Integrated Risk Management, a che punto siamo

Integrated Risk Management, a che punto siamo

Integrated Risk Management, a che punto siamo

Come approcciare in modo integrato la gestione del rischio compreso quello di cybersecurity? Il tema, oggi assolutamente critico, è stato trattato nel corso della Roundtable “Integrated Risk Management: Progettare la sicurezza del domani” del Cybersecurity Summit 2025 a Milano, lo scorso 20 marzo, con la partecipazione di Luca Moroni, Co-Fondatore, CSA – Cyber Security Angels; Matteo Corsi, Group Security Governance & Compliance Director, Retelit; Giulio Perin, Group Cyber Security Manager, De Nora; Simone Rizzo, CISO, Carrier Commercial Refrigeration; Renato Bloise, COO,  Cybersel e Marco Rottigni, Technical Director, SentinelOne.
Questo il video completo della Roundtable:

Cosa è emerso dalla discussione? In sostanza un approccio integrato alla gestione del rischio è una leva strategica per portare la cybersecurity al centro delle decisioni aziendali. Non si tratta solo di adottare nuove tecnologie, ma di avviare un cambiamento culturale che coinvolga tutta l’organizzazione, a partire dal board. Secondo Luca Moroni (CSA – Cyber Security Angels), il valore della condivisione tra pari è fondamentale: solo attraverso il networking è possibile scambiare esperienze, strumenti e lezioni apprese da incidenti reali. La security-by-sharing è oggi una risposta concreta a un contesto sempre più interconnesso e complesso. Matteo Corsi (Retelit) ha sottolineato l’importanza della gestione del rischio come strumento per rendere la sicurezza visibile, misurabile e sostenibile. Serve associare il rischio a un valore economico e coinvolgere attivamente i responsabili aziendali, partendo magari da piccoli progetti pilota.

Giulio Perin (De Nora) ha portato la prospettiva OT, ricordando che in ambito industriale la sicurezza deve adattarsi alle specificità degli impianti: l’obsolescenza non è un difetto, ma una caratteristica da gestire con pragmatismo, puntando su segregazione di rete, controllo degli accessi e sinergia tra IT e produzione. Simone Rizzo (Carrier) ha posto l’attenzione sulla sicurezza dei prodotti connessi e sull’intera supply chain, ricordando l’impatto delle nuove normative (come la RED Directive). Ha ribadito il ruolo centrale del CISO nel garantire continuità operativa, anche attraverso una stretta collaborazione con tutti i dipartimenti aziendali. Renato Bloise (Cybersel) ha evidenziato il ruolo delle piattaforme collaborative nella governance del rischio, sottolineando come le normative stiano accelerando la convergenza tra sicurezza, compliance e risk management e Marco Rottigni (SentinelOne) ha chiuso con una visione concreta e provocatoria sull’automazione e sull’intelligenza artificiale come strumenti per gestire il rischio in modo tempestivo, integrato e sostenibile.

L’importanza del networking nell’esperienza di CSA – Cyber Security Angels

L’intervento di Luca Moroni, Co-Fondatore, CSA – Cyber Security Angels

Luca Moroni

CSA è una rete nata sette anni fa da un’idea condivisa con il CEO di un’azienda del trevigiano. L’obiettivo era creare qualcosa di diverso: un progetto fondato sulla “security by sharing”, ovvero la condivisione di esperienze e informazioni tra aziende finali. Il network CSA si fonda su cinque pilastri:

  1. Condivisione di informazioni. Utilizzando un canale di comunicazione riservato, se, ad esempio, un fornitore subisce un attacco, attraverso il gruppo si anticipa il problema e si possono prendere misure immediate, come la chiusura di VPN.
  2. Suggerimenti su strumenti di difesa. I membri condividono esperienze dirette su “armi digitali” efficaci. Il confronto tra pari è spesso più utile di qualsiasi brochure.
  3. Racconto di incidenti reali. CSA raccoglie e analizza incidenti concreti – non table-top – da cui ricavare lesson learned. Dopo aver ascoltato oltre 15 casi reali, emergono pattern comuni, utilissimi per migliorare le proprie difese.
  4. Neutralità commerciale. Il network è riservato alle aziende finali. Non si accettano vendor o integratori per mantenere un confronto autentico e disinteressato. Questo garantisce fiducia e sincerità nello scambio.
  5. Valorizzazione dei partner strategici. In un contesto dove tutti sembrano “fare sicurezza”, ma c’è un enorme skill gap, è essenziale distinguere chi è davvero capace da chi no. Si segnalano anche comportamenti non professionali: un fornitore che opera male con un associato può perdere molta credibilità nel network.

