Come prepararsi davvero a un attacco informatico

Come prepararsi davvero a un attacco informatico

24 ottobre 2025

Redazione

Un modello per Costruire un’organizzazione di sicurezza matura e Rafforzare la resilienza informatica attraverso i test di sicurezza

Abstract

In un contesto digitale in cui gli attacchi informatici crescono per numero e complessità, la resilienza cibernetica è diventata un pilastro strategico per ogni organizzazione. Non si tratta più soltanto di installare difese tecniche, ma di costruire una cultura di sicurezza che comprenda persone, processi e tecnologie.

Un approccio sempre più adottato anche nel settore finanziario consiste nell’utilizzare test di sicurezza che simulano attacchi reali da parte di hacker con l’obiettivo di prepararsi a un vero attacco informatico.

Queste esercitazioni permettono di:

  • individuare le vulnerabilità nelle tecnologie, nelle persone, negli accessi fisici e nei processi;
  • misurare la maturità del proprio sistema di sicurezza; e, soprattutto,
  • aumentare la resilienza dell’organizzazione;
  • addestrare l’organizzazione a reagire con tempestività in caso di crisi e di incidenti.

Un’organizzazione di sicurezza matura e una maggiore resilienza informatica

Qui si vuole illustrare un modello che aiuti le organizzazioni a valutare e poi potenziare la propria maturità in materia di sicurezza informatica anche utilizzando le best practices derivanti dai test di sicurezza. Partendo da questo modello, le organizazioni possono sviluppare un piano d’azione personalizzato e adeguato alla propria realtà al fine di rafforzare la resilienza informatica complessiva.

Alla base di un’organizzazione di sicurezza matura ed efficace ci sono 4 elementi indipendenti:

  1. Governance,
  2. Igiene di base e gestione del Rischio,
  3. Security Operations Center -SOC,
  4. Threat Intelligence.

Per rafforzare la resilienza informatica complessiva si utilizzano una serie di test di sicurezza ad impatto  crescente sull’organizzazione.

L’ordine dei test non è fisso. Tuttavia, è importante che vengano eseguiti regolarmente, e che i risultati siano valutati e utilizzati per migliorare costantemente l’organizzazione della sicurezza.

Elaborare una roadmap per i test di sicurezza delle informazioni in preparazione a un vero attacco informatico

Il CISO definisce gli obiettivi di maturità della sicurezza delle informazioni e della resilienza informatica dell’organizzazione sulla base degli obiettivi aziendali e delle minacce cyber rilevanti. Questo riguarda i diversi aspetti tecnologici, fisici, umani e procedurali. Una strategia per i test di sicurezza può essere sviluppata in funzione degli obiettivi stabiliti, tenendo conto del rating CIA, Confidentiality-Integrity-Availability (riservatezza, integrità e disponibilità) delle funzioni critiche e dei sistemi informativi di supporto. Questo approccio può aiutare l’organizzazione anche a soddisfare i requisiti previsti dal Digital Operational Resilience Act (DORA).

Dopo l’approvazione a livello di direzione, il CISO istituisce una struttura organizzativa per la gestione dei rischi relativi alla sicurezza delle informazioni. A tal fine, può essere istituito un comitato per la sicurezza delle informazioni nella prima linea operativa, presieduto dal CISO. Questo comitato effettua analisi delle lacune (gap analysis) per ciascuna delle fasi del processo. Le modifiche e le azioni da intraprendere nel tempo per colmare le lacune individuate e raggiungere gli obiettivi prefissati possono essere rappresentate in modo chiaro all’interno di una roadmap per i test di sicurezza delle informazioni.

Per garantire la qualità delle azioni pianificate e delle misure di sicurezza implementate, e per assicurarne il miglioramento continuo, deve essere seguito il ciclo Plan–Do–Check–Act (PDCA). Il CISO è responsabile del coordinamento e del controllo delle misure implementate e riferisce alla direzione (CdA) sullo stato di avanzamento e sui risultati. Questo approccio graduale può aiutare le organizzazioni a migliorare la propria sicurezza delle informazioni e a prepararsi efficacemente a un attacco informatico reale.

