Falso lancio Adnkronos in chat giornalisti annuncia Meloni al Quirinale, Desario: “Fatto grave, denunciamo”

(Adnkronos) – Rimbalza sulle chat di ambienti politici e giornalistici un messaggio ‘fake’, che riproduce un take contraffatto dell’Adnkronos dal titolo: ‘Flash – Quirinale: Meloni al Colle per incontro con Mattarella, tensione al termine del vertice’. Il testo, totalmente inventato, ricrea ad arte il format dei lanci dell’agenzia di stampa Adnkronos. “E’ una cosa molto grave, faremo i dovuti accertamenti e presenteremo denuncia alla polizia postale sull’accaduto. Basta controllare il nostro notiziario per verificare che si tratta di un falso”, dice il direttore responsabile dell’Adnkronos Davide Desario.  

Questo il testo del falso messaggio, che risulterebbe inoltrato molte volte: “La presidente del Consiglio Giorgia Meloni è salita al Quirinale per un incontro con il presidente della Repubblica Sergio Mattarella. Il colloquio, avvenuto nel pomeriggio, si inserisce in un momento di particolare attenzione politica e istituzionale. Al termine del confronto, secondo quanto si apprende, sarebbe apparso un clima teso: volto scuro e nessun commento da parte della premier all’uscita dal Colle. Meloni ha lasciato il Quirinale senza rilasciare dichiarazioni, alimentando le ipotesi su possibili divergenze emerse nel corso del colloquio con il capo dello Stato. L’incontro tra Mattarella e Meloni resta al centro dell’attenzione politica, mentre nelle prossime ore potrebbero emergere ulteriori dettagli sui temi affrontati”. 

Non è la prima volta che ‘strani’ messaggi attribuiti falsamente all’Adnkronos si diffondono in ambienti politici. Già nell’agosto del 2024, un lancio contraffatto riportava una falsa dichiarazione di Maurizio Gasparri, in cui il senatore parlava del generale Mori e di De Donno “che hanno ucciso mafiosi”. Una frase che aveva tratto in inganno l’ex deputato del Pd, Davide Mattiello. Interpellato dall’Adnkronos l’ex parlamentare dem raccontò che il messaggio circolava in una chat whatsapp diffusa in ambienti della commissione Antimafia. “A vista -disse all’epoca Mattiello- sembrava un lancio di Adnkronos in tutto e per tutto, con tanto di orario e sigla”. Tanto che lo stesso Walter Verini ammise che, prima di scoprire il fake, “stavamo valutando tra di noi cosa fare” in Antimafia su una frase ”così forte”.  

politica

webinfo@adnkronos.com (Web Info)

Novità su Google, per aggiungere Key4Biz tra le tue fonti preferite, clicca qui

Aggiungi Key4Biz tra le tue fonti preferite

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/falso-lancio-adnkronos-in-chat-giornalisti-annuncia-meloni-al-quirinale-desario-fatto-grave-denunciamo/580871/




Bruxelles, il video dell’europarlamentare Scuderi trascinata dalla polizia: “Ero vicino sit-in neonazista”

(Adnkronos) – “La polizia di Bruxelles mi ha impedito di camminare da libera cittadina per strada, a qualche centinaia di metri dal Parlamento Europeo, dove si stava svolgendo una manifestazione della destra a favore della remigrazione. Sono stata strattonata e spostata con la forza, anche se altre persone camminavano intorno a me. Forse a spaventare la polizia è stata la bandiera della pace che avevo in mano?”. Lo denuncia sui social Benedetta Scuderi, europarlamentare di Alleanza Verdi e Sinistra, postando un video dell’accaduto. 

politica

webinfo@adnkronos.com (Web Info)

Novità su Google, per aggiungere Key4Biz tra le tue fonti preferite, clicca qui

Aggiungi Key4Biz tra le tue fonti preferite

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/bruxelles-il-video-delleuroparlamentare-scuderi-trascinata-dalla-polizia-ero-vicino-sit-in-neonazista/580873/




Sentenza gioielliere, Salvini: “Io sto con Mario Roggero, chiedo grazie per lui”

(Adnkronos) – “Io sto, in tanti stiamo con Mario Roggero. Un padre, un nonno, un marito e un lavoratore per una vita, che arriva a 72 anni per essere mandato in carcere perché ha reagito a un’aggressione, a un furto, a una rapina nel suo negozio, nel negozio di famiglia, con moglie e figlia presenti e a rischio. Per la giustizia italiana ha esagerato”. Così in un video su Instagram il vicepremier e leader della Lega Matteo Salvini dopo la conferma della Cassazione della condanna per il gioielliere che uccise due rapinatori dopo la rapina nel suo negozio. 

