COSÌ & COSÀ – I due volti della cybersecurity.

La cybersecurity non si misura soltanto dalla qualità delle tecnologie adottate, ma anche dalla qualità delle decisioni che un’organizzazione è in grado di prendere prima, durante e dopo un incidente informatico.

Decisioni da prendere spesso con poco tempo, con informazioni incomplete e sotto forte pressione.

COSÌ & COSÀ nasce per aiutare aziende, istituzioni e professionisti a riflettere proprio su queste decisioni.

Attraverso situazioni concrete, checklist operative e spunti di approfondimento, la collana affronta i principali temi della cybersecurity con un approccio semplice, concreto e orientato alla consapevolezza e alla responsabilità, mettendo a confronto due modi di affrontare la stessa situazione: COSÌ & COSÀ.

IL PRINCIPIO

La tecnologia evolve. Gli attacchi cambiano. Gli strumenti si aggiornano. Le decisioni restano.

È proprio nelle decisioni che si misura la capacità di un’organizzazione di prevenire, gestire e superare un attacco informatico.

Nella cybersecurity la tecnologia aiuta. Le decisioni salvano.

PERCHÉ NASCE COSÌ & COSÀ

Nel corso della mia attività professionale ventennale ho avuto l’opportunità di gestire e osservare numerosi attacchi informatici, attività di risposta, analisi forensi e progetti di cybersecurity.

In contesti molto diversi tra loro ho riscontrato un elemento ricorrente.

Le conseguenze più gravi raramente dipendono esclusivamente dalla tecnologia.

Molto più spesso derivano dalle decisioni prese prima, durante e dopo un incidente.

Da questa consapevolezza nasce COSÌ & COSÀ:

  • Una collana di prevenzione dedicata alla cultura della cybersecurity, della governance, della consapevolezza e della responsabilità digitale.

COSA TROVERAI

Molto semplice. Ogni scheda comprende:

  • Una situazione concreta.
  • Gli errori più frequenti (COSÌ).
  • Le buone pratiche (COSÀ).
  • Un’esperienza maturata sul campo.
  • Una checklist operativa.
  • Una semplice azione da mettere in pratica già domani.

A CHI È RIVOLTA

COSÌ & COSÀ è una collana pensata per:

  • Imprenditori.
  • Dirigenti.
  • Membri di Consigli di Amministrazione.
  • Responsabili IT.
  • Professionisti della sicurezza.
  • Collaboratori coinvolti nella gestione del rischio cyber.
  • Enti pubblici e istituzioni.
  • Media

Non è necessario possedere competenze tecniche avanzate. L’obiettivo è comprendere meglio i rischi e prendere decisioni più consapevoli e responsabili.

IL MANIFESTO

  • La cybersecurity non è soltanto una disciplina tecnica.
  • È un esercizio quotidiano di responsabilità.
  • Ogni organizzazione può adottare strumenti eccellenti.
  • Ma nessuna tecnologia può sostituire il giudizio, la preparazione e la capacità di decidere.
  • Per questo motivo COSÌ & COSÀ non parla soltanto di minacce informatiche.
  • Parla delle decisioni che possono fare davvero la differenza.

IL LIBRO

Il libro completo della prima stagione con gli approfondimenti è disponibile online in formato digitale (PDF) con pagamento semplice e sicuro tramite Payhit, compatibile con PayPal e Stripe.

» Scopri il libro, clicca qui.

STAGIONE 1

I dieci approfondimenti che seguono costituiscono la prima stagione di COSÌ & COSÀ, dedicata alle decisioni che fanno davvero la differenza nella cybersecurity.


#01 RANSOMWARE

Un ransomware può trasformarti in complice di riciclaggio. Lo sapevi?

IL MESSAGGIO CHIAVE

Quando un’organizzazione subisce un attacco ransomware, il problema non è soltanto tecnico. È soprattutto decisionale.

Nei primi minuti occorre prendere decisioni complesse, spesso con informazioni incomplete, sotto forte pressione e con conseguenze che possono estendersi ben oltre il ripristino dei sistemi.

Pagare un riscatto può sembrare la soluzione più rapida. In realtà rappresenta una scelta che coinvolge aspetti operativi, economici, reputazionali e, in alcuni casi, anche giuridici.

La vera differenza non la fa il ransomware. La fanno le decisioni.

PERCHÉ È IMPORTANTE

Ogni attacco ransomware è diverso.

Cambiano gli autori, le tecniche utilizzate, gli obiettivi, l’impatto, le richieste economiche e il tipo di criptovaluta utilizzata per il riscatto, non solo Bitcoin, ma sempre più Monero e Zcash.

Ciò che accomuna quasi tutti gli incidenti è però un elemento ricorrente: la pressione esercitata sulle persone chiamate a decidere.

In poche ore possono essere coinvolti direzione, responsabili IT, consulenti, assicurazioni, autorità e partner esterni.

Le decisioni prese in questa fase possono influenzare non solo la continuità operativa dell’organizzazione, ma anche la qualità delle prove disponibili, gli aspetti assicurativi, le responsabilità legali e la reputazione dell’ente.

