Ecco perché «zero» è il numero più importante per un CISO

Zero Trust, 0-day, paziente zero, ora zero: sono tutti concetti che contraddistinguono la cyberdifesa e quindi il lavoro di un CISO, una figura il cui ruolo e responsabilità in azienda stanno cambiando fortemente.

Agosto 2025, Text:  Andreas Heer, Bild: Swisscom           8 Min.

Gli incubi per i responsabili della sicurezza cominciano così: all’inizio di giugno 2025 è stata rilevata una lacuna critica nel webmailer «Roundcube», che ha interessato almeno 85 000 istanze in tutto il mondo. Altre fonti parlavano addirittura di 53 milioni di potenziali sistemi colpiti. All’uscita di una patch i cybercriminali hanno subito sfruttato questa vulnerabilità. Occorreva un aggiornamento immediato.

Questa vulnerabilità 0-day (o zero-day) dimostra l’importanza del numero zero per la cyberdifesa e la cyberresilienza. Questi zeri infatti non sono solo parole in voga, ma indicano aspetti di rischio e resilienza strettamente interconnessi di cui i CISO devono tenere conto nel loro complesso e con un approccio strategico.

  • Zero Trust: un modello di sicurezza che non presuppone alcuna fiducia implicita e verifica costantemente l’identità di tutti gli utenti, i dispositivi e gli accessi per riconoscere eventuali attacchi in tempo utile e bloccarli.
  •  0-day: una vulnerabilità ancora sconosciuta al produttore e che offre agli hacker una finestra temporanea per un exploit fino alla pubblicazione di una patch.
  • Patient Zero: il primo dispositivo o il primo account compromesso in un attacco. È importante identificarlo per riconoscere il modello di attacco (TTP) e poter impostare il più rapidamente possibile le misure di circoscrizione e riparazione.
  • Ora zero: il momento critico in cui viene riconosciuto un grave attacco e viene attivata la Incident Response.

Comprendere questi concetti «zero» e le loro conseguenze è cruciale per proteggere gli asset aziendali e garantire la continuità operativa. Questi concetti condizionano la pianificazione strategica della cyberdifesa e tengono conto delle mutate esigenze di protezione, per essere in grado di reagire in modo celere e adeguato ad esempio ad attacchi come quello a Roundcube.

Come cambia il ruolo del CISO

Il mondo dell’IT si trova oggi fuori dal perimetro – cloud, IoT e home office sono le parole chiave. Questi fattori portano a un sempre più rapido allontanamento dalle tradizionali strategie di sicurezza, mentre i concetti «zero» diventano la base per le best practice e per rafforzare la cyberresilienza. In linea con questo cambiamento, sia nel panorama degli attacchi che delle misure di difesa, muta anche il ruolo del CISO: concetti quali Zero Trust accrescono la rilevanza strategica della cyberdifesa mirata ad assicurare la continuità delle attività aziendali. 

La Garnter, società di consulenza e ricerche di mercato, ha delineato quattro fasi di questo sviluppo. Il ruolo del CISO passa da una posizione reattiva a una attiva, con crescente grado di maturità.

  1. Security e Compliance Manager: crea i presupposti per le direttive di sicurezza, implementa le misure di sicurezza e controlla che vengano rispettati i requisiti normativi.
  2. Responsabile del Cyberrisk Management: un ruolo che va oltre le responsabilità tecniche e mette in relazione la cybersecurity con i rischi aziendali.
  3. Figura decisiva della gestione dei rischi: il CISO è parte integrante del team di risk management. Le sue valutazioni hanno valore strategico e i cyberrischi sono espressi in termini di conseguenze sulle attività aziendali, la CRQ (Cyberrisk Quantification) diventa uno strumento determinante.
  4. Business enabler strategico: la cybersecurity e il cyberrisk management diventano un fattore strategico dello sviluppo aziendale. Il cyberrisk appetit assume importanza nello sviluppo strategico. 

Quest’evoluzione richiede ai CISO di andare oltre le pure metriche tecniche a livello di comunicazione. Devono poter tradurre le cyberminacce in termini di rischi aziendali, ad esempio come possibili perdite di fatturato oppure come fattori che possono compromettere l’operatività. La cybersecurity può così trasformarsi da voce di costo a volano riconosciuto per il business.

