Vai al contenuto
Inizia
Open search

La soglia di povertà della sicurezza informatica: perché esiste e perché Sophos è qui per eliminarla

“Eliminare” è un termine ambizioso. L’abbiamo scelto perché l’era dell’intelligenza artificiale agentica offre una reale opportunità di cambiare le carte in tavola.

Joe Levy

Scritto da Joe Levy

Shared - Featured Image - CISO Playbook
Products & ServicesCISOAgentic AICybersecurity Poverty Line

Ci sono circa 359 milioni di aziende nel mondo. Meno di 35.000 impiegano un CISO.

Ogni framework, tassonomia di prodotto, report degli analisti, regime di conformità e contenuto di marketing sulla cybersecurity oggi esistente dà per scontato che dall'altra parte ci sia un responsabile senior della sicurezza: qualcuno in grado di valutare gli strumenti, definire la strategia, configurare l'infrastruttura, monitorare l'ambiente e migliorare nel tempo il livello di sicurezza.

In un'organizzazione su 10.000 questa figura esiste. In tutte le altre, questo lavoro non ha un responsabile.

La leadership strategica necessaria per costruire un programma di sicurezza efficace è concentrata in una piccolissima parte del mercato e la maggior parte delle organizzazioni non ha alcuna possibilità di accedervi. Democratizzare questa leadership e questa strategia, affinché una sicurezza efficace non dipenda più da un ruolo che solo pochi possono permettersi di assumere, è uno dei motivi fondamentali dell'esistenza di Sophos.

Definire la soglia di povertà della cybersecurity

Il termine cybersecurity poverty line (soglia di povertà della cybersecurity) non è stato coniato da Sophos. Il merito va a Wendy Nather, che introdusse il concetto nel 2011 e lo rese un riferimento nel corso della presentazione alla RSA Conference del 2013, "Living Below the Security Poverty Line: Coping Mechanisms".

All'epoca era Research Director presso 451 Research e portava con sé l'esperienza maturata come CISO sia nel settore pubblico sia in quello privato, compresa la responsabilità della sicurezza IT per la regione EMEA della divisione di investment banking della Swiss Bank Corporation e per la Texas Education Agency.

La soglia di povertà della cybersecurity rappresenta il limite al di sotto del quale un'organizzazione non può essere protetta in modo efficace. Nather individuò quattro fattori che spingono le organizzazioni al di sotto di questa soglia:

  • Denaro. Se non ci si può permettere strumenti, personale o servizi, la sicurezza ne risente.
  • Competenze. Anche disponendo del budget necessario, servono persone in grado di decidere cosa acquistare, come configurarlo e come gestirlo.
  • Capacità operative. Alcune organizzazioni non sono in grado di implementare determinati controlli di sicurezza. Come affermava Nather, non è possibile proteggere il livello di rete se non si gestisce direttamente la propria rete.
  • Influenza. Se fornitori, partner, vendor o il management aziendale non modificano la propria cultura o le proprie pratiche in risposta alle vostre esigenze, la vostra capacità di difesa si ferma ai confini dell'organizzazione. Questo concetto rappresenta il precursore di quello che oggi definiamo rischio nth-party.

Questa impostazione ha mantenuto la propria validità per oltre un decennio perché identifica correttamente la natura del problema. La soglia di povertà non è una questione di budget, ma una condizione strutturale generata dall'azione combinata di disponibilità economica, competenze, capacità operative e influenza.

Investire denaro in un'organizzazione priva delle competenze necessarie significa riempire gli scaffali di strumenti inutilizzati. Inviare esperti in un'organizzazione che non possiede le capacità operative necessarie significa metterli nell'impossibilità di implementare le soluzioni che raccomandano.

Tutte le discussioni sulla cybersecurity poverty line sviluppatesi successivamente trovano origine in questo principio.

