FOCUS

Security Assessment tra IT e OT: un approccio integrato per la sicurezza aziendale

Perché le aziende devono valutare la propria postura di sicurezza; come cambia lo scenario tra sistemi informativi e industriali; due esempi concreti.

Nel mese europeo della Cybersecurity Awaress 2025, dedichiamo un approfondimento al tema: Cybersecurity Assessment – Dal rischio alla remediation.

Nel primo semestre 2025, in Italia sono stati registrati oltre 1,2 milioni di alert di dati esposti sul web (fonte: Osservatorio Cyber di CRIF, da La Repubblica). Una cifra che racconta una realtà precisa: nessun settore è immune dalle minacce cyber.

Banche, assicurazioni, enti pubblici, industrie manifatturiere: tutte le organizzazioni oggi si trovano ad affrontare un rischio che non è solo informatico, ma strategico e operativo.
In questo contesto, il Security Assessment rappresenta lo strumento fondamentale per comprendere la propria esposizione, mappare vulnerabilità e gap e costruire un piano concreto di miglioramento.

La sua forza sta nella capacità di abbracciare sia il mondo IT (Information Technology) che quello OT (Operational Technology), evidenziando differenze e priorità, ma mantenendo un approccio metodologico coerente.

IT e OT: priorità diverse, stesso obiettivo

I principi della sicurezza – Confidenzialità, Integrità e Disponibilità – valgono per entrambi i mondi. Ma nell’operatività cambiano le priorità.

  • In ambito IT, il focus è spesso sulla Confidenzialità (protezione dei dati sensibili). Nell’IT parliamo di reti, server, cloud e dati sensibili.
  • Nel mondo OT, invece, la priorità assoluta sono la continuità operativa e la sicurezza fisica: un fermo impianto dovuto a un malware o a un attacco ai sistemi di controllo può generare danni economici e compromettere la produzione industriale, oppure ancor peggio avere impatti sulla sicurezza delle persone.
simone ogadri

“È proprio la differenza di priorità che rende fondamentale un approccio integrato IT/OT: solo vedendo i due ecosistemi come parti dello stesso puzzle è possibile costruire una sicurezza aziendale realmente efficace”

commenta Simone Ogadri, Cybersecurity Engineering Manager di Italtel.

Security Assessment: lo strumento per costruire la propria sicurezza

Un Security Assessment è un’analisi completa che valuta il livello di sicurezza di un’azienda sotto tre dimensioni principali:

  • Tecnologica → non solo difesa perimetrale, ma analisi profonda di sistemi, reti e applicazioni.
  • Organizzativa → processi, procedure, ruoli e policy che impattano la sicurezza.
  • Normativa → adeguamento a standard e regolamenti come NIS2, ISO 27001, IEC 62443, NIST CSF, Direttiva Macchine.

La Direttiva NIS2 richiede alle organizzazioni di adottare un approccio strutturato alla gestione del rischio cyber, dimostrando di conoscere il proprio livello di esposizione e di avere misure di sicurezza adeguate, proporzionate e documentate. In questo contesto, il Security Assessment diventa lo strumento chiave per soddisfare la normativa: permette di valutare lo stato di sicurezza attuale, identificare vulnerabilità, gap di compliance e rischi per la continuità operativa, sia in ambito IT che OT.

Tutto inizia con la raccolta di informazioni sul campo: interviste ai team IT e OT, analisi architetturali della rete, fino all’utilizzo di strumenti per svolgere campagne di vulnerability assessment. Questa attività permette mettere in luce elementi nascosti e trasformare l’analisi in azioni concrete e misurabili. La durata varia da poche settimane (per aziende medie) a diversi mesi (per multinazionali con reti IT/OT complesse).

simone ogadri

“Una fase cruciale è l’identificazione dei gap, che non riguardano solo la parte tecnologica – come la scurezza infrastrutturale (hardening delle configurazioni non sufficienti, mancanza di segmentazione, funzioni non presenti (access control…) o applicazioni esposte – ma anche aspetti di processo, procedure non allineate e flussi organizzativi che possono rappresentare un rischio. È qui che l’analisi si fa più profonda, andando oltre la superficie tecnica per toccare il cuore della governance aziendale”

aggiunge Simone Ogadri.

