziende di valutare la vulnerabilità dei propri fornitori. Ma è anche un dovere etico quello di verificare la sicurezza della componente digitale dei prodotti fisici, come le telecamere o i sensori che vengono inseriti in sistemi complessi, e la necessità di investire sulle competenze nell’ambiente digitale. La postura di sicurezza del fornitore diventa un requisito essenziale nel processo di acquisto. Citando l’esempio dell’attacco Mirai, che utilizzò dispositivi consumer per bloccare gran parte della rete internet statunitense, Moroni ha evidenziato come la mancanza di competenza digitale nel settore della sicurezza tradizionale possa avere ripercussioni globali.

L’incontro è stato un’importante occasione per mettere a fuoco criticità e soluzioni della convergenza tra sicurezza fisica e digitale in azienda, dal nuovo modello di governance alla compliance normativa che diventa un punto di partenza, non un traguardo, per raggiungere il vero obiettivo: la Cyber Resilience. Un obiettivo strategico, a lungo termine – come hanno osservato tutti i relatori – che deve guidare la politica aziendale e le scelte di business.

La versione integrale dell’articolo riporta tabelle, box o figure, per visualizzarle apri il pdf allegato.