Per questo motivo prepararsi prima di un incidente è molto più efficace che improvvisare durante la crisi.

ERRORE DI PROSPETTIVA

È comune pensare che il ransomware sia un problema esclusivamente tecnico, da risolvere affidandosi agli specialisti IT. In realtà, fin dai primi minuti, entrano in gioco decisioni che coinvolgono la direzione, gli aspetti legali, la comunicazione, la continuità operativa e la responsabilità organizzativa, soprattutto se il riscatto viene chiesto con criptovalute  non riconosciute dagli enti regolatori ufficiali come la FINMA.

COSÌ (errori più frequenti)

  • Decidere sotto pressione senza un piano.
  • Pagare immediatamente senza una valutazione complessiva.
  • Coinvolgere le persone sbagliate.
  • Comunicare senza coordinamento.
  • Non documentare le decisioni prese.

COSÀ (buone pratiche)

  • Attivare il piano di risposta agli incidenti.
  • Coinvolgere tempestivamente le figure competenti.
  • Valutare gli aspetti tecnici, legali e organizzativi prima di decidere.
  • Documentare ogni decisione.
  • Preservare le evidenze digitali.

DAL CAMPO

Nel corso della mia attività professionale ho osservato che la pressione esercitata durante un attacco ransomware porta spesso le organizzazioni a concentrare tutta l’attenzione sul ripristino dei sistemi. È comprensibile.

Tuttavia, proprio in quei momenti, alcune decisioni apparentemente secondarie, come documentare le attività svolte, preservare le evidenze, porre la giusta attenzione all’uso di criptovalute illegali o coordinare la comunicazione, possono influenzare profondamente la gestione dell’incidente e le attività che seguiranno. L’esperienza insegna che la qualità delle decisioni iniziali è spesso determinante quanto la qualità delle soluzioni tecniche adottate.

COSA FARE DOMANI MATTINA

Convoca una breve riunione con le persone che, nella tua organizzazione, potrebbero essere coinvolte nella gestione di un ransomware.

Fai una sola domanda:

  • Chi di noi prenderebbe la decisione di pagare un eventuale riscatto?

Se la risposta non è chiara, il momento di chiarirla è oggi, non durante un incidente.

CHECKLIST OPERATIVE

  • Esiste un piano di risposta agli incidenti?
  • I ruoli decisionali sono definiti?
  • Il piano è stato testato almeno una volta?
  • Sono previste modalità di conservazione delle prove?
  • Esiste una procedura di comunicazione interna ed esterna?

IL QUESITO

Se domani un ransomware bloccasse completamente la tua organizzazione, le prime decisioni verrebbero prese secondo un piano condiviso o improvvisate sotto pressione?


#02 PIANO DI RISPOSTA

Il tuo piano di risposta funzionerebbe sotto pressione?

IL MESSAGGIO CHIAVE

Un piano di risposta agli incidenti non serve a descrivere cosa fare. Serve ad aiutare le persone a decidere quando la pressione rende difficile pensare con lucidità.

Durante un incidente informatico il tempo è limitato, le informazioni sono spesso incomplete e le responsabilità si sovrappongono. In queste condizioni non si improvvisa.

Si applica ciò che è stato preparato, condiviso e provato in anticipo. Un piano efficace non è quello scritto meglio. È quello che funziona quando serve davvero.

PERCHÉ È IMPORTANTE

Molte organizzazioni investono tempo nella redazione di un piano di risposta agli incidenti, ma poche verificano se sia realmente applicabile in una situazione di crisi.

Durante un attacco ransomware, una compromissione dei sistemi o una violazione dei dati, le persone coinvolte devono prendere decisioni in tempi molto rapidi.

Se ruoli, responsabilità e procedure non sono stati chiariti e sperimentati in precedenza, il rischio è quello di aumentare la confusione proprio nel momento in cui servirebbe il massimo coordinamento. Un piano di risposta rappresenta quindi uno strumento di governo della crisi prima ancora che un documento tecnico.

ERRORE DI PROSPETTIVA

È facile pensare che un piano di risposta sia un documento da conservare e consultare in caso di emergenza. In realtà il suo vero valore non è nella documentazione, ma nella preparazione delle persone. Un piano è utile solo quando tutti sanno già come applicarlo.

COSÌ (errori più frequenti)

  • Redigere un piano senza coinvolgere chi dovrà applicarlo.
  • Non aggiornare ruoli e contatti.
  • Lasciare responsabilità poco definite.
  • Non prevedere scenari realistici.
  • Non testare mai il piano.

COSÀ (buone pratiche)

  • Definire ruoli e responsabilità con chiarezza.
  • Aggiornare periodicamente il piano.
  • Organizzare esercitazioni realistiche.
  • Coinvolgere direzione, IT, comunicazione e funzioni di supporto.
  • Verificare periodicamente l’efficacia delle procedure.

DAL CAMPO

Nel corso della mia attività professionale ho osservato organizzazioni dotate di piani di risposta molto completi dal punto di vista documentale, ma mai sperimentati in situazioni realistiche.

