La diffusione del cloud computing e l’adozione massiva di applicazioni SaaS hanno trasformato radicalmente il modo in cui i dati aziendali vengono gestiti nel loro ciclo di vita e la loro protezione si è trasformata da elemento fondamentale della continuità operativa delle organizzazioni a prerequisito per la fiducia degli stakeholder.
Indice degli argomenti
Evoluzione della cybersecurity: dal perimetro al dato
Il conseguente passaggio da cybersecurity di perimetro e di prodotto, a quello di cybersecurity centrata sul dato, ha di fatto consentito la possibilità di valutare in modo dinamico la crescente superficie di esposizione ai rischi e di attivare risposte scalabili, orchestrate e sempre più automatizzate.
In questo nuovo approccio s’inserisce il Data Security Posture Management (DSPM): una categoria emergente di soluzioni pensate per offrire visibilità continua, intelligence contestuale e difesa adattiva dei dati sensibili.
Dal punto di vista tecnico, il DSPM rappresenta molto più di un’evoluzione tecnologica: è un modo diverso, in parte nuovo, di concepire la governance della sicurezza in ambienti moderni, aperti e distribuiti e il suo valore aggiunto si manifesta nella capacità di integrare AI, behavioral analytics, automazione e compliance in un unico framework operativo che dialoga con l’intero ecosistema della sicurezza (SIEM, UEBA, NDR, SOAR).
I limiti delle soluzioni DLP nei moderni contesti aziendali
Ma per provare a comprendere il valore strategico del DSPM, credo sia opportuna una breve analisi di tutto ciò che lo ha preceduto e in parte ancora oggi è largamente adottato: le soluzioni di data loss prevention (DLP) tradizionali.
Nate per proteggere dati localizzati in ambienti circoscritti, i DLP tradizionali si trovano oggi disallineati rispetto alla realtà operativa moderna, fatta di ambienti multi-cloud, piattaforme SaaS, dispositivi mobili, accessi just-in-time e costante mobilità dei dati, per almeno quattro motivi:
Architettura rigida
I DLP sono nati in un’epoca in cui l’architettura IT era fortemente centralizzata e il perimetro di rete ben definito. L’azienda possedeva l’infrastruttura, controllava l’accesso fisico e logico ai sistemi, e i dati risiedevano principalmente su server on-premise o endpoint aziendali. In questo contesto, era relativamente semplice applicare policy di ispezione del traffico in uscita, monitorare i file trasferiti e impedire la copia di documenti riservati
Visibilità frammentata e shadow data
I DLP hanno una visibilità limitata sui dati non strutturati, replicati, derivati o generati dinamicamente. Nell’era del cloud, i dati non risiedono più in un unico punto, ma vengono continuamente copiati, sincronizzati, trasformati e condivisi tra utenti e sistemi. Questo fenomeno – noto come shadow data – è poco visibile ai DLP tradizionali, che si basano su punti di controllo fissi (endpoint, gateway) e non riescono a “seguire” il dato lungo il suo ciclo di vita.
Limitazioni della classificazione basata su pattern
La classificazione dei contenuti in un DLP classico si basa tipicamente su pattern statici, come espressioni regolari, checksum, elenchi predefiniti (es. codici fiscali, numeri di carte di credito), e keyword detection. Sebbene sia efficace in scenari prevedibili e ripetitivi, questo approccio fallisce quando il contenuto è ambiguo, destrutturato o contestuale.
Scarsa automazione e mancanza di contesto comportamentale
I DLP sono stati progettati per reagire a eventi specifici (es. tentativo di stampa di un file riservato), ma non hanno capacità native di analizzare il comportamento nel tempo o di adattare la risposta in funzione del rischio.
DSPM come motore di cyber intelligence distribuita
In questo contesto, il Data Security Posture Management (DSPM) non rappresenta semplicemente un’evoluzione incrementale del DLP, ma una rifondazione concettuale e architetturale della protezione dei dati. Dove il DLP si limita a intercettare contenuti su canali predefiniti, il DSPM esplora e comprende il dato nella sua interezza, ovunque esso risieda. Dove il DLP applica regole pressoché statiche, il DSPM adatta le policy al rischio osservato in tempo reale. Dove il DLP isola eventi, il DSPM integra comportamenti, contesto e contenuto in un unico flusso decisionale automatizzato.