Descrizione delle fasi

Di seguito viene fornita una breve descrizione delle fasi illustrate, con alcuni punti di attenzione per la loro implementazione.

1. Costruire un’organizzazione di sicurezza matura

Si può immaginare un asse orizzontale con i 4 elementi indipendenti suddetti: Governance, Igiene di base, SOC, Threat Intelligence. Un’organizzazione di sicurezza matura ha implementato i seguenti quattro aspetti della sicurezza delle informazioni, che vengono illustrati qui di seguito:

Governance

Il CISO – o una figura equivalente – è solitamente responsabile della sicurezza delle informazioni e dispone di una linea di riporto diretta verso il consiglio di amministrazione, che ha la responsabilità finale in materia di sicurezza delle informazioni.
Il management di prima linea deve rispettare le leggi, i regolamenti e le politiche aziendali stabilite in materia di sicurezza delle informazioni. Questo riguarda tutti gli aspetti della sicurezza: la tecnologia (infrastruttura IT e applicazioni aziendali), la sicurezza fisica (edifici, data center), le persone (tutti i dipendenti, incluso il management), i processi (compresi i processi aziendali) e i servizi esternalizzati.

È importante che i manager di prima linea di tutti i dipartimenti coinvolti – come operations, risorse umane, IT, facility management, gestione dei contratti e dei servizi – siano, al pari del CISO, consapevoli del proprio ruolo e delle proprie responsabilità in materia di sicurezza delle informazioni.
Il CISO può istituire e presiedere un comitato per la sicurezza delle informazioni e organizzare riunioni periodiche con questi manager.
Questi incontri servono a fornire consulenza sulle misure implementate, nonché a coordinarle e monitorarle. Il CISO riferisce poi al consiglio di amministrazione sullo stato e sull’avanzamento delle attività.

Igiene di base

Le organizzazioni devono mappare le proprie funzioni aziendali critiche e i sistemi e servizi informativi sottostanti, inclusi tutti i cosiddetti “endpoint”. Insieme, questi elementi costituiscono la superficie d’attacco dell’organizzazione per i gruppi di hacker (“threat actors”).
Sulla base di questa superficie d’attacco – in combinazione con il contesto dell’organizzazione, il suo ruolo nella catena di fornitura e i servizi che ha esternalizzato – è possibile determinare i rischi legati alla sicurezza delle informazioni e quelli derivanti dall’outsourcing.

La gestione del rischio consiste nell’identificare, valutare e controllare tali rischi. Essa rappresenta il nucleo dell’igiene di base e consente di comprendere quali risorse aziendali devono essere protette e quali misure fondamentali devono essere adottate.
La norma internazionale ISO27005 descrive come individuare, valutare e gestire i rischi legati alla sicurezza delle informazioni. Le organizzazioni che desiderano accrescere il proprio livello di maturità possono utilizzare questa norma come linea guida.
Esempi di misure importanti sono il controllo degli accessi per gli utenti, l’autenticazione a due fattori, le procedure di backup e ripristino e il backup offline.
La norma ISO27002 è complementare e fornisce un insieme di misure di sicurezza di base che le organizzazioni possono selezionare e implementare in funzione dei rischi individuati.

Le istituzioni finanziarie devono conformarsi alla normativa DORA. Come in altri settori, possono a tale scopo utilizzare lo standard e la certificazione ISO27001, o una loro versione derivata.
L’obiettivo di queste norme è garantire che l’organizzazione abbia tutto “sotto controllo” per quanto riguarda la sicurezza delle informazioni.

SOC

Il Security Operations Center (SOC) si occupa del monitoraggio, della rilevazione e della gestione degli eventi di sicurezza e degli incidenti informatici.
La responsabilità di queste attività ricade principalmente su analisti specializzati del SOC, che monitorano in modo proattivo gli eventi di sicurezza, li classificano e reagiscono agli incidenti. Inoltre, avviano le procedure di ripristino quando la riservatezza, l’integrità o la disponibilità dei sistemi informativi risultano compromesse.
Il SOC può essere gestito internamente oppure, in tutto o in parte, essere esternalizzato a un fornitore di servizi di sicurezza.