I concetti «zero» come fondamento

I concetti «zero», ossia Zero Trust, 0-day, ora zero e paziente zero, sono strettamente interdipendenti e costituiscono il fondamento dello sviluppo strategico della cyberdifesa. Il ruolo del CISO è quello di accompagnare questa trasformazione e di implementarla agendo da interfaccia tra «business» e IT. Infatti, Zero Trust è il modello di sicurezza informatica che permette di limitare i cyberrischi e di fornire una base sicura ai piani di sviluppo dell’impresa. 

Ma come si assume questo ruolo il CISO e cosa significa per la strategia di cyberdifesa?

Suggerimenti per i CISO

  1. Zero Trust come filosofia strategica: Zero Trust significa agevolare un cambiamento culturale e operativo che non si limita all’implementazione di tool. È possibile adottare gradualmente questo approccio cominciando con IAM (Identity and Access Management) e i «low hanging fruits», dunque laddove se ne colgono rapidamente i vantaggi. Il compito del CISO è dimostrare l’utilità delle misure in termini economico-aziendali, ad esempio postazioni di lavoro da remoto più sicure o una transizione digitale conforme alle normative di protezione dei dati.
  2. Rafforzare la sicurezza della catena di fornitura: negli ultimi tempi emergono sempre più di frequente vulnerabilità 0-day nei prodotti di security. Il Google Threat Intelligence Group (GTIG) ha esaminato 75 exploit 0-day nel 2024. Per il 60% degli attacchi a prodotti aziendali si trattava di soluzioni di sicurezza. È pertanto essenziale che le aziende trattino anche i fornitori di software di sicurezza e i software di terzi fornitori critici seguendo i principi di Zero Trust.
  3. Priorità alla sicurezza e le persone al centro: in molti scenari di attacco la prima vittima è la persona, il Patient Zero. I collaboratori svolgono pertanto un ruolo cruciale nella cybersecurity, sia in termini di target d’attacco sia come prima linea di difesa. È quindi fondamentale promuovere la security awareness e lo sviluppo di una cultura di sicurezza adottata attivamente in tutta l’azienda.
  4. Il prezzo del cyberrischio: la capacità di valutare i rischi sul piano economico è determinante nell’ora zero, cioè nel momento in cui un’azienda riconosce un attacco e deve prendere rapidamente delle decisioni. Una valutazione fattuale delle potenziali conseguenze economiche consente di porre le giuste priorità, di mobilitare le risorse adeguate in modo mirato e di gestire efficacemente la comunicazione in caso di crisi. La cybersecurity vale così non solo come disciplina tecnica, ma sempre di più come fattore economico per l’azienda. Frameworks come FAIR (Factor Analysis of Information Risk) o NIST SP 800-30 aiutano a quantificare i cyberrischi e a calcolare possibili perdite.
  5. Rafforzare il Business Continuity Management (BCM): in caso di emergenza conta ogni secondo, soprattutto nell’ora zero. È qui che si vede quanto l’azienda è preparata contro un attacco. Test regolari e verifiche periodiche dei piani di emergenza sono determinanti per il corretto funzionamento di Disaster Recovery in caso di cyberattacco e per rispettare gli obiettivi di RTO (Recovery Time Objective) e RPO (Recovery Point Objective). I Tabletop Exercises contribuiscono a migliorare la cooperazione tra la Cybersecurity e i diversi reparti in caso di emergenza.
  6. Continua sorveglianza e permanente adeguamento: soprattutto gli exploit 0-day mostrano chiaramente quanto sia importante adottare una sorveglianza continua del proprio ambiente. Poiché questi attacchi avvengono senza preavviso, le aziende devono essere in grado di riconoscere le anomalie in tempo reale, reagire rapidamente e adeguare le loro misure di difesa in modo dinamico. Solo grazie a questa agilità, un’organizzazione sarà in grado di mostrare resilienza anche rispetto a minacce imprevedibili.   
Eight areas where cyber defence needs to change in order to optimally safeguard the digital transformation. White paper on cybersecurity transformation.

Maggiori informazioni