La vera cybersecurity non si compra, si organizza. È fatta di ruoli, responsabilità, processi documentati e capacità di risposta concreta agli incidenti.

FINALMENTE INIZIAMO A FARE SUL SERIO: IL GARANTE ENTRA NEL MERITO
Vediamo insieme la sanzione che il Garante ha elevato all'ente reo di aver ignorato le basiche regole della sicurezza informatica. 

Il "tentativo di difesa legale", poi, fa quasi più danni degli hacker. A nulla sono valse le difese che richiamano le misure minime dell'AGID (vecchie di 7 anni) e i riferimenti ai budget limitati.

Misure adeguate (e non minime) la cui definizione deve riferimento a oggettive analisi del rischio e non a (fantasiose) valutazioni soggettive.

Bastava poco per poter limitare i danni (alcune attività erano a costo zero). Con l'innalzamento della complessità, la competenza diventa sempre più centrale.

In questo podcast entriamo nel merito (insieme al garante) degli errori fatti, spiegando anche quanto sarebbe stato facile evitare il coinvolgimento di tutta la rete (compreso la compromissione dei backup).

La vera cybersecurity non si compra, si organizza.
È fatta di ruoli, responsabilità, processi documentati e capacità di risposta concreta agli incidenti.

Fare le cose, costa poco.
Saper quale cosa fare, vale molto. 

Oggi la cybersecurity è una questione di governance, non (solo) di tecnologia. Serve un modello operativo chiaro, ruoli definiti, processi formali, e una cultura aziendale consapevole.

Nel podcast affrontiamo il concetto chiave secondo cui la cybersecurity non può essere relegata esclusivamente all’ambito tecnico o IT.

Si tratta piuttosto di una responsabilità dirigenziale e organizzativa, essenziale per la resilienza aziendale e la tutela della reputazione. Il messaggio centrale è che la sicurezza digitale richiede strategie, governance e processi formalizzati, non solo strumenti tecnologici.

💣 PROBLEMA + RISCHIO REALE “La cybersecurity… è roba da informatici.” “Uso l’antivirus, quindi va tutto bene.”
Eppure quando arriva l’incidente: blocco totale, servizi bloccati, clienti in allarme, dati criptati, caos decisionale.
Ciò che emerge è una fragilità organizzativa profonda: mancanza di ruoli, processi e responsabilità.

🔁 La cybersecurity va affrontata come una strategia di governance, non solo come tecnologia da installare.
 Serve un modello operativo chiaro, con ruoli definiti, processi di resilienza, e una cultura aziendale consapevole.


✔️ CHECKLIST – 5 errori da evitare subito
▪ Considerare la cybersecurity esclusivamente un problema tecnico
▪ Affidarsi all’IT esterno senza definire ruoli interni
▪ Ignorare la nomina di responsabili per la sicurezza
▪ Non avere un piano incidenti documentato
▪ Attendere richieste da autorità o auditor per agire

✅ BENEFICI DI UN APPROCCIO PROATTIVO
▪ Controllo operativo più solido
▪ Reputazione aziendale protetta
▪ Vantaggio competitivo in gare e certificazioni

❓ DOMANDA APERTA AL TUO PUBBLICO Puoi rispondere a queste 3 domande in azienda? ▪ In caso di incidente, chi fa cosa?
▪ In quanto tempo?
▪ Con quali istruzioni?

Cybersecurity & Compliance
🎙️ 𝗨𝗻𝗮 𝗻𝘂𝗼𝘃𝗮 𝗽𝘂𝗻𝘁𝗮𝘁𝗮 𝗱𝗲𝗹 𝗺𝗶𝗼 𝗽𝗼𝗱𝗰𝗮𝘀𝘁 (AI Based) 𝗲̀' 𝗼𝗻𝗹𝗶𝗻𝗲!!  
⏰ SANZIONE DA 30.000€: il SERVER ESPOSTO NON AGGIORNATO...e tanto altro.

🔒 Attacco brute force su server con sistema obsoleto e RDP esposto, assenza di MFA,  segmentazione di rete e policy troppo leggere.

💥 Risultato: esfiltrazione di dati identitari e giudiziari di 3.000 persone, inclusi 160 procedimenti disciplinari.

📄 Giustificazione? “Risorse limitate” e misure minime AGID.
⚖️ Il Garante è stato chiaro:
❌ non bastano le misure minime,
✅ servono misure adeguate al rischio, come impone il GDPR.


🚨 IL COMPITINO NON BASTA PIÙ ❗ ❗  
Molte PA e aziende pensano che basti una checklist standard.
Ma un server vecchio, senza MFA e senza monitoraggio, non può essere compliance.


