26 Maggio 2026
Quando un’analisi del rischio restituisce un rating rassicurante su diverse aree del perimetro, un’azienda interpreta solitamente il risultato come una conferma della propria postura di sicurezza. […]
In molte organizzazioni il rischio applicativo viene associato soprattutto ai sistemi visibili, che sostengono i processi essenziali e che, proprio per questo, restano sotto l'attenzione costante dei team IT e cyber.
Esiste però una parte dell'ambiente applicativo che vive in una zona d'ombra, composta da strumenti introdotti durante progetti ormai conclusi o da servizi cloud rimasti attivi per inerzia, ai quali si aggiungono i componenti nati all'interno di ambienti containerizzati che continuano a esistere anche quando il loro scopo originario è stato superato.
Questa parte nascosta dell'infrastruttura rappresenta una delle aree più delicate del Cyber Risk Management, perché tende a sfuggire agli inventari tradizionali e alle attività di controllo periodico, e perché la sua estensione reale è spesso molto più ampia di quanto chi gestisce il rischio sia portato a immaginare. Capire dove si trovano queste applicazioni e perché continuano a esistere è il primo passo per valutare il peso che possono avere sull'esposizione complessiva dell'organizzazione e per riportarle sotto controllo
È raro che queste applicazioni dimenticate escano dalla governance aziendale una volta terminato il loro utilizzo. Più spesso scivolano lentamente fuori dal campo visivo, perché nessuno si occupa più di formalizzarne la dismissione e magari il team che le aveva introdotte ha nel frattempo spostato l’attenzione su altri processi. Capita anche che queste applicazioni restino attive per prudenza, con l’idea che possano ancora tornare utili, sebbene nessuno le utilizzi realmente per lungo tempo.
Per spiegare meglio questa forma di rischio, ci viene in aiuto la metafora del topolino nell’armadio. Finché resta nascosto, sembra che il problema non esista, perché l’armadio è chiuso e la stanza appare in ordine. In realtà il topolino continua a muoversi e a rosicchiare anche quando nessuno lo vede, e il danno che provoca cresce proprio nel tempo in cui resta ignorato. Quando ci si accorge della sua presenza, è inevitabilmente già tardi, tornare alla normalità richiede molto più tempo e molto più sforzo di quanto sarebbe bastato per intervenire subito.
Negli ultimi anni questo fenomeno si è esteso anche agli ambienti containerizzati, dove la possibilità di creare rapidamente nuovi componenti ha reso i team tecnici molto più agili, rendendo però altrettanto difficile mantenere una visione aggiornata di ciò che viene effettivamente eseguito nel tempo.
Un container può nascere ad esempio per testare una nuova funzionalità o per accompagnare una fase progettuale circoscritta; quando non viene rimosso al termine del suo scopo, oppure quando resta collegato a una rete con permessi più ampi del necessario, si trasforma in un elemento nascosto dentro l’infrastruttura. La velocità con cui questi componenti vengono generati supera spesso la capacità dell’organizzazione di tenerne traccia, al punto che un cluster può ospitare carichi di lavoro attivi da tempo senza che il team cyber ne abbia piena consapevolezza.
Oggi, per un CISO o un Risk Manager, è fondamentale capire quali applicazioni comunicano ancora, e se queste comunicazioni rispondono a un’esigenza reale dell’organizzazione oppure sono soltanto un residuo di configurazioni mai rimosse. Lavorare su questi elementi significa avere a disposizione informazioni che spesso non emergono dai documenti interni, ma che diventano determinanti nel momento in cui bisogna decidere dove intervenire prima.
Su questa base è necessario costruire un ordine di priorità che riflette l’esposizione effettiva dell’organizzazione, dando precedenza alle applicazioni che occupano posizioni sensibili nella rete anche quando vengono considerate marginali, e dedicando attenzione proporzionata ai sistemi noti che restano sotto controllo grazie a processi di manutenzione consolidati. Per chi deve poi portare questi temi in un comitato rischi o in un confronto con il board, questo modo di lavorare permette anche di motivare le scelte di investimento e di intervento sulla base di evidenze concrete sul comportamento dell’infrastruttura.
In questo scenario, ESRA interviene automatizzando il discovery non solo di asset fisici, ma anche delle applicazioni in uso, con l’obiettivo di ridurre le omissioni tipiche degli inventari manuali o non aggiornati. La piattaforma ricostruisce le comunicazioni reali all’interno del perimetro osservato e consente di individuare applicazioni non censite o rimaste attive senza un presidio adeguato.
Trovare un’applicazione nascosta è solo il primo passaggio, perché la valutazione concreta nasce dall’analisi delle sue connessioni e dal modo in cui queste incidono sul rischio complessivo. Una piattaforma di Cyber Risk Management data driven consente di trasformare ciò che era opaco in un’informazione utilizzabile, collegando la scoperta tecnica alla valutazione dell’impatto. Per i team cyber e risk questo significa lavorare su una base più solida, meno dipendente dalla memoria delle persone e più vicina al comportamento reale dell’infrastruttura.
Le applicazioni dimenticate sono pericolose perché sembrano innocue. Restano fuori dalle conversazioni principali e occupano spazi marginali, sopravvivendo spesso grazie all’assenza di una decisione esplicita che ne stabilisca la fine, mentre continuano a esistere dentro l’infrastruttura con accessi e comunicazioni che nessuno controlla più da tempo.
Il topolino nell’armadio non aspetta che qualcuno se ne accorga per agire, e lo stesso vale per ciò che resta nascosto dentro un’infrastruttura complessa. La differenza tra un’organizzazione che governa davvero questo rischio e una che lo scopre quando è già troppo tardi dipende dalla disciplina con cui gli strumenti a disposizione vengono usati per guardare anche dove nessuno guarda più, più che dalla loro quantità. Aprire l’armadio in anticipo costa quasi sempre meno, in termini di tempo e di risorse, di quanto costi accorgersi che dentro c’era qualcosa che si muoveva da mesi.
Per chi si occupa di Cyber Risk Management, questo significa includere nella propria strategia anche ciò che oggi non viene guardato, perché è proprio lì che si nascondono le esposizioni più difficili da prevedere e più costose da gestire quando emergono.
ai.esra SpA – strada del Lionetto 6 Torino, Italia, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590 CF e PI 13107650015
“Questo sito si impegna a garantire l’accessibilità digitale secondo la normativa europea (EAA). Per segnalare problemi di accessibilità, scrivi a: ai.esra@ai-esra.com”
ai.esra SpA – strada del Lionetto 6 Torino, Italy, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590
CF e PI 13107650015
© 2024 Esra – Tutti i diritti riservati