  

“Io non auguro a nessuno dei commentatori da tastiera di trovarsi in un contesto drammatico come quello e non auguro a nessuno di poter cercare di capire cosa ti dice la tua mente. Non entro nel merito della sentenza, ritengo ingiusta questa condanna. Spero di far arrivare la voce ovunque per chiedere ‘grazia per Roggero’. Una grazia per un lavoratore onesto, tranquillo, perbene, per un marito, per un padre, per un nonno che a 72 anni non merita sicuramente il carcere”, conclude Salvini. 

  

politica

webinfo@adnkronos.com (Web Info)

Novità su Google, per aggiungere Key4Biz tra le tue fonti preferite, clicca qui

Aggiungi Key4Biz tra le tue fonti preferite

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/sentenza-gioielliere-salvini-io-sto-con-mario-roggero-chiedo-grazie-per-lui/580875/




Cozzoli (Ads): “Droni, Ai e sensoristica per autostrade più sicure”

(Adnkronos) – Vito Cozzoli, amministratore delegato di Autostrade dello Stato, illustra le progettualità della società, in occasione del convegno ‘Sicurezza e innovazione delle infrastrutture autostradali’, organizzato presso la Club House Montecitorio a Roma. 

economia

webinfo@adnkronos.com (Web Info)

Novità su Google, per aggiungere Key4Biz tra le tue fonti preferite, clicca qui

Aggiungi Key4Biz tra le tue fonti preferite

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/cozzoli-ads-droni-ai-e-sensoristica-per-autostrade-piu-sicure/580885/




The Agentic Insider: Why AI Tech Stacks Are the Ultimate Insider Threat

For decades, an insider threat was a human problem. It was the disgruntled employee, the compromised contractor, or the careless team member. Security leaders managed this risk through a combination of trust and verification: background checks, restricting access to files required only for daily role (known as least-privilege access), and behavioural monitoring to spot someone entering an office or accessing a database at 2 AM.

But as organizations move beyond Large Language Models (LLMs) and toward agentic AI, the very definition of insider threat is expanding. We no longer deal only with systems that generate answers. We are deploying systems that can pursue objectives, use credentials, access data, interact with applications and trigger actions inside and sometimes outside of our organizations.

That is a materially different scale of risk. An LLM is closer to a digital library: useful, powerful, but largely dependent on the user. An AI agent is closer to an enhanced human operator. It can act at machine speed, across connected systems, using the permissions it has been granted. Yet, many organizations are still treating these agents as ordinary applications, when they should be governing them more like high-risk users with privileged access.

The Rapid Rise of Agentic AI 

Across the globe, organizations are under immense pressure to increase speed and reduce costs by automating complex processes through agentic AI — and are rushing to capture these efficiencies at an unprecedented pace. According to recent Gartner projections, 40% of enterprise applications will feature integrated, task-specific AI agents by the end of 2026 — a massive jump from less than 5% in 2025. Companies are adopting or experimenting with these agents to autonomously execute complex processes like invoice processing, supplier payments, and even the management of operational technology in manufacturing plants and hospitals.

To function, these agents require deep access to internal systems and permission to complete actions. A supply chain agent, for example, is not just reading reports. It may be approving orders, changing suppliers, rerouting shipments, initiating payments or interacting with systems that affect warehouses, factories and transport networks. In some cases, these agents operate with limited human supervision and, at times, no supervision at all. They have effectively become insiders that never sleep, operate at unprecedented speed and can chain actions across multiple parts of the organization.

The Fast-Emerging Blind Spots

This creates several immediate blind spots. The first is trust without context. Many organizations are giving AI agents access to internal systems before they understand how they are configured, what they can do, or what normal behavior looks like. It is the digital equivalent of hiring someone into a sensitive role without a background check or job description. The risk is even greater when agents are bought from third-party vendors, where the organization may have limited visibility over how the system was built, tested, governed or updated.

Insider risk has always involved ambiguity. An employee entering a factory at night might be responding to an emergency, or they might be acting outside policy. AI agents create the same problem, but at machine speed. An agent may access systems, move data or trigger workflows in ways that look legitimate because they sit within its permissions. Yet if the agent is optimizing for speed or efficiency, it may also take shortcuts that bypass controls or create risks no one anticipated. Without a behavioral baseline, security teams may not know whether the agent is performing normally, drifting from its intended role, or becoming a source of harm.

We are also seeing the emergence of what could be called Russian Doll risks, or more technically a nested delegation risk: one layer of delegation hidden inside another. A human tasks an agent, the agent tasks another agent, and that second agent may interact with a supplier’s own agent. Each step moves human oversight further away from the action. It also makes it harder to know who, or what, made a decision, and whether the right controls were applied.