Durante un incidente reale le persone tendevano ad agire secondo le proprie abitudini piuttosto che seguire quanto previsto dal piano. L’esperienza insegna che un documento, da solo, non crea preparazione: è l’esercizio continuo che trasforma una procedura in una capacità operativa.

COSA FARE DOMANI MATTINA

Apri il piano di risposta della tua organizzazione.

Verifica una sola cosa:

  • I nomi, i ruoli e i recapiti delle persone indicate sono ancora aggiornati?

Se anche una sola informazione non è corretta, il momento per aggiornarla è oggi.

CHECKLIST OPERATIVA

  • Esiste un piano di risposta formalizzato?
  • I ruoli e le responsabilità sono chiaramente definiti?
  • I contatti di emergenza sono aggiornati?
  • Il piano è stato testato almeno una volta nell’ultimo anno?
  • Le figure coinvolte conoscono il proprio ruolo?

IL QUESITO

Se domani la tua organizzazione subisse un grave incidente informatico, ogni persona coinvolta saprebbe esattamente quale decisione prendere nei primi trenta minuti?


#03 BACKUP

Il tuo backup funziona. Finché non devi usarlo davvero. Sei certo di ripartire domani?

IL MESSAGGIO CHIAVE

Disporre di un backup non significa essere pronti a ripartire.

Il suo vero valore emerge soltanto quando diventa necessario ripristinare dati, sistemi e servizi in tempi compatibili con la continuità operativa.

Durante un incidente informatico ogni ora di fermo può avere conseguenze economiche, organizzative e reputazionali. Un backup che non è mai stato verificato rappresenta un’aspettativa. Non una certezza.

La differenza la fanno la preparazione, le verifiche periodiche e le decisioni prese prima dell’emergenza.

PERCHÉ È IMPORTANTE

Molte organizzazioni investono correttamente nella realizzazione dei backup, ma dedicano meno attenzione alla loro effettiva capacità di garantire la ripresa delle attività.

Solo nel momento del ripristino emergono criticità come copie incomplete, procedure poco chiare, tempi di recupero incompatibili con le esigenze operative o dipendenze tecnologiche non considerate.

In queste situazioni il problema non riguarda più il backup. Riguarda la continuità del servizio.

Prepararsi significa conoscere in anticipo quanto tempo servirà realmente per tornare operativi e quali servizi dovranno essere ripristinati per primi.

ERRORE DI PROSPETTIVA

È facile associare il backup alla semplice copia dei dati. In realtà il suo obiettivo non è conservare informazioni.

È consentire all’organizzazione di riprendere rapidamente la propria operatività. Un backup ha valore solo quando il ripristino è stato verificato con successo.

COSÌ (errori più frequenti)

  • Dare per scontato che il backup funzioni.
  • Non testare mai il ripristino.
  • Conservare copie vulnerabili allo stesso incidente.
  • Ignorare i tempi reali di recupero.
  • Ripristinare senza definire priorità operative.

COSÀ (buone pratiche)

  • Pianificare test periodici di ripristino.
  • Definire i servizi prioritari.
  • Conoscere i tempi obiettivo di recupero.
  • Verificare l’integrità delle copie.
  • Integrare il backup nel piano di risposta agli incidenti.

DAL CAMPO

Nel corso della mia attività professionale ho incontrato organizzazioni convinte di essere protette perché eseguivano regolarmente i backup. Solo durante un incidente reale è emerso che nessuno aveva mai verificato il ripristino completo dei sistemi.

Alcune copie erano inutilizzabili, altre richiedevano tempi incompatibili con la continuità operativa. L’esperienza insegna che il successo di un backup non si misura quando viene eseguito, ma quando il ripristino avviene nei tempi realmente necessari all’organizzazione.

COSA FARE DOMANI MATTINA

Chiedi al responsabile IT una sola informazione:

  • Quando abbiamo effettuato l’ultimo test completo di ripristino?

Se non esiste una risposta precisa o documentata, pianifica una simulazione. È molto meglio individuare oggi eventuali criticità che scoprirle durante un’emergenza.

CHECKLIST OPERATIVA

  • Esistono backup aggiornati dei sistemi critici?
  • È stato testato almeno un ripristino completo negli ultimi dodici mesi?
  • I tempi reali di recupero sono conosciuti?
  • Le copie sono adeguatamente protette anche da ransomware?
  • È chiaro quali servizi devono essere ripristinati per primi?

IL QUESITO

Se domani mattina tutti i sistemi principali della tua organizzazione fossero indisponibili, sapresti dire con ragionevole certezza quanto tempo servirebbe per tornare realmente operativi?


#04 FORMAZIONE

I tuoi dipendenti sono formati contro il phishing. Ma cadrebbero in un deepfake ben fatto?

IL MESSAGGIO CHIAVE

La formazione rappresenta uno degli strumenti più efficaci per ridurre il rischio cyber.

Tuttavia, il panorama delle minacce evolve rapidamente. Oggi un attacco può presentarsi sotto forma di una voce sintetica, di un video realistico o di una richiesta apparentemente proveniente da una persona fidata.