Quale approccio metodologico va seguito per un integrated risk management

L’intervento di Matteo Corsi, Group Security Governance & Compliance Director, Retelit

Matteo Corsi

Il tema dell’engagement è oggi fondamentale. La vera sfida è evitare che la cybersecurity resti confinata a un ambito specialistico e tecnico. Deve diventare una responsabilità condivisa, compresa e sostenuta da tutti gli stakeholder aziendali, a partire dal board.

Uno strumento molto efficace in questo senso è la gestione del rischio, intesa in modo metodologico: una metodologia formale che consenta di misurare i fattori di rischio nel tempo, di prioritizzare gli investimenti e, in generale, di sostenere la continuità operativa del business.

Non si tratta solo di implementare una tecnologia: serve cambiare cultura e percezione, e questo richiede competenze che spesso i CISO non hanno per formazione. Oggi un CISO deve saper comunicare, coinvolgere, promuovere… quasi fare lo psicologo. Bisogna coinvolgere fin da subito la comunicazione interna (HR o PR): sono loro a saper veicolare i messaggi in modo efficace.

La gestione integrata del rischio è un’opportunità, ma anche una sfida, perché è pervasiva e complessa da avviare: può restare solo sulla carta. Un approccio efficace è quello del Minimum Working Vehicle: partire con qualcosa di semplice, funzionante, tangibile, per poi perfezionarlo in modo iterativo con il contributo degli stakeholder. Questo permette di generare valore percepito e innescare un circolo virtuoso.

Un punto cruciale è associare il rischio a un valore economico. Solo quando si riesce a quantificare il rischio – e soprattutto i costi per mitigarli – si crea consapevolezza reale. A quel punto il responsabile di funzione deve decidere: accettare il rischio o investire per ridurlo? La responsabilità diventa concreta. Infine, partire sempre con un progetto pilota su un’area specifica. È più semplice ottenere risultati concreti, dimostrare valore e poi scalare.

Rischio integrato nel mondo manifatturiero: quale deve essere l’approccio?

L’intervento di Giulio Perin, Group Cyber Security Manager, De Nora

Giulio Perin

Nel mondo manifatturiero – e più in generale nell’ambito OT – la sfida è doppia. Chi viene dal mondo IT spesso ha la sensazione di fare un tuffo nel passato. Trovare ancora Windows XP in produzione non è raro. Ma è importante non giudicare: un impianto industriale ha come priorità la produzione. L’obsolescenza tecnologica non è un problema, è una caratteristica intrinseca da considerare nella strategia di protezione. Ad esempio, un semplice vulnerability assessment o una scansione antivirus potrebbero bloccare le macchine. L’impatto può essere devastante.

La strategia parte dalla rete industriale: segmentazione, firewall, DMZ, flussi controllati, accessi esterni ben regolamentati. Serve avere una governance completa anche sull’OT, grazie a una forte integrazione con l’ICT.

Nel caso di De Nora tuttavia, trattandosi di un gruppo internazionale, ogni impianto ha un certo grado di autonomia. Serve quindi creare punti di contatto locali per gestire eventi o incidenti in modo efficace. Può esserci grande supporto nella produzione: con un po’ di formazione e soprattutto creando relazioni di fiducia, si può collaborare molto bene.

Il tema dei fornitori è altrettanto complesso. Con i piccoli integratori serve pazienza e affiancamento. Ma anche i grandi vendor a volte mostrano approcci “vecchio stile”. Non basta dire “abbiamo la sicurezza”: serve un approccio security-by-default.

Come coprire end-to-end la security chain del prodotto connesso, dalla fabbrica al consumatore?

L’intervento di Simone Rizzo, CISO, Carrier Commercial Refrigeration

Simone Rizzo

Due concetti chiave, emersi anche prima, sono: rischio e governance. Sono i pilastri per garantire continuità operativa e affrontare la crescente complessità degli ambienti OT e IoT.

Quando si parla di prodotti connessi – che siano lavatrici, frigoriferi o impianti industriali – la catena di sicurezza parte dal singolo componente hardware o firmware, fino all’app che governa tutto. La sicurezza deve essere integrata in ogni punto, anche nei componenti di terze parti.

Un esempio concreto: acquistiamo una scheda di rete da un fornitore, ma il firmware è nostro. Questo ci consente di controllare la sicurezza end-to-end. È un lavoro meticoloso, che richiede integrazione tra engineering, IT, marketing e produzione. Il CISO deve essere presente, visibile, vicino alle persone.

Dobbiamo anche guardare avanti: la RED Directive entrerà pienamente in vigore nell’agosto 2025 e impatterà su tutti i prodotti connessi via wireless. I produttori dovranno garantire compliance di sicurezza by design.

