Cos'è la cyber resilience?

La cyber resilience è un concetto che unisce continuità aziendale, sicurezza dei sistemi informativi e resilienza organizzativa. Descrive la capacità di continuare a fornire i risultati previsti nonostante si verifichino eventi informatici difficili, come attacchi informatici, disastri naturali o crisi economiche. Un livello misurato di competenza e resilienza nella sicurezza delle informazioni ha un forte impatto sulla capacità di un'organizzazione di mantenere attive le operazioni aziendali, con tempi di inattività minimi o nulli.

Le moderne minacce informatiche presentano nuove sfide, creando un ambiente in cui le misure di sicurezza tradizionali da sole sono insufficienti. Le organizzazioni devono affrontare nemici sofisticati che utilizzano tecnologie avanzate per causare problemi. I criminali informatici e gli hacker approfittano sempre più delle vulnerabilità umane e delle debolezze del sistema, piuttosto che affidarsi ai tradizionali metodi di attacco automatizzati.

Secondo il Report Cost of a Data Breach 2025 di IBM e del Ponemon Institute, mentre i costi globali delle violazioni sono scesi in media a 4,44 milioni di dollari, le organizzazioni statunitensi hanno dovuto affrontare costi record pari a 10,22 milioni di dollari per incidente. Nonostante questi costi, il 49% delle organizzazioni violate prevede di aumentare gli investimenti in sicurezza.

Una cyber resilience efficace deve essere una strategia aziendale basata sul rischio e supportata da iniziative coordinate. È essenziale avere un approccio collaborativo guidato dai dirigenti verso tutti i componenti dell'ecosistema, i partner, i partecipanti alla supply chain e i clienti. Deve gestire in modo proattivo i rischi, le minacce, le vulnerabilità e gli effetti sulle informazioni critiche e sugli asset di supporto, rafforzando al contempo la preparazione generale.

Una cyber resilience di successo implica anche la governance, la gestione del rischio, la comprensione della proprietà dei dati e la gestione degli incidenti. La valutazione di queste caratteristiche richiede anche esperienza e capacità di giudizio.

Inoltre, un'organizzazione deve bilanciare i rischi informatici con le opportunità realizzabili e i vantaggi competitivi. Deve valutare se una prevenzione economicamente vantaggiosa sia fattibile e se, invece, può rilevare e correggere rapidamente, con un buon effetto a breve termine sulla cyber resilience.

Per farlo, un'azienda deve trovare il giusto equilibrio tra tre tipi di controlli: preventivi, correttivi e di rilevamento. Questi controlli impediscono, correggono e rilevano gli incidenti che minacciano la cyber resilience di un'organizzazione.

Una strategia di cyber resilience aiuta le organizzazioni a ottenere i seguenti benefici:

• Riduzione delle perdite finanziarie

• Riduzione dei danni operativi

• Conquista la fiducia dei clienti e le opportunità commerciali

• Accresci il vantaggio competitivo

• Garantisci la continuità aziendale

Le perdite finanziarie causate da attacchi andati a buon fine potrebbero portare a una perdita di fiducia da parte degli stakeholder, come azionisti, investitori, dipendenti e clienti.

La posta finanziaria in gioco è notevole. Il report IBM 2025 Report Cost of a Data Breach ha rivelato che le organizzazioni che fanno ampio uso dell'intelligenza artificiale (AI) nelle operazioni di sicurezza hanno risparmiato in media 1,9 milioni di dollari sui costi delle violazioni. Queste aziende hanno anche ridotto il ciclo di vita delle violazioni di 80 giorni rispetto a quelle prive di queste soluzioni. Tuttavia, le organizzazioni che hanno subito incidenti legati all'AI senza adeguati controlli degli accessi hanno dovuto affrontare costi più elevati, il che ha evidenziato la necessità di strategie di cyber resilience governate.

Gli incidenti informatici possono avere un grave impatto sulla reputazione di un'organizzazione e sulla fiducia dei clienti. Un solido framework di cyber resilience aiuta le organizzazioni a rispondere in modo rapido e trasparente agli incidenti, riducendo al minimo i danni alla reputazione nel lungo periodo e mantenendo la fiducia degli stakeholder.

Per attrarre clienti e farli acquistare, alcune organizzazioni si conformano a standard di gestione internazionali, ad esempio l'ISO/IEC 27001 dell'International Organization for Standardization. L'ISO/IEC 27001 fornisce le basi per un sistema di gestione della sicurezza delle informazioni (ISMS) per controllare la sicurezza degli asset, come le informazioni sui dipendenti, i dati finanziari, la proprietà intellettuale o le informazioni affidate da terze parti.