In questo contesto non basta più conoscere il phishing tradizionale. È necessario sviluppare una capacità di valutazione critica che accompagni le persone anche di fronte a scenari nuovi.

La formazione non dovrebbe limitarsi a trasmettere conoscenze. Dovrebbe allenare la capacità di prendere decisioni consapevoli.

PERCHÉ È IMPORTANTE

Molte organizzazioni investono nella formazione dei collaboratori attraverso corsi periodici, video o campagne informative.

Si tratta di iniziative importanti, ma spesso insufficienti se non vengono aggiornate rispetto all’evoluzione delle minacce.

L’intelligenza artificiale consente oggi di generare contenuti estremamente credibili, rendendo sempre più difficile distinguere una comunicazione autentica da una manipolata.

Per questo motivo la formazione dovrebbe essere considerata un processo continuo, capace di sviluppare attenzione, spirito critico e capacità di verifica.

ERRORE DI PROSPETTIVA

È facile pensare che la formazione serva a memorizzare procedure o regole.

In realtà il suo vero obiettivo è aiutare le persone a riconoscere situazioni insolite e a fermarsi prima di agire. Una buona formazione sviluppa giudizio. Non automatismi.

COSÌ (errori più frequenti)

  • Considerare la formazione come un’attività occasionale.
  • Ripetere sempre gli stessi contenuti.
  • Limitarsi al phishing tradizionale.
  • Non aggiornare gli scenari di simulazione.
  • Valutare la formazione solo in base alle ore erogate.

COSÀ (buone pratiche)

  • Aggiornare regolarmente i contenuti formativi.
  • Introdurre scenari realistici con IA e deepfake.
  • Effettuare simulazioni periodiche.
  • Favorire il confronto tra i collaboratori.
  • Promuovere una cultura della verifica prima dell’azione.

DAL CAMPO

Nel corso della mia attività professionale ho osservato che molte persone conoscono perfettamente le regole di base della sicurezza informatica. Eppure, quando ricevono una richiesta urgente apparentemente credibile, tendono ad agire d’impulso.

L’esperienza insegna che gli attaccanti cercano sempre più spesso di sfruttare la fiducia, l’urgenza e le emozioni, molto più delle vulnerabilità tecnologiche. Per questo la formazione più efficace non insegna soltanto cosa fare: allena a fermarsi, verificare e ragionare prima di decidere.

COSA FARE DOMANI MATTINA

Organizza un breve confronto con il tuo team.

Mostra un esempio recente di deepfake o di attacco basato sull’intelligenza artificiale.

Chiedi semplicemente:

  • Come avremmo verificato l’autenticità di questa richiesta?

La discussione che ne nascerà sarà spesso più efficace di una lezione teorica.

CHECKLIST OPERATIVA

  • La formazione viene aggiornata almeno una volta all’anno?
  • Comprende scenari con IA e deepfake?
  • Sono previste simulazioni pratiche?
  • I collaboratori sanno come verificare richieste insolite?
  • Esiste una procedura semplice per segnalare possibili tentativi di frode?

IL QUESITO

Se domani ricevessi una telefonata con la voce perfetta del tuo direttore che ti chiede un’azione urgente, quale elemento ti permetterebbe di capire se è autentica?


#05 SEGNALAZIONE INCIDENTE

Sai cosa scrivere e come segnalare un incidente cyber?

IL MESSAGGIO CHIAVE

Le prime ore successive a un incidente informatico sono spesso caratterizzate da pressione, urgenza e informazioni incomplete.

In questo contesto la comunicazione assume un ruolo fondamentale.

Una segnalazione incompleta, imprecisa o formulata senza metodo può rallentare la gestione dell’incidente, compromettere il coordinamento tra le persone coinvolte e rendere più difficile la ricostruzione dei fatti.

Segnalare un incidente non significa semplicemente descrivere ciò che è accaduto. Significa fornire informazioni chiare, verificabili e utili per consentire decisioni corrette.

PERCHÉ È IMPORTANTE

Ogni incidente informatico coinvolge persone con competenze e responsabilità diverse: direzione, responsabili IT, consulenti, fornitori, assicurazioni, autorità e, in alcuni casi, clienti o partner.

Una comunicazione poco strutturata può generare incomprensioni, ritardi e decisioni basate su informazioni parziali.

Al contrario, una segnalazione chiara permette di coordinare meglio le attività, ridurre gli errori e creare una base documentale utile per tutte le fasi successive della gestione dell’incidente.

ERRORE DI PROSPETTIVA

È facile pensare che una segnalazione serva semplicemente ad avvisare qualcuno.

In realtà rappresenta il primo documento operativo dell’incidente. Da come viene scritta dipendono spesso la qualità delle decisioni successive e la capacità di ricostruire con precisione quanto accaduto.

COSÌ (errori più frequenti)

  • Scrivere messaggi frettolosi e incompleti.
  • Mescolare fatti, ipotesi e opinioni.
  • Omettere informazioni essenziali.
  • Utilizzare termini ambigui.
  • Comunicare senza una procedura condivisa.