Le dimensioni non equivalgono alla maturità

Uno degli equivoci più comuni riguardo alla cybersecurity poverty line è considerarla sinonimo di piccola impresa. Non è così. Non è un problema che riguarda esclusivamente le PMI o il mid-market.

In alcuni casi le dimensioni dell'organizzazione sono correlate alla soglia, ma considerare la dimensione aziendale o il segmento di mercato come elemento discriminante finisce per nascondere il vero problema.

Esistono grandi aziende globali con decine di migliaia di dipendenti che operano al di sotto della soglia, talvolta in parti significative della propria infrastruttura e, in altri casi, nell'intera organizzazione. Ciò accade perché le loro capacità in materia di sicurezza non sono cresciute allo stesso ritmo della loro storia di acquisizioni, della complessità geografica, della gestione del debito tecnologico o dei differenti livelli di maturità tra le varie business unit.

Esistono invece aziende manifatturiere con circa 200 dipendenti che operano al di sopra della soglia perché hanno adottato decisioni consapevoli e disciplinate nella gestione del proprio programma di sicurezza.

Così come la soglia non è determinata dalle dimensioni dell'organizzazione, non è nemmeno definita dall'organigramma aziendale.

La soglia è determinata dalla capacità strategica di gestione della sicurezza.

Eliminare la cybersecurity poverty line non è quindi un tema che riguarda esclusivamente il mercato delle piccole imprese. Si tratta di una condizione strutturale che può interessare qualsiasi organizzazione, indipendentemente dalle dimensioni e dal settore di appartenenza.

Come Sophos ha fatto evolvere questa definizione

Wendy Nather ci ha aiutato a definire il problema. Da allora, però, è cambiato il contesto in cui quel problema si manifesta.

Il panorama delle minacce si è accelerato, gli stack tecnologici sono diventati più complessi, le superfici di attacco si sono ampliate, i requisiti di conformità si sono moltiplicati e l'AI agentica è arrivata su entrambi i fronti del conflitto.

Grazie a una visione continua maturata nel corso di decenni, osservando una popolazione di organizzazioni protette di ogni dimensione, area geografica e settore, abbiamo evoluto questa definizione in quattro direzioni.

  1. La soglia di povertà è prima di tutto un divario di capacità strategica, non di strumenti. La maggior parte delle organizzazioni che si trova al di sotto della soglia dispone già di endpoint, firewall, sistemi di sicurezza per la posta elettronica e strumenti per la gestione delle identità.Ciò che manca è la capacità strategica di far funzionare questi strumenti come un sistema integrato: configurarli, monitorarli, misurarne l'efficacia, gestirli, ottimizzarli e migliorarli nel tempo, sapendo se oggi il rischio complessivo è gestito meglio rispetto a ieri.Storicamente questa capacità è stata concentrata in un'unica figura: il CISO. Ed è proprio il CISO la figura che la maggior parte delle organizzazioni non riesce ad assumere.
  2. Non si può difendere un mercato che non si riesce a vedere. Gli attaccanti non fanno distinzioni in base alle dimensioni delle organizzazioni e nemmeno la difesa dovrebbe farlo.Per decenni il settore ha costruito la propria intelligence sulle minacce guardando soprattutto alle aziende della Global 2000.Questo approccio ha creato un punto cieco e ha contribuito alla divisione tra chi dispone di adeguate capacità di difesa e chi ne è privo.Le minacce che nascono negli ambienti delle piccole e medie imprese finiscono poi per propagarsi lungo le supply chain delle grandi aziende.Una soluzione che si rivolge esclusivamente alle organizzazioni più grandi, attratta dai loro budget più elevati, è miope e incompleta, indipendentemente dal suo livello di sofisticazione.
  3. La soglia di povertà è il risultato di quarant'anni di fallimento del mercato, non di un segmento di mercato. L'industria è stata ottimizzata per vendere strumenti a chi già disponeva delle risorse necessarie.Il mercato non è mai stato progettato per servire chi ne era privo.Ho descritto questa situazione come un mercato dei "lemons" potenziato dall'intelligenza artificiale, in cui il divario informativo tra fornitori e clienti continua ad ampliarsi man mano che la tecnologia diventa più complessa e dove il denaro investito non si traduce necessariamente nei risultati attesi.
  4. L'era dell'AI agentica rappresenta contemporaneamente la più grande minaccia e il più grande strumento per eliminare la soglia di povertà della cybersecurity. Questa è la parte realmente nuova della definizione ed è quella con le conseguenze più importanti sulla nostra capacità di affrontare questo fallimento del mercato.