Ciò che distingue il DSPM è la sua capacità di seguire il ciclo di vita del dato, non solo nei suoi spostamenti, ma anche nelle trasformazioni, negli accessi utente, nelle modifiche di permessi, e nelle esposizioni accidentali o dolose. Grazie all’integrazione di intelligenza artificiale, behavioral analytics, automazione SOAR e capacità di audit continuo, le soluzioni DSPM si trasformano in un motore di cyber intelligence predittiva, capace non solo di rilevare ma anche di anticipare il rischio.
L’evoluzione della data detection in chiave predittiva
Per comprendere al meglio il cambiamento imposto dalle soluzioni di DSPM, credo sia utile fare un accenno all’evoluzione della “data detection” negli ultimi 20 anni, inquadrandola in tre fasi principali:
- Fase reattiva (pre-2010) in cui i log venivano sì raccolti, ma analizzati solo dopo un incidente, l’automazione era quasi assente, le capacità di risposta molto lente e la possibilità di perdita d’informazioni rilevanti era frequente.
- Fase proattiva (2010–2020) in cui l’introduzione dei sistemi SIEM ha permesso la correlazione automatica degli eventi e la generazione di alert intelligenti, ma la capacità di interpretare il contesto in costante mutamente rimaneva limitata.
- Fase predittiva e intelligente (2020–oggi) in cui l’adozione di tecnologie di intelligenza artificiale e machine learning consente non solo di rilevare minacce note, ma di anticipare comportamenti sospetti e l’integrazione di strumenti come UEBA (User and Entity Behavior Analytics), SOAR e AI Observability rappresenta una svolta nella capacità di protezione.
Intelligenza comportamentale e insider threat nel DSPM
A questo proposito, uno degli aspetti più rilevanti delle soluzioni DSPM è la possibilità d’integrazione con modelli di intelligenza artificiale, in particolare quelli focalizzati sull’analisi comportamentale. I sistemi UEBA, ad esempio, analizzano il comportamento storico di utenti e dispositivi per costruire profili dinamici e identificare deviazioni potenzialmente sospette.
Ciò significa ad esempio, che un buon DSPM potrebbe essere in grado di riconoscere se un dipendente tenti di accedere a dati in orari inconsueti, o se tenti di scaricare un numero anomalo di documenti magari prima di una richiesta di dimissioni.
Strategie di mitigazione dei rischi interni con il DSPM
Come tutti sappiamo, le insider threats, rappresentano oggi una delle categorie di minacce più subdole e difficili da rilevare sia perché spesso la tendenza è quella di concentrarsi sul perimetro da difendere, ma soprattutto perché, a differenza degli attacchi esterni, gli attori interni (dipendenti, collaboratori, utenti privilegiati) operano da una posizione legittima, spesso con accessi autorizzati.
In questo scenario, le soluzioni DSPM giocano un ruolo chiave nella mitigazione di questi rischi, rendendo possibile una mappatura di precisioni su chi abbia accesso a quali dati, e con quale livello di privilegio; rilevando comportamenti anomali nel tempo, come il cosiddetto data hoarding (accumulo eccessivo di file), l’esfiltrazione lenta o la manipolazione di permessi; permettendo l’implementazione di policy basate sul rischio che adattano automaticamente la risposta in base al contesto (es. richiesta MFA per accessi anomali, revoca temporanea dell’accesso); fornendo un tracciamento completo a fini investigativi e di audit, migliorando non da ultima anche la postura in termini di compliance.
Integrazione del DSPM nell’ecosistema di sicurezza
Per sfruttare al meglio le soluzioni DSPM, è necessario ricordare che queste non debbano essere considerate come sostituto delle tecnologie e delle soluzioni esistenti, ma piuttosto possano essere integrate come ulteriore nodo di orchestrazione, in grado di arricchire, connettere e attivare l’intero ecosistema della cybersecurity aziendale.
