Inizia l'anno con forza: 10 domande essenziali che ogni team IT dovrebbe affrontare

Priorità critiche di sicurezza e azioni strategiche per i leader IT nel 2026

Conclusioni

• Rivedi regolarmente e rafforza la tua postura di sicurezza all'inizio di ogni anno per rimanere un passo avanti rispetto alle minacce in evoluzione.
• Identificare i vettori di attacco più probabili di successo contro la tua organizzazione considerando le tendenze del settore, il personale e il comportamento degli utenti.
• Valuta i cambiamenti nel tuo ambiente IT dell'ultimo anno, in particolare le adozioni tecnologiche come l'IA, che possono introdurre nuovi rischi.
• Essere consapevoli delle minacce emergenti come le vulnerabilità di injection prompt e vibe coding nelle applicazioni basate su IA.
• Implementare strumenti di revisione del codice automatizzati per il codice generato da IA al fine di mitigare i rischi per la sicurezza.
• Perseguire strategie per rilevare precocemente le credenziali compromesse e ridurre al minimo l'impatto delle violazioni degli account.

È un nuovo anno (e anche un giorno che termina in Y), il che significa che è un momento eccellente per rivedere la tua postura di sicurezza. Usa la tua energia rinnovata per analizzare seriamente le tue vulnerabilità, i metodi di rilevamento e le procedure organizzative. Rispondi a queste 10 domande per metterti nella migliore posizione possibile per quello che probabilmente sarà un altro anno di attacchi informatici da record.

Domanda 1: Quali vettori di attacco hanno maggiori probabilità di successo contro di noi in questo momento?

Rispondere a questa domanda significa esaminare attentamente il tuo settore, il tuo personale e i tuoi utenti. Gli attacchi di sfruttamento delle vulnerabilità hanno dominato nel 2025, ma non è lo stesso per tutte le aziende. Se hai un programma di patch estremamente ben sviluppato, un altro vettore di attacco potrebbe essere più probabile. Ad esempio, prova a prestare attenzione alle minacce interne.

Domanda 2: Cosa è cambiato nel nostro ambiente per aumentare il rischio negli ultimi 12 mesi?

Forse hai un nuovo CISO — o il tuo dipartimento è stato ridimensionato. Forse hai modernizzato un'applicazione legacy o hai spostato la tua sala server nel cloud. Se la tua organizzazione è simile al 88% delle aziende che hanno adottato questa tecnologia nel 2025, il tuo più grande nuovo generatore di rischi è probabilmente legato all'IA. Ecco alcune preoccupazioni:

• Gli attacchi di injection dei prompt utilizzano l'equivalente IA dell'ingegneria sociale per convincere i chatbot a rivelare informazioni come le password.
• Il coding Vibe è quando gli agenti IA generano codice automaticamente — e fino al 50% degli esempi di coding Vibe contengono vulnerabilità di sicurezza.

Stai codificando con il vibe una delle tue app, o stai utilizzando app che potrebbero avere codice generato dall'IA? In tal caso, devi implementare tecnologie appropriate, come la revisione automatizzata del codice.

Domanda 3: Quanto siamo sicuri di poter rilevare tempestivamente le credenziali compromesse?

Una volta definita la tua superficie d'attacco, è il momento di chiedersi cosa succede se attori malintenzionati sfruttano le tue vulnerabilità. Questo spesso prenderà la forma di un account compromesso, che permetterà agli attaccanti di:

1. Impersonare il personale, le applicazioni e l'infrastruttura
2. Aumentare i loro permessi
3. Diffondi malware in tutta la tua rete
4. Crittografa o esfiltra i dati critici

Idealmente, sarai in grado di rilevare la compromissione dell'account nella fase di furto d'identità o di escalation. Questo si basa su un rilevamento comportamentale che copre sia le persone che il software. Sei in grado di rilevare app precedentemente attendibili che comunicano con server C2 su porte ad alto numero? Puoi dire quando uno dei tuoi dipendenti effettua l'accesso da un nuovo dispositivo in una posizione diversa al di fuori dell'orario di lavoro?

Domanda 4: Quali utenti, sistemi o identità causerebbero i danni maggiori se compromessi?

Questo è il corollario alla domanda 3, e ciò che realmente chiede è: "Stai attualmente applicando il principio del minimo privilegio?" Ora è il momento di controllare i tuoi account e capire se qualcuno ha accesso a livello amministrativo che non è necessario. Idealmente, nemmeno i tuoi account di livello C avranno permessi amministrativi. Invece, una best practice è assegnare i permessi di amministratore solo su base temporanea che scade automaticamente quando non è più necessario.

Domanda 5: Sappiamo chi fa cosa nelle prime 24 ore di un incidente grave?