E non dimentichiamoci dell’intelligenza artificiale: è già nei prodotti, nei servizi, nei processi. La governance del rischio deve tenere conto anche delle normative in arrivo come AI Act, Cyber Resilience Act, NIS2

Infine, il monitoring OT richiede una gestione rigorosa: identity, privilegi, logging. E attenzione anche alla sicurezza delle persone, oltre che delle macchine: un attacco ai PLC può danneggiare gli impianti, ma anche mettere a rischio i lavoratori e i consumatori.

Le nuove norme (DORA, NIS2) spingono ad adottare un approccio integrato alla gestione del rischio cyber. Quali sono gli impatti di questa trasformazione? Come sta evolvendo la governance?

L’intervento di Renato Bloise, COO, Cybersel

Renato Bloise

Il tema dell’approccio integrato al rischio è oggi più attuale che mai, anche grazie alle normative come DORA, NIS2 e tutte le nuove regolamentazioni. Queste norme sono un’occasione preziosa per ridefinire ruoli, responsabilità e processi all’interno dell’azienda.

Parliamo spesso di rischio e di governance del rischio. Sono concetti che fanno parte del DNA di un’azienda come Cybersel, per aiutare le organizzazioni a misurare e governare il rischio, anche sulla supply chain, dove spesso si annidano le vulnerabilità più critiche.

Uno dei principali ostacoli? Il fatto che, quando si parla di governo del rischio, gli attori si moltiplicano: non è più solo il CISO a occuparsi della sicurezza, ma tutta l’organizzazione deve contribuire.

Per esempio, nei progetti DORA, la leadership è a volte del risk manager, altre volte del CISO, altre ancora dell’area organizzazione. Questo ci fa capire che oggi non si può lavorare a compartimenti stagni. Le norme impongono un approccio trasversale e impongono accountability reale. Non basta più avere un CISO motivato: tutta l’organizzazione deve essere allineata.

Le normative, in questo senso, hanno dato una spinta enorme all’accelerazione di progetti di governance del rischio. Come Cybersel, la risposta è duplice:

  1. Servizi e Tecnologie all’avanguardia per la misurazione oggettiva del rischio, anche sulla terza parte;
  2. Una piattaforma collaborativa, in grado di gestire il contributo di tutti: procurement, risk manager, compliance, security, IT, ecc.

Serve uno strumento che raccolga dati oggettivi, ma anche valutazioni soggettive distribuite all’interno dell’organizzazione. E tutto questo deve poi confluire in una reportistica efficace, che dimostri la governance reale del rischio e la compliance normativa.

Perché è sempre più importante adottare un approccio integrato alla gestione del rischio? Quanto è importante, in questo scenario, poter mettere a fattore comune security automation, MDR, AI e Threat Intelligence?

L’intervento di Marco Rottigni, Technical Director, SentinelOne

Marco Rottigni

Immaginate una stanza bianca: la stanza della security. Intorno a voi una serie di ventilatori, ciascuno con il nome di una normativa o di un rischio: DORA, NIS2, GDPR, reputazione, cliente, Garante della Privacy. Ora immaginate che, improvvisamente, appaia qualcosa di molto problematico al centro della stanza. Il vostro obiettivo? Fare in modo che non venga risucchiato da nessun ventilatore. Perché, se accade… è il “Boom”, il caos.

Ecco, il nostro ruolo nella cybersecurity è tutto qui:

  • nella fase pre-boom, fare tutto il possibile per prevenire il disastro;
  • nella fase post-boom, contenere i danni.

Partendo da questa metafora, SentinelOne ha costruito la piattaforma Singularity con tre capacità fondamentali:

  1. Raccolta e normalizzazione dei dati: Oggi le aziende hanno 10, 20, anche 30 tecnologie di sicurezza diverse. Tutte producono dati. Ma se questi dati non sono normalizzati, non diventano informazione. E senza informazione, non si può stimare il rischio né supportare decisioni.
  2. Intelligenza artificiale generativa specializzata. Non una ChatGPT generica, ma un motore progettato per raffinare i dati in linguaggio naturale, senza query complicate. Un modo per rendere l’analisi accessibile, rapida e utile.
  3. Automazione dei processi. Non parliamo di semplici script, ma di orchestrazione automatica e intelligente tra tutte le piattaforme. L’ispirazione? Due giochi:
    • Dungeons & Dragons: imprevedibilità e collaborazione tra profili diversi;
    • Lego: ogni tecnologia è un mattoncino, magari da solo piace poco, ma diventa potente se incastrato con gli altri per costruire qualcosa di grande.

Il compito di SentinelOne è costruire un sistema che riesca a intervenire con velocità, su scala, e a tradurre il rischio tecnico in impatti concreti per il business.

You Might Also Like