Negli Stati Uniti, le aziende potrebbero richiedere la certificazione con il Payment Card Industry Data Security Standard (PCI-DSS), un requisito preliminare per l'elaborazione dei pagamenti (ad esempio, con carte di credito).

La cyber resilience offre alle organizzazioni un vantaggio competitivo rispetto alle aziende che ne sono sprovviste. Le aziende che sviluppano approcci strutturati (ad esempio, programmi di threat intelligence) insieme a best practice standardizzate, creano operazioni efficaci.

Allo stesso modo, le organizzazioni migliorano la loro efficacia operativa sviluppando sistemi di gestione della cyber resilience. Pertanto, questi sistemi apportano un valore significativo ai loro clienti e creano vantaggi aziendali sostenibili.

Le organizzazioni con un solido piano di cyber resilience possono mantenere le operazioni critiche anche durante gli incidenti di sicurezza, minimizzando il tempo di inattività e garantendo la fornitura continua di servizi a clienti e stakeholder.

Le organizzazioni sviluppano la cyber resilience adottando pratiche standardizzate comprovate, come la Information Technology Infrastructure Library (ITIL) e il NIST Cybersecurity Framework (NIST CSF).

Incorporando le fasi del ciclo di vita di ITIL, le organizzazioni possono costruire una solida strategia di cyber resilience che consente una gestione proattiva del rischio informatico e supporta le operazioni aziendali. Questo metodo favorisce anche la collaborazione in tutta l'organizzazione, coinvolgendo tutti gli stakeholder.

Di seguito sono riportate le cinque fasi del ciclo di vita ITIL:

1. Strategia di servizio: in base agli obiettivi dell'organizzazione, questa fase identifica gli asset critici, come informazioni, sistemi e servizi, che contano di più per l'azienda e per i suoi stakeholder. Include anche l'identificazione delle vulnerabilità e dei rischi da affrontare.
2. Progettazione del servizio: le organizzazioni selezionano i controlli, le procedure e la formazione appropriati e proporzionati per il sistema di gestione, al fine di prevenire danni agli asset critici (laddove possibile farlo). La fase di progettazione identifica anche chi ha l'autorità per decidere e agire.
3. Transizione del servizio: le organizzazioni implementano e testano i controlli, le procedure e la formazione progettati nel loro ambiente operativo. Questa fase di transizione stabilisce una governance chiara identificando il processo decisionale e definendo chi ha la responsabilità di agire quando emergono minacce.
4. Funzionamento del servizio: i team operativi monitorano, rilevano e gestiscono eventi e incidenti informatici, compresi test di controllo continui per garantire efficacia, efficienza e coerenza.
5. Miglioramento continuo del servizio: le organizzazioni devono praticare l'adattabilità per proteggesi da un ambiente di minacce in continua evoluzione. Via via che si riprendono dagli incidenti, devono imparare dalle esperienze, modificando le procedure, la formazione, la progettazione e la strategia, se necessario.

Il NIST fornisce linee guida complete e best practice che le organizzazioni private possono seguire per migliorare la sicurezza delle informazioni e la gestione del rischio di cybersecurity.

Il framework è costituito da sei funzioni principali:

1. Governance: stabilisci politiche di governance della cybersecurity e di mitigazione del rischio che informino e diano priorità alle attività di cybersecurity, consentendo un processo decisionale informato sul rischio in tutta l'azienda.
2. Identificare: sviluppare una comprensione completa degli asset e delle risorse più critici per proteggersi efficacemente dagli attacchi informatici. Questa funzione comprende la gestione degli asset, la valutazione dell'ambiente aziendale, i framework di governance, la valutazione del rischio e la gestione del rischio della supply chain.
3. Protezione: implementa controlli di sicurezza tecnici e fisici appropriati per sviluppare misure di protezione delle infrastrutture critiche. Le aree chiave includono la consapevolezza e la formazione sulla sicurezza, la sicurezza dei dati, i processi di protezione dei dati, la manutenzione e la tecnologia protettiva.
4. Rilevare: implementare misure che forniscono avvisi sugli eventi di cybersecurity e sulle minacce in evoluzione. Le categorie di rilevamento comprendono l'identificazione di anomalie ed eventi, il monitoraggio continuo della sicurezza e l'istituzione di solidi processi di rilevamento.
5. Rispondere: garantire capacità di risposta adeguate per la cybersecurity e altri eventi di sicurezza informatica. Questa strategia include la pianificazione della risposta, le comunicazioni con gli stakeholder, l'analisi degli incidenti, la mitigazione delle minacce e il miglioramento dei processi.
6. Ripristinare: implementare attività e piani di ripristino per la cyber resilience, per garantire la continuità aziendale a seguito di attacchi informatici, violazioni della sicurezza o altri eventi di cybersecurity. Questo approccio prevede lo sviluppo e l'implementazione di piani e procedure per il ripristino di sistemi, dati e servizi, nonché la capacità di imparare dall'incidente per migliorare la resilienza futura. 

