Trustlinks free webinar: Turning regulation into resilience – Register now

Rimani aggiornato sulle ultime tendenze e best practicIl blog di Trustlinks

Ormai non riesci più ad applicare le patch abbastanza in fretta. Ecco perché i controlli di compensazione stanno diventando fondamentali.

Non riesci più ad applicare le patch abbastanza in fretta. Ecco perché i controlli di compensazione stanno diventando fondamentali.

Per anni, la sicurezza informatica si è basata su un principio semplice: individuare le vulnerabilità e risolverle. Ma quel modello parte da un presupposto che ormai non è più scontato. Si basa sul tempo.

In un panorama delle minacce guidato dall’intelligenza artificiale, le vulnerabilità vengono scoperte e sfruttate più velocemente di quanto la maggior parte delle organizzazioni riesca a correggerle. Secondo una ricerca citata da The Hacker News, nel 2024 si è registrato un aumento del 61% delle vulnerabilità sfruttate per le quali era disponibile una patch da più di 30 giorni, con il numero di vulnerabilità sfruttate quasi raddoppiato rispetto all’anno precedente. Le organizzazioni non si trovano solo ad affrontare un numero maggiore di vulnerabilità. Sempre più spesso queste vengono trasformate in armi prima ancora che arrivi la correzione.

Ecco perché i controlli compensativi non sono più un concetto di nicchia. Stanno diventando una parte fondamentale del modo in cui le organizzazioni garantiscono la sicurezza.

I limiti delle soluzioni provvisorie

Gli ambienti IT moderni non sono stati progettati per la velocità. Comprendono sistemi legacy, integrazioni di terze parti e aggiornamenti continui che rendono l’applicazione delle patch un processo complesso e dispendioso in termini di tempo, anche in condizioni ideali. Bisogna prima individuare il problema, testare la soluzione e implementare le modifiche con attenzione per evitare di interrompere le operazioni. In ambienti grandi o complessi, questo può richiedere settimane.

Il Cybersecurity Framework del NIST sottolinea da tempo l’importanza di una gestione del rischio a più livelli proprio per questo motivo, riconoscendo che nessun singolo controllo è sufficiente e che le organizzazioni devono creare più livelli di protezione. Quando gli hacker riescono a passare dall’individuazione di una vulnerabilità allo sfruttamento attivo nel giro di poche ore, un processo di applicazione delle patch che richiede settimane non è semplicemente sufficiente da solo.

Cosa sono in realtà i controlli compensativi

I controlli compensativi sono misure di sicurezza che riducono il rischio quando non è possibile applicare subito una correzione diretta. Non sostituiscono l’applicazione delle patch. Servono a guadagnare tempo e a limitare l’esposizione mentre si prepara la correzione. In pratica, questo potrebbe significare limitare l’accesso ai servizi vulnerabili, segmentare le reti per contenere potenziali danni, aumentare il monitoraggio e gli avvisi sui sistemi a rischio, oppure introdurre modifiche temporanee ai processi che riducano la probabilità di sfruttamento delle vulnerabilità. L’obiettivo è mantenere un livello significativo di protezione anche quando il sistema non è ancora stato completamente aggiornato.

Perché è importante per la conformità

Framework normativi come NIS2 e DORA non pretendono la perfezione. Si aspettano invece una gestione del rischio strutturata e proporzionata. Entrambi richiedono alle organizzazioni di implementare controlli adeguati, garantire la continuità operativa e mantenere la sicurezza anche quando le condizioni cambiano. Questo include esplicitamente controlli a più livelli, non solo l’affidarsi alle patch. Un’organizzazione che riesca a dimostrare di aver identificato una vulnerabilità, valutato il rischio, implementato controlli compensativi e monitorato i progressi verso una risoluzione completa sta dimostrando esattamente il tipo di governance che questi framework sono stati progettati per incoraggiare.

La sfida operativa

Il problema per molte organizzazioni non è la mancanza di consapevolezza, ma la mancanza di una struttura. Senza una chiara visione di dove siano necessari i controlli, senza processi definiti per implementarli rapidamente e senza una documentazione adeguata di ciò che è stato messo in atto, i controlli compensativi rimangono una risposta improvvisata piuttosto che una capacità gestita. È proprio in quel divario tra intenzione ed esecuzione che si nasconde l’esposizione ai rischi normativi.

Dall’approccio ad hoc alla governance

Affinché i controlli compensativi funzionino come parte di una strategia di sicurezza più ampia, servono una chiara corrispondenza tra rischi e controlli, procedure ben definite su quando e come attivare i controlli, un monitoraggio e una revisione continui, oltre a una documentazione che si possa fornire all’occorrenza. Questo trasforma una misura reattiva in una governance strutturata, qualcosa che si può dimostrare sia alle autorità di regolamentazione, sia ai revisori, sia alla dirigenza.

Se la tua organizzazione ha difficoltà a mantenere una visione d’insieme su rischi, controlli e documentazione, Trustlinks è stato creato proprio per aiutarti. Con Trustlinks, puoi registrare e monitorare i rischi in un registro centralizzato, collegare gli incidenti direttamente ai rischi che mettono in luce e mappare ogni rischio su più framework contemporaneamente. Quando è in atto un controllo compensativo, questo viene documentato, collegato e reso verificabile. Un’unica piattaforma, supervisione completa, sempre pronta per gli audit.

Looking for a secure and user-friendly compliance solution?Share your details, and we’ll contact you to discuss how Trustlinks can help.

Parla con la Territory Manager
Camilla Corsini

Blog TrustlinksCosa leggere dopo..

Da settimane a ore: perché le minacce informatiche sempre più frequenti richiedono una conformità DORA ben strutturata
Gli istituti finanziari sono preoccupati per gli attacchi basati sull'intelligenza artificiale: ecco quello che DORA si aspetta dalle aziende
Perché gli attacchi alla catena di approvvigionamento stanno portando a nuove normative in materia di sicurezza informatica

Prenota una demo

Inviaci un messaggio e il nostro team ti risponderà al più presto.

Prenota una demo

Inviaci un messaggio e il nostro team ti risponderà al più presto.
Logo Trustlinks bianco.

Contatta il team commerciale

Hai domande sui prezzi, sui framework o su come Trustlinks possa adattarsi alla tua organizzazione? Il nostro team è a tua disposizione per aiutarti a trovare la soluzione più adatta.

→ Oppure esplora le nostre domande frequenti

Ottieni assistenza sul prodotto

Hai bisogno di aiuto per utilizzare la piattaforma o hai riscontrato un problema? Il nostro team di supporto è pronto ad assisterti.

Contattaci