Finally, agentic AI risk cannot sit in an organizational silo. When companies treat AI agents purely as an IT or cybersecurity issue, they miss the fact that these systems may be given access to financial, operational and physical environments. If IT provisions an agent without input from Legal, HR, Physical Security and the relevant business owner, the organization loses sight of the full risk picture. That creates gaps in accountability, where an agent can operate across departments without anyone clearly owning what it is allowed to do, how it is monitored, or when it should be stopped.

Mapping a Path Forward: Actionable Steps for the C-Suite

Agentic AI tech stacks are fast becoming one of the most consequential insider risks facing organizations. The issue is no longer limited to data theft or misuse of information. As agents gain access to financial, operational and physical systems, a failure of governance could disrupt a critical pipeline, interfere with logistics or affect the delivery of care in a hospital.

Boards and security leaders therefore need to move from passive implementation to active agentic governance. That means rewriting their security playbook around three core priorities: 

  1. Implement agentic AI background checks: Treat the procurement of any autonomous AI agent with the same scrutiny you would apply to a high-risk human hire. Security leaders must vet third-party vendors, investigate how the models are built, and verify exactly what internal networks they are permitted to touch.
  2. Establish behavioral baselines: You cannot spot a rogue agent if you do not know what normal behavior looks like. Organizations must continuously monitor and define baseline activity for every deployed agent to immediately catch and stop unauthorized shortcuts.
  3. Dissolve departmental silos: Pull AI risk out of the IT basement. Bring the Chief Information Security Officer, Chief Security Officer, and Chief People Officer into a unified risk group. Just as HR and security align to manage human insider threats, they must align to manage digital ones.

The pace of AI development means organizations are having to move faster than ever, but at the same time, things will never be this slow again. We have a narrow window to build the frameworks that will govern the machines we have invited into our inner circles. The question for every C-suite is simple: Do you know what your agents are doing right now, and have you given them permission to do it?

https://www.securitymagazine.com/articles/102405-the-agentic-insider-why-ai-tech-stacks-are-the-ultimate-insider-threat




Risposta agli incidenti: il nuovo approccio del NIST SP 800-61

La risposta agli incidenti è l’insieme delle attività con cui un’organizzazione si prepara a un attacco informatico, lo individua, lo contiene e ne esce ripristinando ciò che è stato colpito. Per quasi due decenni, dalla prima edizione del 2004, il riferimento di tutto il settore è stato un ciclo a quattro fasi codificato dal NIST, una sequenza ordinata che ha insegnato a generazioni di professionisti come muoversi durante un incidente. Nel 2025, però, il NIST ha cambiato impostazione in modo netto, e capire perché aiuta a vedere come è maturata l’intera disciplina.

Il punto non è che il vecchio schema fosse sbagliato, ma che il modo in cui veniva usato si era irrigidito. Trattato come una lista di controllo lineare, da percorrere dall’inizio alla fine quando l’allarme era già scattato, finiva per relegare la risposta agli incidenti a un’attività isolata, di competenza quasi esclusiva del reparto tecnico, scollegata dal resto della gestione del rischio. La revisione del 2025 nasce proprio per correggere questa deriva.

Dal ciclo a quattro fasi alla revisione 3

Il modello classico, contenuto nella seconda revisione della guida del NIST, descriveva la risposta agli incidenti in quattro fasi: preparazione; rilevamento e analisi; contenimento, eradicazione e ripristino; attività post-incidente. Era uno schema solido e didatticamente efficace, e in realtà già concepito come ciclo, con le attività post-incidente che rialimentavano la preparazione. Il limite non stava nella sua forma, ma nel modo in cui veniva spesso applicato: come una lista lineare da percorrere quando l’allarme era già scattato, dando l’impressione che la risposta cominciasse con il rilevamento e si esaurisse con il ripristino, quasi fosse un episodio a sé.

La terza revisione, il NIST SP 800-61 Rev. 3 pubblicata nell’aprile 2025, supera quel modello e ne propone uno sensibilmente diverso. Non descrive più un ciclo separato, ma inserisce la risposta agli incidenti dentro la più ampia gestione del rischio, mappandola sulle sei funzioni del CSF 2.0, il quadro di riferimento del NIST per la cybersicurezza. La risposta agli incidenti, in altre parole, smette di essere una procedura accanto alle altre e diventa una capacità che attraversa l’intero modo in cui un’organizzazione governa la propria sicurezza.

Le sei funzioni applicate alla risposta agli incidenti

Le sei funzioni del CSF 2.0 sono Govern (governare), Identify (identificare), Protect (proteggere), Detect (rilevare), Respond (rispondere) e Recover (ripristinare). La revisione 3 le usa come ossatura, distribuendo tra esse ciò che prima era confinato nelle quattro fasi. La novità più significativa è la presenza di Govern, la funzione introdotta dal CSF 2.0, che porta la responsabilità di definire strategia, ruoli e politiche della risposta al livello di governo dell’organizzazione, legando la gestione dell’incidente alle scelte di chi la guida.

