Ogni controllo nasce per ridurre un rischio. È un atto razionale: identificare una minaccia, progettare una misura, dimostrare che funziona. Eppure, c’è una zona d’ombra in cui la maggior parte delle organizzazioni non entra mai davvero: ciò che il controllo non copre.
Nella cultura della compliance si tende a parlare di copertura. Si elencano i rischi mitigati, si mappano i requisiti normativi, si mostrano le evidenze. Ma raramente si esplicitano gli assunti operativi.
Un controllo di backup protegge dall’indisponibilità dei dati, ma assume che il ripristino venga testato. Un controllo di logging protegge dalla mancata rilevazione, ma assume che il SIEM sia disponibile. Un controllo di accesso protegge dall’abuso interno, ma assume che l’identità sia correttamente classificata.
Ogni controllo contiene un presupposto.
E il presupposto non è neutro. È una variabile.
La maturità non sta nel dichiarare che un rischio è coperto. Sta nel dichiarare quali condizioni devono essere vere affinché lo sia.
Quando un’organizzazione non esplicita gli assunti operativi, crea un’illusione di completezza. Il controllo esiste. Il rischio sembra mitigato. Ma se una delle condizioni implicite cade, la protezione svanisce.
Il rischio non dichiarato non è invisibile. È semplicemente ignorato.
L’assunto come fragilità latente
Immaginiamo un controllo di monitoraggio continuo sugli asset critici. Formalmente, il rischio di attacco non rilevato è mitigato. Ma il controllo presuppone che l’inventario asset sia aggiornato. Se nuovi sistemi vengono deployati senza registrazione in CMDB, il monitoraggio non li include.
Il controllo resta formalmente attivo. Il rischio torna reale.
Lo stesso accade con la segregazione dei ruoli. Se la classificazione HR è imprecisa o ritardata, l’accesso viene assegnato su basi errate. Il controllo di accesso è operativo, ma l’assunto di correttezza del dato è falso.
Il problema non è tecnico. È epistemologico.
La sicurezza si basa su ciò che crediamo vero.
E ciò che crediamo vero deve essere misurato.
Dal rischio coperto al rischio residuo
Ogni controllo dovrebbe dichiarare esplicitamente:
- Quale rischio riduce
- Quale rischio non riduce
- Quali condizioni devono essere soddisfatte
Ma nella pratica si parla quasi esclusivamente del primo punto.
Un controllo di vulnerability management riduce il rischio di sfruttamento di vulnerabilità note. Non riduce il rischio di zero-day. Non riduce il rischio di errori di configurazione manuale. Non riduce il rischio di dipendenze non monitorate.
Quando queste distinzioni non vengono formalizzate, la percezione del rischio residuo si distorce.
Il management vede il controllo. Non vede il confine.
E il confine è il luogo dove nascono gli incidenti.
Analisi tecnica: rischio coperto vs rischio assunto
Scenario simulato:
Organizzazione con 30 controlli operativi.
Analisi strutturata identifica:
- 30 rischi formalmente coperti
- 22 assunti operativi non documentati
- 14 dipendenze implicite
- 9 rischi residui non mappati nel risk register
Calcoliamo ora l’effetto di un singolo assunto critico.
Controllo: backup giornaliero con retention 30 giorni.
Assunto implicito: integrità storage remoto garantita.
Test di integrità rivela:
- 2% file corrotti in campione trimestrale
- 0,5% errori di replica non rilevati
Se l’organizzazione conserva 15 TB di dati critici:
15 TB × 0,02 = 0,3 TB potenzialmente compromessi.
300 GB di dati con integrità incerta.
Formalmente il controllo di backup è attivo. Operativamente il rischio di perdita parziale è reale.
Rischio residuo nel vulnerability management
Controllo: remediation entro 14 giorni.
Dati:
- 160 vulnerabilità critiche nel trimestre
- 150 relative a CVE pubbliche
- 10 relative a configurazioni interne non standard
Il controllo copre le 150 CVE note.
Le 10 vulnerabilità interne derivano da configurazioni non mappate.
6% del rischio resta fuori dal controllo formale.
Se ciascuna vulnerabilità interna insiste su asset critico con impatto stimato €500.000, l’esposizione potenziale è:
10 × 500.000 = €5.000.000 di rischio teorico non governato dal controllo.
Il rischio coperto può essere alto. Il rischio residuo può essere sistemico.
Indice di trasparenza del controllo
Possiamo sintetizzare la maturità di un controllo con una relazione:
Indice trasparenza ≈ (Rischi coperti dichiarati – Assunti impliciti non documentati) / Rischi totali correlati
Scenario:
- 10 rischi correlati a un dominio
- 7 coperti dichiarati
- 3 assunti non documentati
(7 – 3) / 10 = 0,4 → 40%
Significa che solo il 40% del rischio complessivo è realmente compreso e dichiarato.
Il resto è opaco.
Comparazione tra controllo opaco e controllo trasparente
| Elemento | Controllo opaco | Controllo trasparente |
| Rischi dichiarati | Solo coperti | Coperti + residui |
| Assunti operativi | Impliciti | Esplicitati |
| Dipendenze | Non formalizzate | Mappate |
| Rischio residuo | Ignorato | Quantificato |
| Decisione manageriale | Basata su percezione | Basata su scenario reale |
La maturità come atto di onestà tecnica
Dichiarare ciò che un controllo non copre non è un’ammissione di debolezza. È un atto di governo.
Un sistema maturo non promette protezione totale. Promette consapevolezza proporzionata.
La differenza tra compliance e resilienza sta qui.
La compliance dichiara che il controllo esiste.
La resilienza dichiara dove il controllo finisce.
E il punto in cui finisce è il punto in cui inizia la strategia.
📘 Approfondisci il metodo completo nel libro:
🇮🇹 https://www.amazon.it/dp/B0GJCYHP76
🇫🇷 https://www.amazon.fr/dp/B0GJD7T6XG