Sostengo pubblicamente questa tesi da anni: il divario è economico, ma non esclusivamente finanziario, e colmarlo richiede un diverso rapporto tra i fornitori e le organizzazioni che essi servono. Vendere strumenti migliori non basta.

Se si considera il titolo di CISO come indicatore dell'esistenza di una vera strategia di cybersecurity, ci si rende rapidamente conto che, come settore, ci stiamo comportando come bambini di sei anni che giocano a calcio. Corriamo tutti dietro al pallone, spendiamo in prodotti e servizi, ma non abbiamo una porta verso cui giocare, non abbiamo un obiettivo finale e non abbiamo alcun modo per misurare se stiamo davvero migliorando.

Perché l'intelligenza artificiale cambia tutto, in entrambe le direzioni

L'arrivo dell'AI agentica rappresenta il cambiamento più significativo nella cybersecurity dai tempi del cloud e ha sottoposto la cybersecurity poverty line a una pressione senza precedenti. Questa pressione agisce in due direzioni.

Da un lato, l'intelligenza artificiale è il grande fattore di riequilibrio.

Un'azienda manifatturiera con 200 dipendenti e priva di un team dedicato alla sicurezza può oggi accedere a sistemi autonomi di rilevamento e risposta che analizzano e classificano gli alert in pochi secondi, supervisionati da analisti che hanno osservato modelli di minaccia provenienti da centinaia di migliaia di ambienti protetti.

Un'impresa con 40.000 dipendenti che utilizza un insieme di prodotti puntuali può oggi gestirli come un unico sistema integrato, grazie a funzionalità autonome che colmano le lacune che il proprio team non è in grado di coprire.

Le decisioni che un tempo richiedevano necessariamente l'intervento di un CISO possono oggi essere progressivamente incorporate in sistemi capaci di operare con la stessa velocità e sulla stessa scala degli avversari.

Dall'altro lato, però, l'intelligenza artificiale rischia di diventare il più grande acceleratore delle disuguaglianze.

Le organizzazioni che possiedono la maturità necessaria per sfruttare sistemi autonomi e una strategia capace di utilizzare l'AI in modo sicuro, protetto ed efficace stanno acquisendo un vantaggio con una velocità mai vista prima.

I loro difensori diventano più rapidi, la loro intelligence continua ad accumularsi e il loro vantaggio competitivo cresce.

Contemporaneamente, anche gli attaccanti adottano l'intelligenza artificiale senza dover affrontare cicli di approvvigionamento, valutazioni sulla sicurezza o processi di governance.

Tutte le organizzazioni che non riescono a tenere il passo si trovano quindi a rincorrere su entrambi i fronti: da una parte un avversario sempre più veloce, dall'altra concorrenti che sfruttano l'AI e si allontanano progressivamente.

Cosa serve per eliminare la soglia di povertà della cybersecurity

Se la soglia di povertà della cybersecurity rappresenta un divario di capacità strategica, eliminarla significa non fornire semplicemente strumenti.

La difesa deve operare come un sistema, non come un insieme di prodotti.

Al di sotto della soglia, nessuno integrerà sette prodotti specialistici in un'unica operazione coerente. L'integrazione deve essere parte del prodotto.