Il documento raggruppa le funzioni in modo istruttivo. La preparazione non è più una singola fase iniziale, ma il prodotto continuo di Govern, Identify e Protect, cioè di tutto ciò che si fa prima e indipendentemente da un attacco: conoscere i propri rischi, proteggere gli asset, stabilire chi decide cosa. La gestione vera e propria dell’incidente vive invece nelle funzioni Detect, Respond e Recover. E il miglioramento continuo, le lezioni apprese da ogni evento, non è un’appendice finale ma un filo che rientra costantemente nella funzione Identify, alimentando la preparazione del giro successivo.

Un esempio concreto aiuta a vedere la differenza. Di fronte a un attacco ransomware, nel vecchio schema si sarebbe partiti dal rilevamento; nella nuova impostazione, gran parte del lavoro è già avvenuto prima. La funzione Govern ha stabilito chi ha l’autorità di dichiarare la crisi e quali sono le priorità dell’organizzazione; Identify ha mappato quali sistemi sono critici e quali dati sono in gioco; Protect ha predisposto i backup e le segmentazioni che limiteranno il danno. Solo a quel punto entrano in scena Detect, che riconosce la cifratura in corso, Respond, che isola i sistemi e attiva le comunicazioni previste, e Recover, che ripristina a partire dai backup. La qualità della risposta, in questo quadro, si decide molto prima dell’attacco.

Perché il cambiamento conta

Il valore di questa riorganizzazione sta nel messaggio di fondo: la risposta agli incidenti non è qualcosa che il SOC fa da solo quando suona l’allarme, ma una capacità che si costruisce ogni giorno e che parte dall’alto. Collocando Govern tra le funzioni, il NIST mette nero su bianco che la preparazione a un incidente è una responsabilità di governo, non una faccenda puramente operativa. È un’impostazione che si salda perfettamente con la direzione presa dalle normative recenti, che hanno reso i vertici aziendali responsabili in prima persona della gestione del rischio cyber.

Ne discende anche una conseguenza pratica sulla preparazione, che cessa di essere un adempimento da spuntare una volta per diventare una postura permanente. Mantenere viva quella postura significa esercitarsi con regolarità, ad esempio in ambienti come un cyber range, e curare con continuità le attività che riducono la superficie d’attacco, come una solida gestione delle vulnerabilità. Sono attività che nel vecchio schema rischiavano di apparire esterne alla risposta, e che nel nuovo ne sono invece parte integrante.

Cosa significa in pratica

Adottare l’impostazione della revisione 3 non vuol dire buttare via il lavoro fatto con il modello a quattro fasi. Le cose che accadono durante un incidente, rilevare, contenere, eradicare, ripristinare, restano quelle: cambia la cornice che le tiene insieme e il modo di pensarle. In concreto, significa allineare il proprio piano di risposta alle funzioni del CSF, coinvolgere il livello di governo nella definizione di ruoli e priorità, e trattare le lezioni apprese come un meccanismo di miglioramento continuo anziché come un verbale archiviato dopo l’emergenza.

Conviene anche evitare un equivoco: passare al nuovo modello non rende obsoleti i piani e le procedure costruiti negli anni. Un buon piano di risposta resta utile, va semplicemente riletto attraverso le funzioni del CSF, verificando che ciascuna sia presidiata e che le lezioni apprese da ogni esercitazione e da ogni incidente reale rientrino davvero nel ciclo, invece di fermarsi a un verbale. È proprio questo aggancio sistematico al miglioramento continuo, più che la riorganizzazione formale delle fasi, a fare la differenza tra un’organizzazione che impara dai propri incidenti e una che li ripete.

Per le organizzazioni italiane, questo approccio ha il vantaggio di parlare la stessa lingua degli obblighi che già le riguardano, dove la sicurezza è concepita come gestione del rischio governata dai vertici e non come un insieme di misure tecniche slegate. La risposta agli incidenti, vista così, non è il piano che si tira fuori dal cassetto quando ormai è troppo tardi, ma la misura di quanto un’organizzazione abbia saputo prepararsi, governare e migliorare prima che l’incidente arrivasse. È in questo spostamento, dal procedimento isolato alla capacità diffusa, che sta il senso della nuova impostazione del NIST.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/cyber-security/risposta-agli-incidenti-nist-800-61/




AI Agents Expected to Handle a Third of Marketing Decisions Within 2 Years

A recent report by Kana analyzed the adoption of AI systems. Seventy percent of respondents already run custom AI agents handling real marketing tasks in production. Only 3% report no marketing AI use at all. The question executives are wrestling with is no longer adoption, it’s whether they can scale and govern what is already running.