COSÀ (buone pratiche)

  • Raccogliere prima i fatti verificati.
  • Distinguere chiaramente osservazioni e ipotesi.
  • Utilizzare un modello di segnalazione condiviso.
  • Coinvolgere tempestivamente le persone competenti.
  • Aggiornare la documentazione man mano che emergono nuove informazioni.

DAL CAMPO

Nel corso della mia attività professionale ho osservato che molte difficoltà nella gestione di un incidente non derivano dall’attacco in sé, ma dalla qualità delle prime comunicazioni.

Messaggi incompleti, informazioni non verificate o terminologie poco precise hanno spesso complicato il coordinamento tra le persone coinvolte. L’esperienza insegna che una buona segnalazione rappresenta già il primo passo verso una gestione efficace dell’incidente.

COSA FARE DOMANI MATTINA

Chiedi al tuo team una cosa molto semplice:

  • Se oggi dovessimo segnalare un incidente informatico, sapremmo tutti quali informazioni raccogliere e come comunicarle?

Se la risposta non è chiara, prepara un modello condiviso di segnalazione prima che diventi necessario utilizzarlo.

CHECKLIST OPERATIVA

  • Esiste un modello di segnalazione degli incidenti?
  • È chiaro chi deve ricevere la prima comunicazione?
  • Le informazioni richieste sono definite?
  • È prevista una procedura di aggiornamento delle informazioni?
  • Le persone coinvolte conoscono il processo di segnalazione?

IL QUESITO

Se domani si verificasse un incidente informatico, le prime informazioni che verrebbero condivise aiuterebbero davvero gli altri a capire la situazione o aumenterebbero la confusione?


#06 GESTIONE DELLE PROVE

Durante un attacco, ogni parola può diventare una prova. Sai come fare una denuncia in sede probatoria?

IL MESSAGGIO CHIAVE

Un incidente informatico non termina quando viene contenuto.

Da quel momento inizia un’altra fase, spesso meno visibile ma altrettanto importante: la ricostruzione dei fatti. E-mail, messaggi, verbali, annotazioni, registri delle attività e decisioni prese durante la gestione dell’incidente possono assumere un valore probatorio significativo.

Per questo motivo non conta soltanto ciò che viene fatto. Conta anche come viene documentato. Ogni parola può contribuire a chiarire i fatti oppure creare ambiguità difficili da ricostruire successivamente.

PERCHÉ È IMPORTANTE

Durante un incidente cyber vengono prodotte numerose informazioni: comunicazioni interne, aggiornamenti operativi, richieste ai fornitori, decisioni della direzione e attività tecniche.

Tutta questa documentazione costituisce una parte essenziale della storia dell’incidente.

Se redatta con precisione può facilitare le attività investigative, le valutazioni assicurative, gli eventuali procedimenti legali e il miglioramento continuo dell’organizzazione.

Se invece è incompleta, contraddittoria o poco accurata, può complicare la comprensione dei fatti e aumentare il rischio di contestazioni.

ERRORE DI PROSPETTIVA

È facile pensare che la documentazione serva soltanto a conservare memoria delle attività svolte. In realtà rappresenta uno degli elementi fondamentali per ricostruire l’incidente, comprendere le decisioni assunte e dimostrare come l’organizzazione abbia gestito la situazione. 

La qualità della documentazione può influenzare anche la qualità delle valutazioni successive.

COSÌ (errori più frequenti)

  • Comunicare in modo impulsivo.
  • Confondere fatti, ipotesi e interpretazioni.
  • Non registrare decisioni e motivazioni.
  • Modificare o perdere informazioni rilevanti.
  • Sottovalutare il valore della documentazione prodotta.

COSÀ (buone pratiche)

  • Documentare cronologicamente le attività.
  • Distinguere sempre fatti accertati e ipotesi.
  • Conservare le comunicazioni rilevanti.
  • Coordinare la comunicazione tra le funzioni coinvolte.
  • Preservare le evidenze digitali secondo procedure condivise.

DAL CAMPO

Nel corso della mia attività nell’informatica forense ho osservato come, a distanza di mesi o anni da un incidente, la ricostruzione dei fatti dipenda spesso dalla qualità della documentazione prodotta nelle prime ore.

Decisioni non registrate, comunicazioni frammentarie o annotazioni poco precise possono rendere molto più difficile comprendere cosa sia realmente accaduto. L’esperienza insegna che una buona gestione delle prove inizia molto prima delle eventuali attività investigative.

COSA FARE DOMANI MATTINA

Verifica insieme al tuo team come vengono documentate le attività durante un incidente.

Chiediti una sola cosa:

  • Se fra un anno dovessimo ricostruire tutto ciò che è accaduto, la documentazione oggi disponibile sarebbe sufficiente?

Se hai dubbi, è il momento giusto per definire una procedura condivisa.

CHECKLIST OPERATIVA

  • Le decisioni vengono registrate con data e ora?
  • È disponibile una cronologia delle attività svolte?
  • Le comunicazioni principali vengono conservate?
  • Esiste una procedura per la preservazione delle evidenze digitali?
  • È chiaro chi è responsabile della documentazione dell’incidente?

