Nell’articolo che condividiamo di seguito, Cristina Mariano, Country Manager Italia di Advens gli aspetti da considerare per mettere a punto una strategia di difesa efficace in uno scenario sempre più inquietante per la sicurezza informatica.
Buona lettura!
Come prevenire – e affrontare – una crisi informatica: sette passaggi chiave
Siamo già oltre la metà del 2025 e il panorama della sicurezza informatica continua a evolversi a un ritmo senza precedenti. I trend di quest’anno mostrano però un cambiamento significativo rispetto al passato con un’intensificazione delle minacce guidata dall’intelligenza artificiale, come leva tecnologica nei vettori d’attacco. Assistiamo a un aumento degli attacchi mirati alle tecnologie operative (OT), con l’obiettivo di compromettere infrastrutture critiche e sistemi industriali strategici. Parallelamente, si registra un rafforzamento delle normative europee in materia di cybersecurity, che puntano a innalzare i livelli minimi di protezione e resilienza digitale. Diventa quindi fondamentale adottare strategie di difesa proattive e tecnologicamente avanzate, capaci non solo di prevenire i rischi, ma anche di rispondere con efficacia alla crescente sofisticazione delle minacce.
Tra le principali tendenze identificate dagli esperti di settore troviamo campagne di phishing sempre più credibili, il furto di credenziali e l’uso improprio di strumenti legittimi (come la posta elettronica aziendale o le applicazioni), attacchi mirati alle infrastrutture cloud e lo sfruttamento dell’intelligenza artificiale a scopo offensivo.
Come è possibile affrontare con relativa sicurezza questo scenario sempre più inquietante? Sono diversi gli aspetti da considerare per mettere a punto una strategia di difesa efficace.
- Valutare la propria postura di sicurezza informatica
Una diagnosi approfondita della postura di sicurezza informatica consente di identificare le vulnerabilità più critiche, mappare i dati sensibili e comprendere il livello di esposizione dell’organizzazione. Questa valutazione include anche la verifica dell’allineamento agli standard di riferimento, come la ISO/IEC 27001, e agli obblighi normativi applicabili, come la Direttiva NIS2. L’audit rappresenta così la base per definire un piano d’azione concreto, rafforzare la resilienza e ridurre i rischi prima che si traducano in incidenti reali.
- Testare e rafforzare i meccanismi di difesa
Le simulazioni di attacco sono strumenti fondamentali per valutare l’efficacia delle difese informatiche. Attraverso attività di Red Teaming, un hacker etico simula azioni offensive mirate e verifica i meccanismi di difesa dell’organizzazione (Blue Team). Gli esercizi di cooperazione (Purple Team) favoriscono il confronto tra attacco e difesa, individuando debolezze e opportunità di miglioramento.
Queste simulazioni si svolgono in condizioni reali e si basano su scenari concreti ispirati al modus operandi dei cybercriminali: penetrazioni da remoto tramite vulnerabilità nel sistema informativo, intrusioni fisiche sfruttando tecniche di social engineering e altre.
- Formare regolarmente i dipendenti
La sicurezza non riguarda solo la tecnologia, ma parte dal comportamento individuale. La semplice apertura di un allegato può compromettere un intero sistema informatico e, dal momento che le e-mail “infette” stanno diventando sempre più credibili, è fondamentale educare i dipendenti. Non è un caso che la direttiva NIS2 e il relativo D.lgs. 138/2024 indichino proprio la formazione in sicurezza informatica come un tassello fondamentale per la sicurezza delle organizzazioni.
Sono diverse le buone pratiche a basso costo che possono essere applicate sia individualmente che collettivamente:
- Proteggere l’accesso con password uniche e complesse e cambiarle periodicamente. Si raccomanda anche l’utilizzo di password manager e l’autenticazione a due fattori (MFA).
- Eseguire regolarmente il backup di tutti i dati, preferibilmente su cloud con alto livello di crittografia dei dati e autenticazione a più fattori.
- Aggiornare sistematicamente hardware e software: computer, tablet, applicazioni, sistemi operativi, ecc.
- Utilizzare e garantire la corretta configurazione dei software di sicurezza informatica: antivirus, anti-malware, ecc.
- Non scaricare o installare applicazioni di dubbia provenienza: prestare attenzione ai messaggi non previsti, che potrebbero essere in realtà tentativi di phishing o smishing.
- Verificare la legittimità dei siti di e-commerce prima di effettuare un acquisto.
- Mantenere il controllo dei propri account social proteggendone l’accesso e assicurandosi che le informazioni personali rimangano private.
- Separare strumenti e account professionali da quelli personali
- Limitare l’uso di reti Wi-Fi pubbliche e non eseguire mai operazioni sensibili su connessioni non protette.
- Stabilire un piano di risposta agli incidenti
Disporre di un piano di risposta agli incidenti significa definire in anticipo le azioni da intraprendere in caso di attacco informatico, assegnando responsabilità chiare, procedure operative e competenze necessarie per reagire con tempestività ed efficacia.
Un piano ben strutturato permette all’organizzazione di:
- contenere rapidamente la minaccia,
- limitare l’impatto operativo ed economico dell’incidente,
- ripristinare la normalità nel minor tempo possibile.
Prepararsi in anticipo fa la differenza tra un disservizio gestito e una crisi che compromette la fiducia di clienti, partner e stakeholder.
- Programmare esercitazioni con regolarità
La simulazione di una crisi informatica con tutte le parti coinvolte – direzione, team aziendali, IT e sicurezza – consente di testare le procedure, i ruoli e il coordinamento interno in condizioni simili a quelle di un attacco informatico. Queste esercitazioni immersive espongono i dipendenti ad attacchi realistici ed evidenziano eventuali aree di miglioramento, con l’obiettivo di rafforzare la postura difensiva collettiva e migliorare le capacità di reazione.
- Affidarsi all’esperienza degli specialisti
In un panorama di minacce in continua evoluzione, il supporto di esperti qualificati è fondamentale per adottare misure efficaci di prevenzione e risposta. Un ruolo chiave è svolto dai CERT (Computer Emergency Response Team): gruppi di professionisti specializzati nella gestione degli incidenti di sicurezza informatica il cui ruolo è quello di monitorare e contrastare tempestivamente gli attacchi. Il CERT lavora a stretto contatto con l’organizzazione per coordinare la risposta all’incidente, contenere la minaccia, ripristinare la normalità nel più breve tempo possibile e fornire raccomandazioni per prevenire attacchi futuri.
- Rafforzare la sicurezza con un monitoraggio continuo tramite SOC
Garantire la protezione costante dei sistemi informativi richiede il supporto di un Security Operation Center (SOC). Che sia gestito internamente o erogato da un operatore specializzato in modalità as a service, il SOC è un elemento chiave nella protezione dei sistemi informativi di un’organizzazione, difendendone gli asset strategici, compresi gli utenti, i dati sensibili e le infrastrutture critiche.
Uno dei principali vantaggi del SOC risiede nella sua capacità di fornire una visibilità completa ed integrata su tutti i perimetri dell’organizzazione, che si tratti di ambienti IT, endpoint, cloud o sistemi OT (Operational Technology). Questa visione d’insieme consente di rilevare tempestivamente le minacce, reagire con efficacia agli incidenti e anticipare i rischi, rafforzando la resilienza complessiva dell’organizzazione.
Investire oggi nella sicurezza informatica significa proteggere la continuità operativa di domani. Ogni passo verso la cyber resilienza è un passo verso la fiducia.
di Cristina Mariano, Country Manager Italia, Advens
