C’è una domanda che, in tanti anni di lavoro nel settore, ho sentito fare centinaia di volte: “Come facciamo a sapere se la nostra cybersecurity è efficace?”
È una domanda legittima, eppure, curiosamente, è anche quella che lascia più spesso spiazzati. Troppo facile rispondere con frasi fatte del tipo: “Abbiamo firewall di ultima generazione”, o “Il nostro antivirus è AI-based”. Bene, ma poi? Come misuri se quello che hai messo in piedi regge davvero il colpo?
Ho visto aziende convinte di essere blindate solo perché avevano un SIEM costoso, ma non lo guardava mai nessuno. O altre che facevano scan settimanali di vulnerabilità e si sentivano tranquille, salvo poi dimenticare i sistemi legacy non più tracciati, che diventavano la porta d’ingresso preferita degli attaccanti.
Resilienza: una parola abusata, ma il concetto resta fondamentale
Prima di addentrarci negli indicatori, voglio chiarire un punto che spesso sfugge. La sicurezza perfetta non esiste. In tanti anni non l’ho mai vista, e dubito che qualcuno possa dire il contrario. Il punto non è “bloccare ogni attacco”, ma essere in grado di resistere, rispondere e ripartire senza conseguenze catastrofiche. Questa è la vera resilienza.
Significa ridurre al minimo la finestra in cui un attaccante può fare danni, isolare rapidamente il problema, ripristinare i servizi critici e continuare a lavorare. Detto così sembra semplice, ma richiede disciplina, processi rodati e — soprattutto — la capacità di leggere i segnali che i sistemi ci mandano.
Cybersecurity – Gli indicatori che contano (davvero)
Chi fa sicurezza da tempo lo sa: servono numeri per capire come stiamo messi. Ma non numeri buttati lì, presi da qualche report patinato. Mi riferisco a dati operativi, misurati sui tuoi sistemi.
Quanto tempo ci metti a scoprire che sei sotto attacco? (MTTD)
Il Mean Time To Detect è la metrica regina. Ti dice quanti minuti, ore o — nei casi peggiori — giorni passano prima che tu ti accorga che qualcuno si è infilato nella rete. Più è basso, meglio è. Un MTTD di pochi minuti in genere indica processi di monitoraggio ben tarati. Quando diventa questione di giorni o settimane, vuol dire che probabilmente hai troppi alert silenziati, regole IDS generiche o, peggio ancora, nessuno che guardi i log.
Ho visto un caso emblematico in una media azienda manifatturiera: un trojan era rimasto attivo per quasi due mesi prima di essere notato, perché i log finivano su un SIEM che nessuno controllava. Alla fine è stato scoperto per caso, durante un audit interno.
Quanto tempo ci metti a spegnere l’incendio? (MTTR)
Il Mean Time To Respond (o Recover) è il tempo medio che serve a chiudere la falla e riportare tutto alla normalità. Un MTTR basso non è solo merito di un team bravo, ma spesso di un piano di incident response testato davvero, non solo scritto in un PDF polveroso.
Conosco aziende che fanno esercitazioni di tabletop ogni trimestre, simulando incidenti realistici, e altre che “hanno un piano” ma non hanno mai verificato se i contatti siano aggiornati. Indovina quale delle due si riprende più in fretta.
Quanto regge la tua infrastruttura prima di cedere? (MTTF)
Qui il discorso si fa più sottile. Il Mean Time To Failure, nella cybersecurity, aiuta a stimare per quanto tempo un sistema resta sicuro prima di un guasto catastrofico o di una compromissione. È un indicatore preso a prestito dal mondo hardware, ma sempre più usato per capire la robustezza complessiva delle difese. Se vuoi approfondire ti suggerisco una risorsa interessante sulla formula e il calcolo del mttf scritta dagli esperti di RS.
Cybersecurity, gli errori più comuni? Fidarsi delle etichette
Se c’è una cosa che continuo a vedere è la delega cieca alla tecnologia. “Abbiamo comprato il miglior firewall sul mercato, siamo a posto.” Peccato che quel firewall sia magari configurato in fretta e furia con policy di default troppo permissive. Oppure: “Abbiamo implementato un SIEM avanzato con machine learning.” Benissimo. Ma chi lo calibra? Chi reagisce agli alert?
La sicurezza è fatta di persone che leggono log, investigano anomalie, aggiornano configurazioni. Senza questo, anche l’AI più intelligente finisce per mandare mail di allerta che nessuno legge.
Qualche consiglio pratico che ho imparato sul campo
Non lasciare la detection solo all’IT. Coinvolgi chi lavora sui processi: spesso si accorgono di stranezze prima ancora che lo faccia un sistema automatico.
Fai penetration test periodici. Non quelli generici da checklist, ma mirati sui tuoi asset critici, simulando attacchi concreti.
Centralizza i log, ma non fermarti lì. Imposta soglie e alert davvero rilevanti, per evitare di affogare nel rumore di fondo.
Forma il personale. Non solo con e-learning obbligatori, ma con simulazioni di phishing e sessioni brevi, che mostrino esempi reali.
La verità? Non smetti mai di imparare (e di aggiustare il tiro)
Dieci anni fa pensavo che la cybersecurity fosse soprattutto una questione di firewall, antivirus e patch. Oggi so che il vero segreto è costruire un’organizzazione che sappia leggere i segnali e reagire con lucidità. Perché puoi comprare tutti gli strumenti che vuoi, ma se non misuri, non osservi e non migliori, prima o poi qualcuno troverà una breccia. E quando succederà, dovrai sperare di avere un MTTD e un MTTR talmente bassi da ridurre il guaio a un contrattempo, non a un disastro.
E alla fine, è proprio questo il gioco: accettare che l’attacco arriverà e prepararsi a gestirlo meglio di ieri. Con un occhio ai numeri, certo, ma soprattutto con un team che sappia cosa fare quando il campanello d’allarme suona davvero.