IL QUESITO

Se oggi dovessi spiegare a un’autorità, a un assicuratore o a un consulente esterno come è stato gestito un incidente informatico nella tua organizzazione, la documentazione disponibile racconterebbe con chiarezza tutta la storia?


#07 CYBER INSURANCE

Hai un’assicurazione per i rischi cyber. Ma ti copre davvero quando serve?

IL MESSAGGIO CHIAVE

Disporre di una polizza cyber rappresenta una componente importante della gestione del rischio.

Tuttavia, la sua efficacia non dipende soltanto dalla presenza di una copertura assicurativa.

Dipende soprattutto da quanto tale copertura sia coerente con i rischi reali dell’organizzazione, con il piano di risposta agli incidenti e con le responsabilità previste durante una crisi.

Una polizza non elimina il rischio. Aiuta a gestirne le conseguenze.

Per questo motivo dovrebbe essere considerata parte integrante della strategia di resilienza, non un semplice documento amministrativo.

PERCHÉ È IMPORTANTE

Negli ultimi anni le assicurazioni cyber sono diventate sempre più diffuse.

Parallelamente sono aumentati la complessità degli attacchi, i requisiti richiesti dagli assicuratori e le aspettative nei confronti delle organizzazioni assicurate.

Durante un incidente possono emergere aspetti legati a coperture, esclusioni, franchigie, obblighi di notifica, modalità di gestione dell’incidente e utilizzo dei fornitori convenzionati.

Per questo motivo la polizza dovrebbe essere conosciuta prima dell’emergenza e integrata nella pianificazione della risposta.

ERRORE DI PROSPETTIVA

È facile pensare che stipulare una polizza significhi aver trasferito il rischio.

In realtà l’assicurazione trasferisce solo alcune conseguenze economiche, entro i limiti previsti dal contratto. La responsabilità di prepararsi, prevenire e gestire l’incidente rimane sempre dell’organizzazione.

COSÌ (errori più frequenti)

  • Considerare la polizza una soluzione al rischio.
  • Non conoscere condizioni ed esclusioni.
  • Non integrare la copertura nel piano di risposta.
  • Coinvolgere l’assicurazione troppo tardi.
  • Non verificare periodicamente l’adeguatezza della copertura.

COSÀ (buone pratiche)

  • Comprendere contenuti e limiti della polizza.
  • Integrare l’assicurazione nel piano di risposta agli incidenti.
  • Definire chi deve contattare l’assicuratore e quando.
  • Riesaminare periodicamente la copertura rispetto ai rischi attuali.
  • Coordinare aspetti tecnici, organizzativi e assicurativi.

DAL CAMPO

Nel corso della mia attività professionale ho osservato organizzazioni che disponevano di una copertura assicurativa adeguata, ma che durante l’incidente non conoscevano le procedure previste dal contratto né le modalità di attivazione dei servizi disponibili.

Altre, invece, avevano investito molto nella polizza senza aggiornare nel tempo la propria esposizione al rischio. L’esperienza insegna che una cyber insurance è realmente efficace solo quando è parte integrante della strategia di gestione del rischio e viene considerata prima che l’incidente si verifichi.

COSA FARE DOMANI MATTINA

Recupera la polizza cyber della tua organizzazione.

Chiediti una sola cosa:

  • Le persone che dovrebbero gestire un incidente sanno quando e come attivare la copertura assicurativa?

Se la risposta non è chiara, è il momento di inserirla esplicitamente nel piano di risposta agli incidenti.

CHECKLIST OPERATIVA

  • La polizza è aggiornata rispetto ai rischi attuali?
  • Sono note le principali condizioni ed esclusioni?
  • È definita la procedura di attivazione?
  • L’assicurazione è integrata nel piano di risposta agli incidenti?
  • Le persone coinvolte conoscono il proprio ruolo?

IL QUESITO

Se domani si verificasse un grave incidente informatico, sapresti dire quali attività sarebbero effettivamente coperte dalla tua polizza e quali rimarrebbero completamente a carico dell’organizzazione?


#08 C-LEVEL

Cybersecurity e C-Level non parlano la stessa lingua. E quando non si capiscono, chi si assume le responsabilità?

IL MESSAGGIO CHIAVE

La cybersecurity produce informazioni tecniche. Il management prende decisioni strategiche.

Quando questi due mondi non riescono a comunicare efficacemente, aumenta il rischio che decisioni importanti vengano prese senza comprendere realmente il loro impatto.

La sicurezza informatica non dovrebbe limitarsi a descrivere vulnerabilità. Dovrebbe aiutare il management a comprendere rischi, conseguenze e possibili scelte.

La cybersecurity diventa davvero efficace quando riesce a trasformare dati tecnici in decisioni consapevoli.

PERCHÉ È IMPORTANTE

Ogni organizzazione produce indicatori, report e valutazioni sul proprio livello di sicurezza.

Tuttavia, questi strumenti risultano spesso difficili da interpretare per chi deve assumere decisioni strategiche.

Il rischio non nasce dalla mancanza di informazioni.

Nasce quando le informazioni disponibili non sono comprensibili o non consentono di valutare correttamente le conseguenze delle diverse opzioni.