Questo modello non sostituisce i singoli strumenti, ma li eleva a una logica più intelligente e orientata al rischio reale. In un contesto dove ogni secondo è prezioso e ogni errore può significare compromissione, la capacità di orchestrare detection, contesto e risposta in modo integrato è ciò che distingue un’architettura di sicurezza moderna da una legacy.
Ad esempio, l’integrazione tra DSPM, SIEM, UEBA e NDR potrebbe alimentare un motore decisionale unificato, capace di trasformare segnali sparsi in azioni coordinate e tempestive.
La sinergia tra DSPM, SIEM, UEBA e NDR
Partiamo dal SIEM – Security Information and Event Management, che di fatto rappresenta il cuore analitico dei Security Operations Center (SOC), aggregando log ed eventi da una vasta gamma di fonti. L’integrazione con tecnologie il DSPM non solo può migliorare la precisione degli alert, riducendo il rumore di fondo, ma può ottimizzare le attività riducendo il tempo medio di rilevamento e risposta (MTTD/MTTR).
Le tecnologie UEBA – User and Entity Behavior Analytics, introducono un’ulteriore dimensione comportamentale nell’analisi della sicurezza dei dati basandosi su modelli di machine learning, identificando pattern anomali nei comportamenti di utenti, identità, applicazioni e dispositivi. Se integrate con DSPM, queste informazioni possono essere associate a specifici asset informativi sensibili, creando un collegamento diretto tra comportamento e contenuto a rischio, migliorando la capacità di prioritizzazione, investigazione e contenimento degli incidenti. Una simile sinergia, di fatto, consente ai team SOC di rispondere non solo a chi si comporta in modo anomalo, ma anche a cosa è stato toccato: ad esempio, un account di servizio che accede in modo anomalo a un archivio contenente report finanziari non pubblici può essere rapidamente identificato come vettore di un rischio reale.
NDR – Network Detection and Response, rappresenta l’evoluzione della visibilità sul traffico di rete, offrendo capacità di rilevamento basate su AI e analisi comportamentale applicate ai flussi ed è particolarmente utile per identificare movimenti laterali, esfiltrazioni lente e tecniche stealth spesso usate dagli attori più sofisticati. Se combinato con il DSPM, il NDR può rilevare non solo se un determinato tipo di traffico sia sospetto, ma anche se quel traffico stia tentando di raggiungere o compromettere dati sensibili, indicando quali asset informativi possano essere coinvolti, con quale livello di sensibilità, e quali azioni siano consentite secondo la policy. Questa azione combinata consente di attivare contromisure più mirate come isolare l’host, avviare la cifratura preventiva di dati a rischio, o inviare un segnale al motore SOAR per l’escalation automatica.
Roadmap per l’implementazione DSPM in tre fasi
Ma introdurre una piattaforma DSPM richiede una strategia chiara e un coinvolgimento coordinato tra diverse componenti aziendali come i team di cybersecurity, IT, governance e legale, che pur essendo animati da obiettivi comuni, di solito tendono a parlare lingue diversi o a interpretare in modo distinto le varie priorità in termini di sicurezza. Per superare queste diverse sensibilità può essere adottata una roadmap efficace articolata in tre fasi sulla quale costruire la solidità del sistema almeno nel medio periodo.
Fase 1: assessment e mappatura del rischio informativo
La prima fase deve necessariamente essere dedicata alla comprensione profonda del patrimonio informativo aziendale. Non è possibile proteggere ciò che non si conosce, e non è possibile valutare il rischio senza un quadro aggiornato e completo dell’infrastruttura dati. L’obiettivo dell’assessment iniziale è quindi triplice.
In primo luogo, occorre mappare l’infrastruttura dati esistente: identificando ad esempio tutti i repository, i database, gli ambienti cloud, i servizi SaaS e file system dove i dati aziendali sono archiviati o transitano. In secondo luogo, vanno individuati e prioritizzati i dati in base alla loro natura (personali, sanitari, finanziari, segreti industriali, ecc.