Endpoint, rete, posta elettronica, cloud, identità, MDR, SIEM e threat intelligence devono condividere il contesto in tempo reale e rispondere come un unico sistema, per impostazione predefinita, senza imporre al cliente configurazioni complesse.

Questo rappresenta un elemento fondamentale del principio secure by default ed è ciò che abbiamo realizzato con Sophos Central.

La capacità di giudizio deve essere incorporata nel sistema, non data per scontata.

Se il cliente non dispone di un CISO, il sistema deve essere in grado di fornire decisioni di livello CISO: un'AI agentica capace di investigare, ragionare e intervenire entro limiti ben definiti, supervisionata da analisti umani che definiscono il perimetro di fiducia e si assumono la responsabilità dei risultati.

È un approccio human-on-the-loop, nel quale l'essere umano supervisiona continuamente il funzionamento dell'intelligenza artificiale.

L'intelligence deve crescere grazie all'esperienza condivisa tra tutti i clienti.

Un Security Operations Center (SOC) dedicato a un singolo cliente è inevitabilmente limitato da ciò che riesce a osservare, indipendentemente dalla qualità del personale.

Al contrario, un sistema di difesa che opera su centinaia di migliaia di organizzazioni trasforma la propria scala operativa in un patrimonio di intelligence che porta benefici a tutti i clienti.

Ogni minaccia intercettata, ogni nuovo schema di attacco identificato, ogni ambiente difeso rende più efficace la difesa successiva.

Il modello economico deve funzionare per tutti, non solo per la fascia più alta del mercato.

Un'architettura progettata per eliminare la cybersecurity poverty line non può rendere le proprie soluzioni economicamente inaccessibili alle organizzazioni più piccole.

Deve essere in grado di servire sia un'azienda con dieci dipendenti sia un'organizzazione con centomila persone, all'interno dello stesso sistema orchestrato, senza compromettere il livello di protezione offerto a nessuna delle due.

Si tratta di una precisa scelta progettuale che molti sistemi tradizionali non sono riusciti a realizzare.

La nostra visione e la nostra missione

La nostra visione è quella di un mondo in cui la cybersecurity più affidabile rappresenti anche la più accessibile.

Leggete attentamente questa affermazione.

Non significa che la cybersecurity debba essere economica o che tutti debbano ricevere esattamente le stesse soluzioni.

Significa che la qualità della vostra protezione non dovrebbe dipendere esclusivamente dall'entità del vostro budget o dalle dimensioni del vostro team.

La nostra missione è eliminare la cybersecurity poverty line e democratizzare la resilienza, promuovendo il progresso della tecnologia e dei servizi, dell'intelligenza artificiale e della threat intelligence globale.

Eliminare è una parola ambiziosa.

L'abbiamo scelta perché l'era dell'AI agentica crea una reale opportunità di cambiare le regole del gioco; perché qualsiasi obiettivo meno ambizioso rappresenterebbe soltanto un progresso incrementale; e perché i progressi incrementali non sono sufficienti a correggere un fallimento del mercato.

Non raggiungeremo questo obiettivo da soli.

Lo faremo insieme ai nostri partner, ai nostri clienti e all'intera comunità che da anni lavora su questo tema, con Wendy Nather in prima linea.

La cybersecurity poverty line non è una legge della natura. È il risultato di un mercato che, per quarant'anni, ha scelto di servire soltanto una minoranza. L'era dell'AI agentica ci offre oggi la possibilità di fare una scelta diversa.

Noi l'abbiamo fatta e siamo pronti a dimostrare concretamente cosa significa.

Informazioni sull'autore

Joe Levy

Joe Levy

Joe Levy is the CEO of Sophos, a global leader in cybersecurity defending over 600,000 organizations worldwide. A 30-year industry veteran, Joe blends hands-on technical expertise with strategic vision to redefine how organizations of all sizes defend against modern cyber threats. Since becoming CEO in 2024, he has grown Sophos into one of the largest dedicated MDR providers in the world.