Tradurre il linguaggio tecnico in linguaggio decisionale rappresenta oggi una delle principali sfide della governance della cybersecurity.

ERRORE DI PROSPETTIVA

È facile pensare che il compito della cybersecurity sia produrre report tecnici accurati.

In realtà il suo vero obiettivo è supportare le decisioni dell’organizzazione.

Un report perfetto dal punto di vista tecnico può risultare inutile se chi deve decidere non riesce a comprenderne il significato.

COSÌ (errori più frequenti)

  • Comunicare esclusivamente con linguaggio tecnico.
  • Concentrarsi sulle vulnerabilità anziché sugli impatti.
  • Presentare indicatori senza contesto.
  • Separare la sicurezza dalla strategia aziendale.
  • Coinvolgere il management solo durante le emergenze.

COSÀ (buone pratiche)

  • Tradurre il rischio tecnico in impatto organizzativo.
  • Collegare ogni rischio alle possibili conseguenze.
  • Favorire un dialogo continuo tra funzioni tecniche e direzione.
  • Presentare scenari decisionali, non solo dati tecnici.
  • Integrare la cybersecurity nella governance aziendale.

DAL CAMPO

Nel corso della mia attività professionale ho partecipato a numerosi incontri tra figure tecniche e management. Ho osservato che il problema raramente era la qualità delle analisi tecniche.

Più spesso riguardava la difficoltà di tradurre quelle informazioni in elementi utili per decidere. L’esperienza insegna che la cybersecurity crea valore quando riesce a collegare tecnologia, rischio e responsabilità, consentendo ai decisori di comprendere le conseguenze delle proprie scelte.

COSA FARE DOMANI MATTINA

Prendi l’ultimo report di cybersecurity presentato alla direzione.

Chiediti una sola cosa:

  • Un amministratore che non ha competenze tecniche riuscirebbe a capire quali decisioni dovrebbe prendere?

Se la risposta è no, probabilmente il problema non è il report. È il modo in cui viene comunicato il rischio.

CHECKLIST OPERATIVA

  • I report sono comprensibili anche ai non tecnici?
  • Ogni rischio è collegato al suo impatto operativo?
  • Le priorità sono chiaramente evidenziate?
  • Il management partecipa alle decisioni sulla cybersecurity?
  • Esiste un linguaggio comune tra area tecnica e direzione?

IL QUESITO

Se domani dovessi presentare il principale rischio cyber della tua organizzazione al Consiglio di amministrazione in cinque minuti, parleresti di vulnerabilità tecniche o delle decisioni che sarà necessario prendere?


#09 GOVERNANCE IA

Ruolo, azioni e responsabilità nell’uso dell’IA. Sai cosa fa davvero l’IA con i tuoi dati?

IL MESSAGGIO CHIAVE

L’intelligenza artificiale è entrata rapidamente nelle attività quotidiane di molte organizzazioni.

Viene utilizzata per scrivere documenti, analizzare informazioni, preparare riunioni, sviluppare codice, elaborare immagini e supportare decisioni.

Tuttavia, la velocità con cui questi strumenti vengono adottati supera spesso quella con cui vengono definite regole, responsabilità e modalità di utilizzo.

Il rischio non riguarda soltanto la tecnologia. Riguarda il modo in cui viene governata.

Utilizzare l’IA in modo consapevole significa sapere quali dati vengono condivisi, chi è responsabile delle decisioni e quali controlli devono rimanere in capo alle persone.

PERCHÉ È IMPORTANTE

Ogni organizzazione tratta informazioni con livelli diversi di riservatezza, valore e criticità.

L’introduzione dell’intelligenza artificiale modifica il modo in cui queste informazioni vengono create, elaborate e condivise.

Senza una governance adeguata possono emergere rischi legati alla protezione dei dati, alla qualità delle informazioni, alla proprietà dei contenuti e alla responsabilità delle decisioni.

Per questo motivo l’adozione dell’IA dovrebbe essere accompagnata da regole chiare, ruoli definiti e processi condivisi.

ERRORE DI PROSPETTIVA

È facile considerare l’intelligenza artificiale come un semplice strumento di produttività.

In realtà ogni suo utilizzo può coinvolgere dati, processi, responsabilità e decisioni. Governare l’IA significa stabilire in anticipo quali attività possono essere delegate e quali devono rimanere sotto il controllo umano.

COSÌ (errori più frequenti)

  • Utilizzare strumenti di IA senza linee guida.
  • Condividere dati senza valutarne la sensibilità.
  • Non definire responsabilità.
  • Affidarsi automaticamente ai risultati prodotti.
  • Confondere supporto decisionale e decisione.

COSÀ (buone pratiche)

  • Definire una policy per l’utilizzo dell’IA.
  • Classificare i dati prima del loro utilizzo.
  • Stabilire ruoli e responsabilità.
  • Validare sempre i contenuti prodotti.
  • Mantenere il controllo umano sulle decisioni.

DAL CAMPO

Nel corso della mia attività professionale ho osservato come molte organizzazioni abbiano introdotto strumenti di intelligenza artificiale in modo spontaneo, spesso grazie all’iniziativa dei singoli collaboratori.