Il SOC utilizza una soluzione SIEM (Security Information & Event Management) per monitorare e rilevare eventi e incidenti di sicurezza.
A tale scopo, raccoglie e analizza continuamente grandi quantità di file di log provenienti dai sistemi critici dell’organizzazione.
È possibile definire manualmente delle use case (regole di allarme) per individuare comportamenti sospetti all’interno di questi log.
L’implementazione di una soluzione SIEM richiede però un notevole coordinamento e sforzo: a causa dell’elevato numero di allarmi (inclusi i falsi positivi), i team di sicurezza possono essere sopraffatti e rischiare di non notare avvisi realmente critici.
È quindi fondamentale configurare il sistema SIEM in modo equilibrato e calibrato.

Per rendere più efficiente il lavoro degli analisti SOC, possono essere implementate anche soluzioni di Endpoint Detection & Response (EDR) e Network Detection & Response (NDR).
L’EDR rileva automaticamente gli Indicatori di compromissione (IoC) sugli endpoint presenti nella superficie d’attacco, utilizzando informazioni globali sulle minacce operative.
Può inoltre individuare comportamenti anomali o sospetti degli utenti sugli endpoint e reagire automaticamente.
Mentre l’EDR monitora i singoli endpoint, la NDR consente di sorvegliare e individuare attività di rete sospette e di rispondervi automaticamente.

La tecnologia SOAR (Security Orchestration, Automation and Response) può infine supportare il coordinamento, l’esecuzione e l’automazione delle attività tra persone e strumenti di sicurezza implementati, integrandoli in un’unica piattaforma.

Threat Intelligence

L’utilizzo della threat intelligence consente a un’organizzazione di ottenere una visione chiara e aggiornata delle minacce rilevanti per la propria realtà.
A tal fine è possibile adottare strumenti forniti da provider di sicurezza esterni, che rilasciano regolarmente aggiornamenti per mantenere le informazioni sulle minacce sempre attuali.
In questo modo, le organizzazioni possono anticipare tempestivamente nuove o crescenti minacce informatiche e adottare le misure di protezione più adeguate.

Le informazioni sulle minacce operative forniscono input diretto alle soluzioni automatizzate di rilevamento utilizzate dal SOC, mentre i dati relativi alle minacce tattiche possono essere impiegati per verificare se il SOC dell’organizzazione sia in grado di difendersi dalle tecniche, tattiche e procedure (TTP) adottate dai principali threat actor internazionali.

2. Rafforzare la resilienza informatica attraverso i test di sicurezza

Si può immaginare un asse verticale per rafforzare la resilienza informatica attraverso i test di sicurezza. Man mano che i quattro aspetti di un’organizzazione di sicurezza matura vengono implementati e la maturità diventa sempre più evidente, è possibile eseguire test di sicurezza con un impatto organizzativo crescente. Di conseguenza, anche l’intensità di tali test aumenta, passando da verifiche tecniche di base e scansioni automatiche a test di sicurezza più complessi e avanzati. Le diverse tipologie di test sono descritte di seguito.

Vulnerability scanning

La scansione delle vulnerabilità è un test tecnico di base e rappresenta una componente fondamentale della gestione delle vulnerabilità. Si tratta di un processo automatizzato e proattivo, eseguito tramite strumenti di scansione che possono individuare quotidianamente vulnerabilità note (CVE) su endpoint, sistemi informativi e reti. Identificando e correggendo tempestivamente i potenziali punti deboli della sicurezza, le organizzazioni possono ridurre la superficie d’attacco e proteggersi meglio da possibili cyberattacchi.

Penetration test (pentesting)

Il pentesting (test di penetrazione) serve principalmente a individuare vulnerabilità tecniche, ma anche a verificare se combinazioni di punti deboli presenti in un sistema informativo o in un processo aziendale possano essere sfruttate per compromettere informazioni o servizi.
Questo tipo di test si basa sulla creatività e sull’esperienza umana e si limita ai componenti inclusi nel perimetro della verifica, come un’applicazione web o un determinato sistema informativo. In alcuni casi la portata del test può essere estesa anche agli spazi fisici in cui si trovano le apparecchiature o opera il personale coinvolto.