Across the full sample, 40% say the Chief AI Officer should own agentic marketing strategy and execution. AI leaders strongly agree, with 52% pointing to the Chief AI Officer (CAIO). Marketing executives are the exception: they are the only cohort that leans toward their own function and toward shared ownership. Until enterprises resolve who is accountable, agentic marketing initiatives risk stalling in the gap between teams that each assume someone else owns the outcome.

Seventy-six percent of leaders say their governance model is ready for supervised AI decisions, and 86% rate their data infrastructure as ready. But those same leaders name data governance readiness and data quality/hygiene as their second and third biggest obstacles to agentic marketing progress. The gap between self-assessed readiness and production reality is the most telling tension in the data.

According to the report, 82% of respondents expect AI agents to handle at least a third of routine marketing decisions within two years; 46% expect a majority of those decisions to be handled by AI agents. Yet the overwhelming driver of investment is competitive anxiety rather than operational readiness: 69% of respondents say concern about falling behind peers outweighs every other risk, including security and data privacy.

Read the report.

https://www.securitymagazine.com/articles/102429-ai-agents-expected-to-handle-a-third-of-marketing-decisions-within-2-years




Denise Platon — Women in Security 2026

Security professionals face constantly evolving threats and challenges – security is never static which is something that Denise Platon personally embodies.

“Security can never be approached as a static discipline,” she says. “It’s just constantly evolving.”

Growing up in the Washington DC metro area, Platon was influenced by national affairs leading to her studying global affairs and intelligence analysis at George Mason University. There she continued developing strong interest in international relations and national security.

After graduation Platon began her career as a contractor with the U.S. State Department’s Bureau of Consular Affairs. From there she transitioned into Diplomatic Security — working with the Office of the Technology Officer, then the Office of Personnel Security and Suitability.

“I was really drawn to the mission of Diplomatic Security… seeing the direct real-world impact of that work made it feel really purposeful,” Platon says.

In 2019, Platon made a deliberate career change from Diplomatic Security to Nestlé — where she’s been ever since where she currently serves as Corporate Security Manager. She joined Nestlé as one of the first people to rebuild the U.S. market security program from scratch after an office relocation

“I took that leap of faith, but that also involves taking risks… I believe I have a growth mindset,” she says.

In her role, Platon oversees physical security operations across U.S. manufacturing, corporate, and distribution center sites. Her responsibilities span access control, incident trend analysis, threat intelligence monitoring, and travel security. She also works closely with site-level personnel and follows a key philosophy that threat intelligence must be actionable.

“I have all of this information, but it has to be actionable,” she says. “I have to work very closely with our site security champions — they’re our local boots on the ground.”

Growing in Security

Working in both the public and private sector, Platon has had a front row seat to some of the differences in security leadership. These experiences have shaped her personal leadership style and ensuring buy in from all stakeholders.

“In the government, it’s very authoritative — this is a law, this is what has to be done. In the private sector, it’s the complete opposite. Security has to be relationship-driven, where security is a partner,” she says. “Building trust through transparency and being responsive — that has really helped with improving collaboration between us and stakeholders.”

Platon highlights how being a mother of two has shaped her empathy-first leadership approach and has influenced how she thinks about risk and people.

“Being a mom has really reinforced the importance of leading with empathy, having patience, and learning how to prioritize,” she says. “It made me very thoughtful about how stress and uncertainty affect people at a human level, not just an operational one.”

“In the government, it’s very authoritative — this is a law, this is what has to be done. In the private sector, it’s the complete opposite. Security has to be relationship-driven, where security is a partner.”

Paying it Forward

Platon says mentorship is an important aspect of growing a security career and has been an active participant in an annual Women in Security mentorship program through OSAC where she offers advice, support and encouragement however she can.

“In security, mentorship is really important because much of the work depends on experience and trusted networks, not just formal training,” she says. “Building relationships early will accelerate learning far more than formal training alone.”

For those looking to break into the security field, Platon emphasizes the importance of curiosity, continuous learning and a willingness to take risks.

“My biggest advice to those getting into the field is to stay curious,” she says. “Security is a really broad field… being a generalist supersedes specialization. “Ongoing learning is essential to staying really effective in this field.”

https://www.securitymagazine.com/articles/102427-denise-platon-women-in-security-2026




ROI della sicurezza: come costruire il business case della cybersecurity

Il ROI della sicurezza è la domanda più scomoda che un responsabile della cybersecurity si sente rivolgere, di solito da chi tiene i cordoni della borsa: quanto rende, esattamente, ciò che spendiamo per proteggerci? È una domanda legittima e insieme insidiosa, perché la sicurezza non genera ricavi, evita perdite, e il suo rendimento prende la forma di qualcosa che non accade. Un attacco sventato non compare in nessun bilancio, e dimostrare il valore di un disastro mancato è il problema di fondo con cui ogni CISO deve fare i conti quando si presenta davanti alla direzione finanziaria o al consiglio.