🔄 E' NECESSARIO UN CAMBIO DI PARADIGMA
Non è più tempo di giustificarsi con “non abbiamo budget”.
La sicurezza informatica è un dovere, non un’opzione, soprattutto se si gestiscono dati sensibili o giudiziari.
 
➡️ L’analisi del rischio non è burocrazia: è il solo modo per capire:   →  cosa fare,   → quanto costa e come proteggersi davvero.

📌 CHECKLIST: 5 ERRORI CHE NON PUOI PIÛ PERMETTERTI
  → Server accessibili da remoto senza protezione.
  → Nessun sistema automatico di rilevamento.
  → MFA assente.
  → Nessuna segmentazione interna della rete.
  → Politiche e documentazione solo “di facciata”.



.

Cybersecurity & Compliance 
🎙️ 𝗨𝗻𝗮 𝗻𝘂𝗼𝘃𝗮 𝗽𝘂𝗻𝘁𝗮𝘁𝗮 𝗱𝗲𝗹 𝗺𝗶𝗼 𝗽𝗼𝗱𝗰𝗮𝘀𝘁 (AI Based) 𝗲̀' 𝗼𝗻𝗹𝗶𝗻𝗲!!   

Questa puntata nasce da un'esigenza concreta che sto affrontando proprio in questi giorni:
supportare enti pubblici e realtà ibride nel comprendere e applicare in modo efficace le nuove indicazioni del Piano Triennale per l’Informatica nella PA 2024–2026.

🔐 Cybersecurity e Pubblica Amministrazione: cosa cambia con il Piano Triennale 2024–2026? In questa puntata analizziamo le nuove linee guida strategiche dell’Agenzia per l’Italia Digitale:
📌 centralità della cyber resilience
📌 spinta verso soluzioni AI-based
📌 focus su compliance, infrastrutture digitali e interoperabilità

👉 Un approfondimento concreto per capire come le PA dovranno organizzarsi (e cosa anche le aziende possono imparare) per essere pronte alle sfide normative e tecnologiche dei prossimi anni. 

Nel mio lavoro quotidiano, tra cybersecurity, compliance e trasformazione digitale, mi trovo spesso a decodificare documenti strategici complessi e a trasformarli in percorsi operativi.

È proprio da questo lavoro sul campo che ho sentito l’urgenza di condividere una riflessione strutturata su:
🔹 L’impatto delle nuove linee guida AgID
🔹 L’evoluzione dei concetti di cybersecurity e resilienza nella PA
🔹 Il ruolo crescente delle soluzioni AI-based
🔹 Le implicazioni per chi lavora in o con la pubblica amministrazione, in ottica NIS2 e digital compliance

🎧 L’obiettivo? Offrire una bussola utile a professionisti, manager pubblici e consulenti per orientarsi in questo nuovo ciclo strategico, evitando approcci formali e sterili e puntando invece su concretezza, visione e responsabilità operativa.

🎙️ Nuova puntata del podcast online!

Compliance, cybersecurity e nuovi obblighi normativi: cosa sta cambiando (davvero) per le imprese?

👉 In questo episodio affrontiamo in modo diretto e pratico il tema della conformità normativa in ambito cybersecurity, con uno sguardo concreto a:

• cosa sta succedendo con le nuove direttive NIS2, DORA, Cyber Resilience Act;
• perché le imprese del credito e recupero crediti sono oggi tra le più esposte ai nuovi obblighi;
• quali azioni immediate conviene mettere in campo per evitare sanzioni e blocchi operativi;
• il valore di un approccio scalabile e sostenibile alla compliance, per non bloccare il business.

🎯 Una puntata pensata per imprenditori, IT manager e responsabili compliance che vogliono capire come difendersi con metodo e trasformare un obbligo in un vantaggio competitivo. 

L’accordo normativo sottoscritto nel Gennaio 2023 per l’aggiornamento della precedente direttiva europea sul trattamento sicuro dei dati (NIS2) che entrerà in vigore nel prossimo 17/10/2024, oltre ad ampliare la platea delle strutture interessate, allarga alle aziende fornitrici (chiamate a rispondere in solido in caso di eventuali danni) il problema della valutazione del rischio informatico.  

In quest’ottica s’inserisce il processo di controllo della struttura (CyberCheck) attraverso l’acquisizione dati e la successiva valutazione del rischio informatico che, tenendo conto delle normative vigente, analizza la rete informatica, fornendo indicazioni oggettive sul rischio rilevato per poi identificare i necessari interventi di mitigazione e la successiva pianificazione.

Oggi afforntiamo le diverse normative che si ocupano di cybersecurity e cosa comporta il mancato adeguatamento per le aziende.