I seguenti strumenti consentono alle organizzazioni di resistere e riprendersi dagli attacchi informatici, ridurre al minimo le interruzioni e mantenere le operazioni aziendali:

• Gestione degli incidenti e degli eventi di sicurezza (SIEM): i sistemi SIEM forniscono funzionalità di registrazione centralizzate e conducono analisi in tempo reale degli eventi di sicurezza nell'intera infrastruttura IT dell'organizzazione.

• Gestione delle identità e degli accessi (IAM): le soluzioni IAM offrono controlli completi di autenticazione e accesso degli utenti che garantiscono che solo il personale autorizzato possa accedere ai sistemi e ai dati critici.

• Architettura zero-trust: un modello di sicurezza zero-trust opera secondo il principio dell'assenza di fiducia implicita e convalida continuamente le richieste di accesso, indipendentemente dalla posizione o dal dispositivo dell'utente.

• Piattaforme di sicurezza cloud: questi strumenti specializzati offrono una protezione appositamente progettata per risorse e workload basati sul cloud in ambienti ibridi e multicloud.

• Soluzioni di disaster recovery (DR): questi sistemi forniscono funzionalità automatiche di backup e disaster recovery per dati e applicazioni critici, garantendo un rapido ripristino delle operazioni a seguito di incidenti come gli attacchi ransomware.

• Piattaforme di monitoraggio continuo: queste soluzioni forniscono visibilità in tempo reale sul livello di sicurezza e sull'ambiente, consentendo la gestione proattiva delle minacce e la valutazione dei rischi.

• Strumenti di simulazione degli attacchi informatici: questi strumenti simulano scenari di attacco realistici per valutare la preparazione organizzativa, addestrare i team e identificare le lacune nei piani di risposta agli incidenti.

L'intelligenza artificiale e l'AI generativa presentano sia opportunità che rischi per la cyber resilience. Sebbene gli strumenti di sicurezza basati su AI possano migliorare le funzionalità di rilevamento e risposta alle minacce, i sistemi AI non governati creano nuove vulnerabilità che gli aggressori possono utilizzare. Gli strumenti di AI generativa introducono anche sfide uniche in termini di governance dei dati e potenziali usi impropri.

I risultati del Report Cost of a Data Breach 2025 hanno rilevato che il 97% delle organizzazioni che ha subito incidenti di sicurezza legati all'AI non disponeva di controlli di accesso adeguati. Inoltre, il 63% delle organizzazioni non ha politiche di governance dell'AI per gestirne la distribuzione o prevenirne l'uso non autorizzato.

Le organizzazioni con un'implementazione strategica dell'AI nelle operazioni di sicurezza conseguono notevoli risparmi sui costi e un più rapido contenimento delle violazioni dei dati rispetto a quelle prive di queste soluzioni. Tuttavia, il successo richiede un'adozione equilibrata che dia priorità alla governance della sicurezza insieme all'innovazione.

Le considerazioni chiave includono l'implementazione di controlli rigorosi per le identità non umane, l'adozione di metodi di autenticazione resistenti al phishing, come le passkey, e l'integrazione della governance della cybersecurity nelle strategie di implementazione dell'AI sin dall'inizio. Questo approccio garantisce che l'AI funga da meccanismo di rafforzamento della cyber resilience, anziché creare un ulteriore debito di sicurezza.

Le strategie di cyber resilience continuano a evolversi via via che le nuove tecnologie creano sia opportunità che minacce per la sicurezza. Le piattaforme Extended Detection and Response (XDR) stanno maturando per fornire il rilevamento integrato delle minacce su più livelli di sicurezza, mentre i sistemi di rilevamento delle minacce basati su AI avanzano per identificare modelli di attacco sofisticati che sfuggono agli strumenti tradizionali. Invece di sostituire le competenze umane, l'AI le sta amplificando.

Nello studio IBM Institute for Business Value (IBV), Cybersecurity 2028, il 65% dei dirigenti intervistati riferisce che AI e automazione stanno creando ambienti più produttivi per i team IT e di sicurezza. Il 62% ha affermato di aver già riscontrato notevoli ritorni dalle funzionalità di intelligenza artificiale integrate.

Il quantum computing cambierà radicalmente anche la cybersecurity, rendendo inadeguati gli attuali metodi di crittografia. Tuttavia, supporterà anche la crittografia quantistica e la distribuzione di chiavi quantistiche per una maggiore sicurezza.

Sostenere la cyber resilience richiede un adattamento continuo, investimenti strategici e sforzi per ottimizzare l'Integrazione delle Tecnologie mantenendo al contempo i principi di sicurezza fondamentali.