Eppure rispondere a quella domanda non è impossibile, ed è anzi sempre più necessario. Tra obblighi normativi che spostano la responsabilità sui vertici e budget contesi con ogni altra funzione aziendale, la sicurezza deve sapersi giustificare nel linguaggio che il vertice comprende, quello dell’investimento e del rendimento. Costruire un business case della cybersecurity significa proprio questo: trasformare la protezione da costo opaco a decisione economica argomentata.

Perché il ROI della sicurezza è diverso dagli altri

La prima cosa da capire è perché il ROI della sicurezza non si comporta come quello di un investimento ordinario. Un nuovo impianto produttivo genera un ritorno misurabile in pezzi venduti; un controllo di sicurezza, invece, produce un ritorno che è una perdita evitata, una grandezza per definizione ipotetica. Non si può osservare direttamente quanti incidenti non sono accaduti grazie a una certa spesa, e questo espone a due errori opposti: investire troppo poco, lasciando scoperti rischi rilevanti, oppure investire troppo, accumulando controlli il cui costo supera il danno che prevengono.

Il compito di un buon ragionamento sul ROI è quindi tenersi lontano da entrambi gli estremi, riconoscendo che esiste un livello di spesa oltre il quale ogni euro aggiuntivo rende sempre meno. La sicurezza totale non esiste, e anche se esistesse costerebbe più di ciò che protegge. La domanda giusta non è “come elimino il rischio”, ma “quanto conviene spendere per ridurlo”.

Il modello di Gordon-Loeb: quanto conviene spendere

A questa domanda ha dato una risposta rigorosa il modello di Gordon-Loeb, formulato nel 2002 da due economisti della sicurezza dell’Università del Maryland e diventato uno dei riferimenti teorici della disciplina. Il modello analizza il livello ottimale di investimento per proteggere un dato insieme di informazioni e arriva a una conclusione tanto netta quanto controintuitiva: in generale non conviene spendere in sicurezza più del 37 per cento della perdita attesa da una violazione.

Quel 37 per cento, che matematicamente corrisponde a 1 diviso il numero di Eulero, è un tetto e non un obiettivo, e nasce dal principio dei rendimenti decrescenti: superata una certa soglia, aumentare la spesa protegge sempre meno in proporzione. Il modello suggerisce anche una conseguenza pratica spesso trascurata, ovvero che non sempre conviene concentrare le risorse sulle informazioni più vulnerabili in assoluto, ma piuttosto là dove l’investimento è più produttivo, cioè dove riduce il rischio nel modo più efficiente. È un quadro teorico, non una formula di bilancio da applicare alla lettera, ma offre alla discussione una bussola che mancava.

ROSI: mettere numeri sulla decisione

Se Gordon-Loeb dà la cornice concettuale, per arrivare a un numero utilizzabile il riferimento più diffuso è il Return on Security Investment, il ROSI, di cui anche l’ENISA ha proposto una formulazione. L’idea è adattare alla sicurezza il classico calcolo del rendimento, mettendo a confronto il costo di una contromisura con la perdita che essa consente di evitare.

Il punto di partenza è l’Annual Loss Expectancy, la perdita annua attesa, che si ottiene moltiplicando il costo di un singolo incidente per la frequenza con cui ci si aspetta che accada in un anno. Una contromisura non azzera quella perdita, ma la riduce di una certa quota, il tasso di mitigazione. Il ROSI confronta allora il valore della perdita evitata con il costo della soluzione: se la perdita risparmiata supera la spesa, l’investimento ha senso; in caso contrario, no.

Un esempio con numeri puramente illustrativi rende l’idea. Supponiamo che un certo incidente costi in media duecentomila euro e che ci si attenda accada una volta ogni due anni: la perdita annua attesa è di centomila euro. Una contromisura che costa trentamila euro l’anno e neutralizza l’ottanta per cento di quel rischio evita ottantamila euro di perdita attesa; il rendimento si ottiene sottraendo il costo dalla perdita evitata e dividendo per il costo, e in questo caso è ampiamente positivo. Cambiando le ipotesi, però, il risultato si ribalta: se la stessa contromisura costasse novantamila euro, o se mitigasse solo il venti per cento del rischio, l’investimento smetterebbe di giustificarsi. È la dimostrazione di quanto il verdetto dipenda dai numeri di partenza.

La formula, in altre parole, è semplice, ma il suo valore dipende interamente dalla qualità delle stime che vi si immettono, e quelle stime poggiano a loro volta sulla capacità di misurare il rischio, cioè sulla quantificazione del rischio. Numeri inventati producono un ROSI inventato.