Gli incidenti di sicurezza, anche quelli di grande entità, sono quasi inevitabili. Ciò che non è inevitabile è l'effetto di un incidente grave. Una risposta ben pianificata può attenuare considerevolmente l'effetto di una grande violazione dei dati. Ad esempio, una buona risposta:

• Notificare le autorità di regolamentazione, le forze dell'ordine e i clienti interessati
• Tentativo di invertire la crittografia di qualsiasi dato colpito da ransomware
• Documentare le perdite e potenzialmente tracciare la vendita di informazioni rubate
• Raccogliere dati forensi da applicazioni, endpoint e infrastruttura interessati
• Isolare i sistemi interessati per ridurre l'ulteriore diffusione del malware
• Collabora con i ricercatori di sicurezza per identificare nuovi exploit

Tutto dipende dal fatto che le persone conoscano i loro ruoli dopo le conseguenze di una violazione della sicurezza dei dati. Se tutto va come previsto, potresti essere in grado di recuperare i tuoi dati, invertire la crittografia e fornire informazioni che portino all'arresto dei tuoi attaccanti. Senza un piano, vi troverete in pericolo con i regolatori, nei guai con i vostri clienti e a rischio di un altro attacco.

Domanda 6: Come stai eseguendo il backup delle tue informazioni più sensibili?

Stai mantenendo i backup, giusto? Sebbene la maggior parte delle aziende esegua il backup dei propri dati, i backup da soli non sono sufficienti a proteggere contro ransomware, disastri naturali o guasti alle apparecchiature. Questo perché molte aziende non stanno eseguendo il backup dei propri dati in siti remoti o posizioni offline.

Per questo motivo, è consigliabile assicurarsi di utilizzare una qualche variante della regola 3-2-1, che afferma:

• Tre: Mantieni tre copie di backup dei tuoi dati
• Due: Conservali su due supporti diversi, ad esempio uno nel cloud e uno su nastro
• Uno: Un backup fuori sede

Potrebbe essere che tu lo stia già facendo, ma non fa mai male convalidare che lo schema che stai utilizzando in teoria corrisponda a quello che stai usando in realtà. Questo aiuta a prevenire i fallimenti del backup e aumenta la possibilità di recuperare la maggior parte dei tuoi dati in caso di incidente.

Domanda 7: In caso di attacco ransomware, cosa perderai per primo?

Concordante con la domanda sopra, vale la pena chiedersi quali parti del tuo lavoro sono più vulnerabili alla crittografia. Molte aziende eseguono backup giornalieri, settimanali e mensili in uno schema denominato "nonno, padre, figlio". A causa della frequenza del backup "figlio" (giornaliero), di solito è archiviato in loco o nel cloud per il recupero più rapido. Ma questi backup sono vulnerabili al ransomware.

Perdere un backup giornaliero — o una settimana di backup giornalieri — potrebbe non sembrare un grande problema. Ma ci sono sicuramente periodi in cui perdere una settimana di lavoro potrebbe essere estremamente dannoso. Esistono sistemi per effettuare backup più sicuri durante i periodi critici?

Domanda 8: Come si combatte l'"affaticamento da allerta"?

Ecco un'ipotesi: Supponiamo di avere uno strumento SIEM nel tuo SOC. Il SIEM lancia un avviso ad alta priorità una volta al giorno, richiedendo al tuo team di tracciarlo fino alla fonte. Questo è un falso allarme nel 90% dei casi. Quanto tempo ci vorrà prima che il tuo team inizi a ignorare i suoi avvisi?

I team di sicurezza delle informazioni devono affrontare un numero spaventoso di falsi positivi — fino a 20% di tutti gli avvisi. Questo spesso significa che gli avvisi realmente gravi vengono ignorati nel mezzo del rumore. Vale la pena chiedersi se uno strumento generi abbastanza veri positivi da rendere i falsi negativi un rischio che valga la pena correre per evitare il burnout. Oppure ci sono soluzioni automatizzate o gestite che possono aiutare a identificare gli avvisi che contano?

Domanda 9: Dove facciamo affidamento su processi che non si adatteranno sotto pressione?

La velocità della sicurezza delle informazioni non è concepita per processi manuali. Pensiamo all'aggiornamento dei permessi di accesso, ad esempio. Se sei un'azienda di 10 persone, potrebbe andare bene aggiornare manualmente i controlli di accesso. In un'azienda in cui si gestiscono migliaia di persone in ingresso e in uscita, questo processo non sarà scalabile. È meglio implementare role-based access control (RBAC).

Se guardi alla tua organizzazione, probabilmente puoi trovare dozzine di esempi in cui stai ancora lavorando con fogli di calcolo e catene di e-mail. Chiediti se esiste un software che può automatizzare le attività, così puoi concentrarti su priorità più importanti.

Domanda 10: Puoi collaborare con Barracuda per apportare miglioramenti significativi rapidamente?

Risposta: sì.

A volte, è necessaria una prospettiva esterna per aiutare a individuare i punti ciechi nella sicurezza organizzativa. Collaborare con Barracuda ti mette direttamente in contatto con esperti che possono suggerire miglioramenti significativi che entrano in vigore rapidamente. Pianifica una demo della nostra offerta Managed XDR e scopri come possiamo aiutarti ad avere un'organizzazione più sicura nel 2026.