La NIS2 rende il backup un requisito vincolante, ma tra obbligo normativo e resilienza operativa reale il divario nelle aziende italiane resta ampio. Quali lacune riscontrate più spesso nelle infrastrutture di protezione del dato e quali approcci si dimostrano più efficaci quando l'incidente si verifica davvero?

Dal nostro punto di osservazione la carenza più comune che riscontriamo è l'errata convinzione che il backup da solo equivalga a garantire la resilienza. Molte organizzazioni hanno migliorato le proprie strategie di backup, soprattutto grazie all'immutabilità e all'isolamento, ma ciò risolve solo una parte del problema. Nella pratica, si riscontra spesso un divario tra l'efficacia del backup e l'effettiva preparazione all'eventuale ripristino. I sistemi possono essere protetti sul piano teorico, ma non essere pienamente ripristinabili in condizioni di attacco reale. Quando si verificano incidenti, il fallimento spesso non dipende dal backup in sé, ma da tutto ciò che lo circonda: compromissione dell'identità, mancanza di visibilità o incapacità di rilevare e contenere un'intrusione prima che si diffonda.

Un altro problema ricorrente riguarda la frammentazione. La protezione dei dati, la sicurezza e le procedure operative sono ancora gestite in compartimenti stagni, il che rende difficile una risposta coordinata. In pratica, ciò comporta un rilevamento più lento, ritardi nel processo decisionale e procedure di ripristino non allineate all’effettivo evolversi dell’attacco.

Anche i test rappresentano un punto vulnerabile. I piani di ripristino vengono spesso verificati in condizioni ideali, ipotizzando una connettività totale e un funzionamento normale. Tuttavia, gli incidenti raramente si verificano secondo tali presupposti. Il ripristino deve funzionare in condizioni critiche, non solo in scenari di test controllati. Potrebbe essere necessario ripristinare i sistemi in condizioni sfavorevoli, con visibilità parziale o infrastrutture compromesse.

Ciò che si rivela maggiormente efficace è adottare un approccio integrato. La rilevazione tempestiva, un rigoroso controllo delle identità e la visibilità sui movimenti laterali riducono l'impatto prima che sia necessario procedere al ripristino. Allo stesso tempo, le attività di backup e ripristino devono essere strettamente collegate alla risposta agli incidenti, garantendo che i sistemi ripristinati siano sicuri e che il ripristino non reintroduca la minaccia.

La resilienza non si misura solo dalla capacità di avere un sistema di backup. Dipende dall'efficacia con cui prevenzione, rilevamento, contenimento e ripristino interagiscono in condizioni reali.

Il mercato cerca partner capaci di affiancare il cliente lungo tutto il ciclo, dalla valutazione del rischio al ripristino operativo. In che modo la vostra offerta copre questa catena end-to-end e quali competenze o servizi vi posizionano come riferimento operativo nella protezione dei dati e nella business continuity?

Il cambiamento a cui stiamo assistendo vede il passaggio da strumenti isolati a modelli operativi che coprono l'intero ciclo di vita dei dati. I clienti non cercano più soluzioni separate per il backup, la sicurezza o la gestione. Si aspettano un partner in grado di valutare i rischi, implementare misure di protezione, rilevare le minacce e garantire il ripristino, il tutto all'interno di un framework coerente.

Ciò richiede integrazione. Quando protezione, rilevamento e ripristino fanno parte dello stesso ambiente operativo, la risposta diventa più rapida ed efficace. Inoltre, si riduce la complessità sia per il partner che per il cliente, aspetto fondamentale vista la limitatezza delle risorse cui molte organizzazioni devono far fronte.

Dal punto di vista delle capacità, questo significa combinare i controlli tecnici con la prontezza operativa. La valutazione dei rischi e quella della maturità aiutano a identificare le criticità, ma il vero valore deriva dal trasformare tali informazioni in protezione e risposta continue. L’automazione e la visibilità centralizzata supportano questo processo consentendo ai partner di gestire gli ambienti su larga scala, mantenendo al contempo la coerenza.

Il ripristino rimane un elemento centrale. La capacità di riattivare i sistemi in modo rapido e affidabile è ciò che, in ultima analisi, definisce il concetto di resilienza. Ciò che conta nella pratica non è solo disporre di backup, ma essere in grado di ripristinare le operazioni in modo prevedibile e collaudato quando i sistemi sono sotto pressione. Tuttavia, il ripristino deve essere collegato al rilevamento e alla risposta, garantendo che i sistemi non solo vengano ripristinati, ma lo siano in modo sicuro.

I partner in grado di operare lungo l'intera catena, dalla fase di valutazione a quella di ripristino, e che lo fanno in modo coordinato e su larga scala, sono quelli che stanno effettivamente assumendo un ruolo di leadership nella protezione dei dati e nella continuità operativa.