Dal numero alla decisione: parlare al vertice

Proprio perché i numeri sono stime, il loro scopo non è simulare una precisione che non hanno, ma strutturare un ragionamento e renderlo discutibile. Il vero destinatario di un calcolo sul ROI non è l’analista, ma il vertice aziendale, ed è lì che il business case si gioca davvero. Presentare al consiglio di amministrazione una cifra unica e perentoria è quasi sempre un errore: meglio mostrare scenari, intervalli e ipotesi esplicite, collegando la spesa proposta al rischio che riduce e alla propensione al rischio che l’organizzazione ha dichiarato.

Questa esigenza è diventata più stringente da quando le normative recenti hanno spostato sui vertici la responsabilità delle scelte di sicurezza. Un consiglio che risponde in prima persona del rischio cyber non può accontentarsi di un atto di fede verso il reparto tecnico: ha bisogno di capire perché una certa spesa è proporzionata e quali rischi residui resterebbero comunque sul tavolo. Il ragionamento sul ROI, con tutti i suoi limiti, è lo strumento che rende quella conversazione possibile, perché traduce scelte tecniche in termini di valore e di rischio che chi governa l’impresa è abituato a maneggiare.

In questo senso il ROI della sicurezza non è un numero da esibire, ma un linguaggio per decidere insieme. Un buon business case non promette un rendimento certo, perché sarebbe disonesto, ma mostra in modo trasparente perché una certa spesa è ragionevole, dove i rendimenti cominciano a calare e quali rischi si è scelto consapevolmente di accettare. È così che la cybersecurity smette di essere percepita come un costo da contenere e viene riconosciuta per ciò che è: una decisione di gestione del rischio come tutte le altre, da prendere con gli stessi strumenti con cui si valutano gli altri investimenti dell’impresa.

Fonti

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/cyber-security/roi-della-sicurezza-business-case/




ISAC (Information Sharing and Analysis Center): la condivisione delle minacce organizzata per settore

Gli ISAC sono le organizzazioni che rendono ordinaria, e non occasionale, la condivisione delle informazioni sulle minacce tra aziende dello stesso settore. Un Information Sharing and Analysis Center è un punto di raccolta fidato in cui banche, ospedali, operatori energetici o di trasporto mettono in comune ciò che osservano, lo fanno analizzare e ricevono in cambio un quadro che nessuno di loro, da solo, riuscirebbe a costruire. Rispondono a un problema strutturale della sicurezza informatica: nessuna organizzazione vede l’intero panorama delle minacce, ma chi appartiene allo stesso settore tende ad affrontare gli stessi avversari, e un attacco subito da uno è quasi sempre un avvertimento per tutti gli altri.

L’idea non è recente. Gli ISAC nascono negli Stati Uniti con una direttiva presidenziale del 1998, la PDD-63, che invitò ciascun settore di infrastruttura critica a dotarsi di un’organizzazione dedicata allo scambio di informazioni su minacce e vulnerabilità, in una logica di collaborazione tra pubblico e privato. La stessa direttiva ne immaginava il funzionamento sul modello dei Centers for Disease Control, i centri statunitensi per il controllo delle malattie: come per un’epidemia, riconoscere presto un focolaio e diffondere l’allerta è ciò che limita il contagio. I primi ISAC presero forma già nel 1999, a partire dal settore finanziario, e oggi negli Stati Uniti si coordinano tra loro attraverso il National Council of ISACs, che mantiene una visione d’insieme tra i diversi comparti.

Che cosa fa un ISAC

Il compito di un ISAC si riassume in tre verbi: raccogliere, analizzare, distribuire. Raccoglie dai propri membri segnalazioni su incidenti, indicatori di compromissione e tecniche d’attacco osservate; le analizza e le arricchisce di contesto, separando il rumore dai segnali rilevanti; e restituisce ai membri intelligence utilizzabile, spesso accompagnata da indicazioni pratiche di mitigazione. Non è un fornitore commerciale che vende un prodotto, ma una struttura senza scopo di lucro alimentata dai suoi stessi aderenti: il suo valore dipende da quanto i membri vi immettono.

Un esempio rende concreto il meccanismo. Una banca aderente individua una nuova campagna di phishing che imita il proprio portale e ne ricava gli indirizzi e i domini coinvolti. Invece di tenere l’informazione per sé, la trasmette all’ISAC del settore finanziario, che la verifica, la mette in relazione con segnalazioni simili arrivate da altri membri e la ridistribuisce all’intera comunità. Nel giro di poche ore, decine di altre banche possono bloccare quei domini prima ancora di essere colpite. La stessa minaccia, vista una volta sola, diventa una difesa per molti, ed è esattamente questo moltiplicatore a giustificare l’esistenza di un ISAC.