Avendo a disposizione una solida base di assessment ottenuta negli step precedenti, formata sia da elementi di governance che risultanze tecniche, segue l’esercizio di analisi dei rischi per gli ambiti delineati: NIS2 per l’intera organizzazione ed IT/OT in ambito da concordare.

Le metodologie utilizzata per le analisi sono derivate da standard di settore per l’analisi e la gestione dei rischi (i.e. ISO 27005, ISO 31000, IEC 62443) avvalendosi di matrici di propensione al rischio, cataloghi di minacce e contromisure già presenti in azienda (se applicabili) o definiti custom in base alle risultanze ottenute nelle fasi di assessment.
L’analisi evidenzierà e classificherà i rischi, definiti in base a criteri standard di probabilità e impatto, presenti nei perimetri di analisi (ambiti) concordati, fornendo al contempo contromisure di best practice necessarie alla preparazione di un piano di rientro.

L’esito delle analisi dei rischi implica una revisione del documento di Gap Analysis, che si arricchirà di tutti gli elementi necessari all’implementazione delle misure di sicurezza esposte dall’ACN per ottenere la conformità alla direttiva NIS2.

Il passo successivo è la costruzione di una roadmap di remediation, ossia un piano di interventi concreti e progressivi. Non si tratta solo di risolvere vulnerabilità puntuali, ma di disegnare un’evoluzione strutturata che può includere l’adozione del modello Zero Trust, il rafforzamento dei sistemi di controllo degli accessi e l’introduzione di pratiche di monitoraggio continuo.

simone ogadri

“Il Security Assessment è un viaggio che parte dalla consapevolezza, attraversa l’analisi dei rischi e porta a un piano operativo in grado di rendere l’azienda più sicura, resiliente e pronta ad affrontare le sfide future. Il risultato non è solo una lista di problemi, ma una visione chiara e operativa, capace di guidare l’azienda in scelte mirate e sostenibili”.

sintetizza Simone Ogadri.

girl watching in camera in front of datacenter

Scegliere il partner giusto per rafforzare la sicurezza

Un Security Assessment efficace richiede un partner con competenze trasversali, capace di unire conoscenza normativa (NIS2, ISO, IEC, regolamenti di settore), expertise tecnologica (IT, OT, cloud, rete) e visione organizzativa (processi, governance, risk management).

simone ogadri

“La chiave è rivolgersi a un consulente specializzato, che possa garantire metodologia strutturata e risultati concreti. La nostra esperienza sul campo dimostra concretamente il valore di questo approccio. Abbiamo supportato aziende di diversi settori con Security Assessment completi. Nel settore assicurativo, abbiamo rafforzato la sicurezza e allineato le policy di una grande realtà europea. Nel settore industriale, un assessment in ottica NIS2 su un’azienda leader produttrice di scanner ha migliorato la gestione degli incidenti, la resilienza OT e la continuità operativa”

conclude Simone Ogadri.

In un mondo in cui le minacce crescono in modo esponenziale, il Security Assessment non è un esercizio formale, ma un investimento strategico. Permette alle aziende di proteggere il proprio valore, assicurare la continuità operativa, difendere la propria reputazione.

E soprattutto dimostra che IT e OT non possono più essere trattati come mondi separati: solo un approccio integrato rende possibile costruire oggi la sicurezza di domani.

TECH KEYWORDS

CYBERSECURITY ASSESSMENT

RISK MANAGEMENT

OT SECURITY

NIS2 COMPLIANCE

ZERO TRUST ARCHITECTURE

SHARE THE PAGE
Linkedin-icon
Instagram icon
X-icon

Related Insights
Italtel logo
Powered by  GDPR Cookie Compliance
Panoramica privacy

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.