Infine, sulla base delle informazioni raccolte, si procede alla valutazione del rischio, considerando, tra gli altri, fattori come il livello di esposizione del dato (es. pubblico, interno, riservato), la presenza di permessi eccessivi o configurazioni errate, la possibilità di accesso da parte di terze parti non autorizzate, l’assenza di cifratura, segregazione o controllo dei privilegi. L’obiettivo di questa fase è quello di ottenere una mappatura aggiornata della superficie dati esposta, utile non solo per definire le priorità di intervento, ma anche per misurare l’efficacia delle azioni successive.
Fase 2: orchestrazione e risposta dinamica al rischio
Una volta ottenuta visibilità sullo stato reale dei dati, è il momento di integrare il DSPM nell’ecosistema operativo esistente, in modo da attivare capacità di risposta e automazione. L’obiettivo di questa fase è passare dalla rilevazione alla governance.
In questo caso, il primo passo è integrare il DSPM agli altri strumenti di sicurezza, in particolare al SIEM, per la correlazione e prioritizzazione degli alert, alla piattaforma IAM, per la gestione dei privilegi e delle identità, ai motori SOAR per l’orchestrazione della risposta.
Parallelamente, è fondamentale definire o rivedere policy di intervento basate sul rischio, stabilendo quali azioni attivare in funzione della criticità del dato e del contesto di accesso. Queste policy devono essere dinamiche (cioè adattabili al comportamento osservato), granulari (distinte per tipo di dato, utente e destinazione), automatizzabili (integrabili nei flussi operativi del SOC). Infine, è utile configurare dashboard operative, che raccolgano metriche chiave come il numero di asset contenenti dati sensibili, il tasso di esposizione per categoria di rischio, la frequenza di accessi anomali, il tempo medio di risoluzione degli incidenti legati ai dati. L’obiettivo di queste dashboard è quello di darci una visione operativa che tenga sotto controllo e migliori la postura di cybersecurity, facilitando il reporting verso il top management per le future decisioni strategiche.
Fase 3: evoluzione del DSPM in chiave strategica e normativa
La terza fase rappresenta il momento in cui la soluzione DSPM evolve da strumento operativo a componente strategica della governance dei dati, integrando gli aspetti puramente tecnologici con una chiara visione degli obiettivi, con i processi necessari al loro raggiungimento e con tutti gli strumenti a supporto, tra cui, la formazione del personale, il corretto monitoraggio della matrice di responsabilità di tutte le funzioni impattate dai dati in qualsiasi stato si trovino (at rest, in transit, in use), la revisione periodica dei privilegi e la validazione continua dei modelli di AI integrati.
A tale proposito, poiché molte funzionalità del DSPM si basano su algoritmi di machine learning e intelligenza artificiale, è indispensabile condurre audit regolari, analizzare l’accuratezza dei modelli, gestire i falsi positivi/negativi e assicurare livelli adeguati di spiegabilità (explainability), soprattutto in ambiti regolamentati e per garantire la conformità ai requisiti cogenti con il Regolamento europeo sull’Intelligenza Artificiale, o a standard di adozione volontaria come la ISO/IEC 42001:2023.
Il valore adattivo del DSPM nella sicurezza dei dati
Il contesto attuale impone un cambio di paradigma nella protezione dei dati. L’approccio statico e reattivo dei sistemi DLP tradizionali non è più adeguato per affrontare un ambiente dove:
- I dati si muovono liberamente tra cloud, SaaS e dispositivi mobili;
- Gli attori minacciosi sono sofisticati, silenziosi e persistenti;
- Le normative richiedono tracciabilità, controllo e capacità di audit in tempo reale.
In questo scenario, il DSPM emerge come la soluzione più moderna e adatta per rispondere a queste sfide. Non si limita a identificare dati sensibili, ma ne comprende il contesto, valuta il rischio e attiva una risposta coerente e orchestrata. Quando integrato con AI, SIEM, UEBA e NDR, il DSPM diventa il fulcro di un’architettura di cybersecurity data-centric, predittiva e scalabile.
