Stefano Gazzella : 4 Settembre 2025 07:39
Gestire la sicurezza non è affatto semplice, non è qualcosa di standardizzabile, ma soprattutto non può avvenire a colpi di “soluzioni”. Serve progettazione, analisi e la capacità di avere una visione d’insieme e soprattutto perseguire gli obiettivi di mantenere dati e sistemi ad un livello di sicurezza accettabile. Le cause di crisi più comuni sono lo scollamento fra ciò che si è fatto e ciò che si vorrebbe fare, o ancor peggio ciò che si crede di aver fatto. Insomma: sia l’ipotesi in cui i desiderata non siano raggiungibili in concreto, sia quella in cui ci si illude di essere al sicuro, sono fonte di gran parte dei problemi che possono essere riscontrati nelle organizzazioni di ogni dimensione.
Per questo motivo, esistono delle funzioni – o meglio: degli uffici – che sono deputati non solo ad una sorte di controllo di gestione della sicurezza, ma anche e soprattutto ad un’azione di advisoring continua della Direzione in modo tale che si possano contrastare allucinazioni di varia natura. Non da ultima, quella della cosiddetta paper security. Ovverosia la sicurezza scritta e mai attuata, in cui si ritiene che un formalismo possa mettere in salvo dall’azione di qualsiasi threat actor.
Questi uffici sono quello del CISO e del DPO. Il primo è caratterizzato da un campo d’azione decisamente più ampio mentre il secondo è verticalizzato sugli aspetti di gestione dei dati personali fra cui rientra anche la sicurezza. La correlazione fra Data Privacy e Data Security è ricorrente in gran parte delle norme, nei sistemi di gestione e nell’esperienza pratica delle organizzazioni.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Quel che occorre è che però CISO e DPO sappiano operare come un tag team nella gestione della sicurezza, anziché come concorrenti. Anche quando le funzioni sono esterne e affamate di upselling. Ma la Direzione sa come impiegarli e soprattutto come verificare la correttezza del loro operato? Ecco la nota dolente. Spesso si ricorre a un CISO perchè fa fancy, o a un DPO perchè obbligatorio. Ma raramente si sa rispondere alla domanda se questi stiano facendo bene il proprio lavoro, accontentandosi dei report periodici e qualche slide messa lì per giustificare i compensi corrisposti.
Superiamo un malinteso: sia il CISO che il DPO possono essere controllati e questo non ne compromette l’apporto. Tanto nell’ipotesi che siano interni che esterni. Come ogni organismo dell’organizzazione – ivi incluso l’OdV – devono comprovare di aver adempiuto agli obblighi contrattualmente definiti nonché alle mansioni richieste dallo svolgimento dell’incarico. Alcuni potrebbero sostenere – anzi: hanno sostenuto – che così viene compromessa l’indipendenza della funzione, facendo salire le Nessuno mi può giudicare vibes. Errando profondamente. Perché ciò che non può essere sindacato è l’ambito discrezionale affidato alle funzioni di controllo e l’esito delle loro valutazioni, non il fatto che queste non svolgano il proprio incarico correttamente.
Quindi bene coinvolgerli e farli lavorare, ancor meglio comprendere come farli lavorare al meglio. Valorizzando i punti di forza e mitigando le criticità.
“Together we stand, divided we fall” , ricordano i Pink Floyd. Questo, nella sicurezza, è un leitmotiv comune a molteplici funzioni e ricorrente per CISO e DPO. Ma come agire in cooperazione? Certamente, sedere ai tavoli di lavoro è importante ma sapere anche qual è l’apporto reciproco che si può dare ai progetti, o il perimetro di intervento, è fondamentale.
Buona prassi vuole che si condividano progetti anche in cui l’ultima parola è naturalmente del CISO o del DPO, come ad esempio, rispettivamente, nella decisione circa una misure di sicurezza o altrimenti un parere circa l’adeguatezza della stessa rispetto ai rischi per gli interessati. Insomma: condivisione degli obiettivi, dei progetti e rispetto dei ruoli.
La Direzione deve pertanto predisporre i flussi informativi ma anche coinvolgere le figure all’interno dei tavoli di lavoro della sicurezza, avendo contezza di cosa chiedere a chi, potendo così gestire al meglio la roadmap di attuazione e di controllo della sicurezza dei dati e dei sistemi.
Chiarire i termini e le modalità di cooperazione è utile non solo per evitare inutili ripetizioni, ma soprattutto per prevenire quei conflitti che possono emergere quando ci sono ambiti comuni d’intervento.
La sovrapposizione dell’azione del CISO e del DPO è inevitabile, ma dev’essere gestita correttamente. Altrimenti diventa competizione. E oramai la favola della coopetition è decisamente sfumata, dal momento che innalza il livello di conflitto interno in azienda, nonché porta ad inevitabili deragliamenti dal tracciato degli obiettivi di sicurezza.
La Direzione non solo deve astenersi dal promuovere conflitti, ma prevenirli presentando adeguatamente le funzioni e chiarendo che cosa si attende come risultati. Questo può significare stabilire KPI, richiedere pareri congiunti o in sinergia, o altrimenti assegnare valutazioni di rischio in prospettiva di integrazione o confronto, ad esempio.
Insomma: CISO e DPO possono migliorare la gestione della sicurezza.
Ma occorre aver letto bene le istruzioni per l’uso.
Stefano GazzellaUn gruppo di membri del Parlamento europeo hanno chiesto di abbandonare l’uso interno dei prodotti Microsoft e di passare a soluzioni europee. La loro iniziativa nasce dalle crescenti preoccupazioni...
Ciao a tutti… mi chiamo Marco, ho 37 anni e lavoro come impiegata amministrativa in uno studio commerciale. È la prima volta che parlo davanti a tutti voi e sono un pò emozionato … e vi assicuro...
Il presidente degli Stati Uniti Donald Trump ha firmato un ordine esecutivo, “Launching the Genesis Mission”, che avvia un programma nazionale per l’utilizzo dell’intelligenza artificiale nell...
Piaccia o meno, l’invio di un’email a un destinatario errato costituisce una violazione di dati personali secondo il GDPR. Ovviamente, questo vale se l’email contiene dati personali o se altrime...
Nel gergo dei forum underground e dei marketplace del cybercrime, il termine combo indica un insieme di credenziali rubate composto da coppie del tipo email:password. Non si tratta di semplici elenchi...