I responsabili dei sistemi informativi sono tenuti a eseguire i test di penetrazione sui propri sistemi e a far gestire i risultati dai rispettivi amministratori. I pentest vengono spesso condotti durante la fase di sviluppo e collaudo di nuovi sistemi e, in alcuni casi, sono obbligatori prima della messa in produzione.

Test di consapevolezza (Awareness test)

La consapevolezza in materia di sicurezza riguarda tutti i dipendenti, inclusi i dirigenti. Poiché la maggior parte dei team gestisce informazioni sensibili, ciascuno può contribuire alla loro protezione. È quindi essenziale che tutti conoscano il proprio ruolo e le proprie responsabilità nella prevenzione degli attacchi informatici.
Un programma di security awareness mira a modificare i comportamenti umani in tema di sicurezza delle informazioni. La consapevolezza può essere rafforzata in vari modi: corsi di formazione (anche come parte del processo di onboarding), campagne online, test di social engineering e simulazioni di phishing. È importante che il CISO coinvolga reparti come Risorse Umane e Comunicazione nella definizione del programma di sensibilizzazione.

Gestione della crisi (Crisis management)

Un piano di gestione delle crisi ben strutturato e aggiornato, insieme a un Crisis Management Team (CMT)adeguatamente formato, è fondamentale per garantire la continuità operativa dell’organizzazione.
Mettendo periodicamente alla prova il CMT attraverso esercitazioni basate su scenari realistici, la resilienza complessiva può essere notevolmente rafforzata.
Queste esercitazioni possono assumere la forma di tabletop exercise (analisi teoriche guidate) o di simulazioni complete, in cui un incidente di sicurezza evolve in una vera e propria crisi informatica.

Purple team test

Per i test purple, l’organizzazione coinvolge un red team di hacker etici che collabora direttamente con il blue team (ossia il personale del SOC) in brevi sessioni tecniche.
Il nome deriva dall’unione dei colori dei due team (rosso + blu = viola).
Durante queste sessioni, i team lavorano insieme per verificare l’efficacia delle misure di sicurezza già implementate e per valutare se il blue team sia in grado di rilevare e contrastare le tecniche, tattiche e procedure (TTP) più recenti utilizzate dai threat actor di rilievo.
Le sessioni purple possono essere utilizzate per preparare il SOC a gestire veri attacchi informatici o per gettare le basi di futuri red team test.

Red team test

red team test rappresentano il metodo più avanzato per valutare la resilienza informatica di un’organizzazione.
Anche in questo caso viene ingaggiato un team di hacker etici, che mette in atto uno o più scenari di attacco realistici, preferibilmente basati su minacce rilevanti per l’organizzazione stessa.
Tutte le funzioni critiche rientrano nel perimetro del test, che comprende sistemi e servizi in produzione, aspetti fisici, persone, processi e, se possibile, anche fornitori esterni.

Il blue team non è a conoscenza del test, il che rende la simulazione più realistica. Tuttavia, i sistemi e servizi esternalizzati possono essere esclusi dal perimetro quando i fornitori, per motivi legali, non possono o non vogliono partecipare.
Per questo motivo è importante prevedere nei contratti la clausola del “right to red teaming”, che consente di includere i partner esterni nei test.

Un red team test è quasi sempre seguito da una sessione purple, in modo che il blue team possa comprendere gli scenari messi in atto e trarre insegnamenti dai risultati.
Inoltre, gli scenari e le conclusioni dei red team test possono essere utilizzati per sviluppare simulazioni di gestione della crisi basate su situazioni reali, da impiegare come esercitazioni pratiche per migliorare ulteriormente la resilienza dell’organizzazione.

Related Items

NIS 2: senza fretta ma senza sosta. Una breve guida pratica.NIS2: senza fretta ma senza sosta. Una breve guida pratica
Continua a leggere
CDA CybersicurezzaLa cybersecurity, un tema fondamentale per il CdA
Continua a leggere
DORA: Nuove Regole per la Cyber-resilienza del Settore Finanziario: Una Necessità Non Più RimandabileDORA: Nuove Regole per la Cyber-resilienza del Settore Finanziario: Una Necessità Non Più Rimandabile
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *