Scarica l'app ufficiale di Meridianoitalia.tv per accedere a notizie e analisi direttamente sul tuo smartphone.
Scarica su App Store

La sicurezza estesa

I tuoi dati sono sottoposti a minacce mai viste prima: dalla Sicurezza Estesa alla Sicurezza Cognitiva
di Gianni Gigli

Nel sesto secolo a.C., Sun Tzu scriveva ne L'Arte della Guerra che "l'invincibilità risiede nella difesa". Per millenni, il concetto di sicurezza è rimasto ancorato a questa visione: mura ciclopiche, fossati profondi, catene alle porte delle città. La sicurezza era un perimetro fisico, un confine netto tra un "dentro" protetto e un "fuori" ostile. Oggi, quel perimetro non è solo crollato; è evaporato in una nuvola di dati, frequenze e vulnerabilità umane.

Siamo entrati in un'era in cui le minacce hanno assunto una natura fluida, ibrida e, soprattutto, invisibile. I nostri dati — il petrolio del ventunesimo secolo — non sono più custoditi in una cassaforte, ma fluiscono attraverso spazi e mezzi diversi e spesso connessi come archivi, server, dispositivi mobili e menti umane. Per rispondere a questa sfida, il paradigma della protezione deve evolvere radicalmente, passando dalla semplice difesa dei confini e delle infrastrutture fisiche e logiche alla Sicurezza Estesa e, infine, alla Sicurezza Cognitiva.

la dissoluzione del confine

L'Evoluzione del Perimetro: Oltre i Silos Settoriali

Nella storia recente, la sicurezza aziendale è stata gestita per compartimenti stagni: da una parte la sicurezza fisica (guardie, telecamere, allarmi), dall'altra la sicurezza informatica (firewall, antivirus). Questa frammentazione è oggi il tallone d'Achille di molte organizzazioni. L’esperienza evidenzia come il valore dell'integrazione, incarnato dall'approccio “Extended Security”, sia la chiave per una "resilienza totale" di tutti gli asset che costituiscono il valore delle organizzazioni aziendali e, in primis, delle informazioni.

La Sicurezza Estesa (Extended Security) non è solo un termine di marketing, ma una filosofia operativa che mira a superare le logiche settoriali. Si tratta di una valutazione trasversale delle minacce che possono compromettere gli asset aziendali, integrando competenze di sicurezza tradizionale con quelle cyber, innanzitutto, e poi le altre competenza sinora non contemplate nella sicurezza delle informazioni per offrire risposte coordinate. In un mondo dove un attacco informatico può aprire una porta fisica o dove un'intrusione negli uffici può portare al furto di dati sensibili (ad esempio tramite una chiavetta USB), l'interconnessione tra i domini è vitale.

Il Dominio Fisico: La Nuova Analisi del Rischio

Nonostante l'enfasi sul digitale, il Physical Domain rimane il primo fronte per tutelare il valore aziendale e le informazioni in primo luogo. Tuttavia anche questo fronte più tradizionale può, oggi, essere dotato di nuove capacità operative che ne esaltino la resilienza:  avete già sentito parlare di CPTED (Crime Prevention Through Environmental Design)?

L’organizzazione degli spazi, frutto di una sapiente progettazione che tenga in conto antichi / nuovi paradigmi di protezione non serve più solo a sbarrare la strada, ma a ridurre, attraverso il design, che eventi di interferenza illecita si verifichino, dando corpo alle minacce che attentano all’integrità, alla riservatezza ed alla disponibilità delle informazioni aziendali. 

L’acronimo CPTED fu coniato ed utilizzato per la prima volta da C. Ray Jeffery, criminologo della Florida State University, nel suo libro “Crime Prevention Through Environmental Design” (1971) come approccio multi-disciplinare al problema della criminalità nelle città americane degli anni ’60 e ‘70. Negli stessi anni l’Architetto Oscar Newman lavorava ad un approccio metodologico simile, seppur più disciplinarmente limitato che chiamò “Lo Spazio Difendibile” e che pubblicò, nel 1972 come “Defensible Space: Crime Prevention Through Urban Design”.

la convergenza olistica

Le strategie di CPTED basano le proprie potenzialità sulla possibilità di influenzare i sentimenti offensivi e le conseguenti decisioni che precedono i comportamenti criminali e antisociali. 

Le ricerche sociologiche dimostrano che la decisione di commettere un reato o mettere in atto un comportamento antisociale è molto più influenzato dal rischio di essere visto e/o catturato, che non dalla prospettiva di guadagno o dalla facilità con cui si potrebbe portare a compimento il fatto. Basandosi su tali assunti, le strategie di prevenzione basate sul CPTED enfatizzano la percezione dei rischi di essere visti o catturati da parte di eventuali malintenzionati.  

Ovviamente l’analisi e le contromisure scaturenti dal CPTED completeranno e complementeranno le analoghe analisi e contromisure scaturenti dalla più classica analisi del rischio come funzione della probabilità di accadimento delle minacce e dei prevedibili impatti.

Dalla Sicurezza Cyber alla Sicurezza Cognitiva: Il Fattore Umano

Mentre il Cyber Domain si difende con SOC (Security Operations Center) attivi H24, sistemi EDR/XDR per bloccare le minacce in tempo reale e analisi forensi post-incidente, la vera battaglia si combatte nella mente umana. L’esperienza ci induce a constatare l'importanza cruciale del Fattore Umano attraverso l'InfoSec Awareness Training e i Phishing Assessment.

La minaccia più insidiosa, infatti, non è un malware o un agente segreto o, ancora, il clic di un dipendente distratto. La minaccia più nuova ed insidiosa è la manipolazione psicologica di un hacker esperto in ingegneria sociale. Qui entriamo nel campo della Sicurezza Cognitiva.

Non dobbiamo sottovalutare la potenzialità di quest’ultimo tipo di minaccia in un dominio che siamo portati a pensare “lontano da noi”. Fattori di condizionamento tesi ad indurre comportamentyi inappropriati nel passato sono sempre stati presenti; solo che si presentavano sotto forme “analogiche” di ingegneria sociale che sfruttava le debolezze del target quali, ad esempio, soldi facili, promesse sessuali, ecc.

Oggi questa minaccia può manifestarsi come un Chatbot social che, come già accaduto, finge caratteristiche emotive evolute ed ha creato nelle persone target dipendenza emozionale che può creare importanti vulnerabilità nella protezione dei dati sensibili della persona target (rivelazione di informazioni sensibili, password, codici, ecc,).

Conclusione: Proteggere il Futuro, Oggi

Da tutto quanto detto, discende chiaramente che l'uomo è l'ultimo baluardo della difesa. Formare il personale sui comportamenti sicuri non è più un optional, ma una componente strategica della governance. Non si tratta solo di sapere "quale password usare", ma di sviluppare un'immunità psicologica contro le tecniche di manipolazione digitale che sfruttano le nostre emozioni per estorcere dati o accessi.

Come si affronta, dunque, questa complessità? La storia della sicurezza ci insegna che chi si arrocca dietro un unico muro è destinato a cadere. Le minacce odierne sono polimorfiche: colpiscono il server, la porta d'ingresso e la psiche del dipendente. I nostri dati sono sotto assedio, ma la soluzione esiste ed è fatta di tecnologia avanzata, processi, integrazione e consapevolezza umana.

Passare dalla sicurezza settoriale alla Sicurezza Estesa significa smettere di guardare ai problemi come silos isolati. Abbracciare la Sicurezza Cognitiva significa rimettere l'uomo al centro della strategia di difesa. In un'epoca di incertezza globale, la resilienza totale non è più un lusso, ma il requisito fondamentale per continuare a esistere.

10-02-2026
Autore: Gianni Gigli
Esperto di Security
share with Whatsapp
powered by social2s
meridianoitalia.tv

Questo sito utilizza cookie tecnici, google analytics e di terze parti. Proseguendo nella navigazione accetti l’utilizzo dei cookie. Se rifiuterai, nel tuo pieno diritto secondo la norma GDRP, la tua navigazione continuerà all'esterno del sito, Buon Navigazione Meridianoitalia.tv

Ok Rifiuta