Questa capacità di innovazione rappresenta una risorsa importante, ma può generare comportamenti molto diversi tra loro. L’esperienza insegna che il vero valore dell’IA non dipende soltanto dagli strumenti adottati, ma dalla chiarezza e precisione con cui vengono definite responsabilità, regole di utilizzo e modalità di verifica dei risultati.

COSA FARE DOMANI MATTINA

Chiedi al tuo team una cosa molto semplice:

  • Quali strumenti di intelligenza artificiale vengono già utilizzati nelle attività quotidiane?

Le risposte potrebbero sorprenderti. Conoscere gli strumenti già presenti rappresenta il primo passo per governarli.

CHECKLIST OPERATIVA

  • Esiste una policy sull’utilizzo dell’IA?
  • I dati vengono classificati prima dell’utilizzo?
  • Sono definite responsabilità e livelli di autorizzazione?
  • I risultati prodotti vengono verificati?
  • Le persone hanno ricevuto indicazioni sul corretto utilizzo?

IL QUESITO

Se oggi un collaboratore utilizzasse uno strumento di intelligenza artificiale per elaborare informazioni riservate, la tua organizzazione saprebbe quali regole applicare?


#10 CHATGPT

ChatGPT entra nelle riunioni con clienti e collaboratori. Ma quando produce contenuti, chi è responsabile?

IL MESSAGGIO CHIAVE

L’intelligenza artificiale generativa è ormai presente nelle attività quotidiane di molte organizzazioni.

Viene utilizzata per preparare riunioni, scrivere documenti, sintetizzare informazioni, produrre presentazioni e supportare il lavoro dei collaboratori.

Tutto questo rappresenta una straordinaria opportunità. Ma introduce anche una nuova responsabilità.

Quando un contenuto viene utilizzato per prendere decisioni o comunicare con clienti, partner e colleghi, la responsabilità non appartiene allo strumento.

Rimane sempre dell’organizzazione e delle persone che hanno deciso di utilizzarlo. L’IA può assistere. La responsabilità resta umana.

PERCHÉ È IMPORTANTE

Gli strumenti di IA generativa consentono di aumentare la produttività e migliorare numerosi processi aziendali.

Tuttavia, la rapidità con cui vengono prodotti testi, analisi e sintesi può indurre a considerarli automaticamente corretti o sufficientemente affidabili.

Ogni contenuto generato dovrebbe invece essere valutato nel proprio contesto, verificato e validato prima di essere utilizzato per decisioni operative o comunicazioni ufficiali.

L’obiettivo non è limitare l’utilizzo dell’IA. È utilizzarla mantenendo piena consapevolezza delle responsabilità che rimangono in capo alle persone.

ERRORE DI PROSPETTIVA

È facile pensare che un contenuto prodotto dall’intelligenza artificiale sia semplicemente una bozza da utilizzare.

In realtà, ogni volta che un’organizzazione lo adotta, lo modifica o lo condivide, quel contenuto entra nei propri processi decisionali e comunicativi.

L’intelligenza artificiale può generare informazioni. Ma non può assumersi la responsabilità delle conseguenze del loro utilizzo.

COSÌ (errori più frequenti)

  • Utilizzare contenuti senza verificarli.
  • Inserire dati sensibili senza una valutazione preventiva.
  • Confondere velocità con affidabilità.
  • Delegare all’IA decisioni che richiedono giudizio umano.
  • Non definire regole di utilizzo condivise.

COSÀ (buone pratiche)

  • Verificare sempre i contenuti generati.
  • Definire quali informazioni possono essere condivise.
  • Stabilire responsabilità chiare.
  • Mantenere la supervisione umana.
  • Integrare l’IA nei processi di governance.

DAL CAMPO

Nel corso della mia attività professionale ho osservato un crescente entusiasmo verso l’utilizzo dell’intelligenza artificiale generativa. In molti casi lo strumento viene introdotto rapidamente per migliorare produttività ed efficienza.

L’esperienza insegna però che il vero cambiamento non riguarda il software, ma il modo in cui le persone decidono di utilizzarlo. Le organizzazioni che ottengono i risultati migliori sono quelle che accompagnano l’innovazione con regole chiare, responsabilità definite e una costante verifica umana dei contenuti prodotti.

COSA FARE DOMANI MATTINA

Chiedi al tuo team una sola cosa:

  • Quali documenti prodotti con l’aiuto dell’intelligenza artificiale vengono oggi verificati da una persona prima di essere condivisi?

Se la risposta non è chiara, è il momento di definire una semplice procedura di validazione.

CHECKLIST OPERATIVA

  • Esistono regole condivise sull’utilizzo dell’IA?
  • I contenuti vengono verificati prima della diffusione?
  • È chiaro chi è responsabile del documento finale?
  • Le persone conoscono i limiti dello strumento?
  • I dati sensibili vengono gestiti correttamente?

IL QUESITO

Se domani un documento prodotto con l’aiuto dell’intelligenza artificiale contenesse un errore che provoca un danno economico o reputazionale, sarebbe chiaro chi ne risponde?


» Hai domande? Scrivimi