Per far circolare quelle informazioni, un ISAC si appoggia agli stessi standard che governano la condivisione tecnica. Le asserzioni viaggiano in formati strutturati e leggibili dalle macchine, e ogni informazione porta con sé un’etichetta di riservatezza che ne stabilisce il raggio di diffusione, secondo convenzioni come il Traffic Light Protocol. È questa infrastruttura comune a permettere che ciò che un membro condivide arrivi agli altri in forma immediatamente azionabile, senza rinegoziare ogni volta le regole.

Perché il settore è la giusta unità di condivisione

La scelta del settore come perimetro non è casuale. Le organizzazioni che operano nello stesso comparto condividono tecnologie simili, gli stessi obblighi normativi e, soprattutto, gli stessi avversari: i gruppi che colpiscono le banche studiano le banche, quelli che prendono di mira la sanità conoscono i sistemi sanitari. In questo contesto, una minaccia rilevata da un’organizzazione è informazione preziosa per tutte le altre, perché con ogni probabilità saranno le prossime sulla lista. Il settore diventa così il cerchio di fiducia naturale, abbastanza ristretto perché ci si possa fidare, abbastanza ampio perché la condivisione produca un vantaggio reale.

Non sorprende che il terreno d’origine degli ISAC siano le infrastrutture critiche: energia, finanza, trasporti, sanità, comunicazioni. Sono i settori in cui un attacco non danneggia soltanto un’azienda, ma può avere conseguenze sull’intera collettività, e in cui quindi la cooperazione tra concorrenti, su questo specifico fronte, smette di essere un paradosso e diventa una necessità.

Gli ISAC in Europa

Anche l’Europa ha adottato il modello, con un percorso più recente ma in rapida crescita. L’ENISA, l’agenzia dell’Unione per la cybersicurezza, sostiene la nascita e il funzionamento degli ISAC settoriali, ne studia i modelli di cooperazione e ne favorisce il coordinamento attraverso una piattaforma comune e incontri periodici tra i centri dei diversi Paesi. Esistono ormai ISAC europei dedicati a comparti come l’energia e la finanza, e la spinta normativa verso lo scambio di informazioni, rafforzata dalla direttiva NIS2, ne sta accelerando la diffusione. La NIS2 incoraggia esplicitamente i soggetti che rientrano nel suo perimetro a scambiarsi informazioni su minacce, vulnerabilità e incidenti, e gli ISAC offrono la cornice organizzata entro cui quello scambio può avvenire in modo continuativo e fidato, anziché episodico.

In questo quadro, gli ISAC si inseriscono nella più ampia costruzione di una resilienza cibernetica europea fondata sulla cooperazione: la convinzione che, di fronte ad avversari che agiscono su scala continentale, la difesa non possa restare confinata dentro i confini di una singola organizzazione o di un singolo Stato. La condivisione settoriale è uno dei modi concreti in cui questa convinzione prende forma operativa.

Il vero ostacolo non è tecnico, è la fiducia

Accanto agli ISAC, negli Stati Uniti è nato il concetto più ampio di Information Sharing and Analysis Organization, le ISAO, pensato per consentire la condivisione anche a gruppi non legati a un singolo settore, con una struttura più flessibile. Ma, al di là delle forme organizzative, la sfida di fondo resta sempre la stessa, e non è di natura tecnologica. Gli standard per scambiare informazioni esistono e funzionano; ciò che è difficile è convincere le organizzazioni a condividere i propri incidenti.

Ammettere di essere stati colpiti, anche solo all’interno di un cerchio ristretto di pari, richiede la certezza che quell’informazione non venga usata contro chi la fornisce, né a fini concorrenziali né reputazionali. È per questo che gli ISAC investono tanto nella fiducia quanto nella tecnologia: regole chiare di riservatezza, possibilità di condividere in forma anonima, una cultura in cui contribuire è la norma e non l’eccezione. È un equilibrio fragile, perché basta qualche membro che riceve senza mai dare per erodere la reciprocità su cui tutto si regge. Un ISAC, in fondo, vale esattamente quanto la disponibilità dei suoi membri a parlare di ciò che preferirebbero tacere.

Gli ISAC non eliminano le minacce, ma cambiano i termini con cui un intero settore le affronta, trasformando l’esperienza isolata di ciascuno in un patrimonio comune. In un panorama in cui gli attaccanti collaborano e si scambiano strumenti con disinvoltura, la capacità dei difensori di fare altrettanto, in modo strutturato e fidato, non è un lusso ma una condizione di sopravvivenza. È questa la promessa degli ISAC: che nessuna organizzazione debba affrontare da sola una minaccia che qualcun altro, nello stesso settore, ha già visto.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/cyber-security/isac-information-sharing-analysis-center/