Ogni programma di compliance inizia con una frase apparentemente innocua: “Definire l’ambito”. È un passaggio formale, quasi burocratico. Si stabilisce il perimetro, si identificano i sistemi coinvolti, si documentano le esclusioni. Poi si procede con i controlli.
Eppure, proprio in quel passaggio iniziale, si decide la qualità reale dell’intero sistema.
Perché l’ambito non è una definizione amministrativa. È una dichiarazione di visibilità.
Un perimetro mal definito non produce solo lacune tecniche. Produce una falsa percezione di copertura. È il punto in cui la compliance può diventare selettiva, inconsapevolmente ottimistica, o semplicemente incompleta.
Molte organizzazioni dichiarano un ambito basato su categorie generiche: “sistemi critici”, “applicazioni core”, “infrastruttura PCI”, “servizi essenziali”. Ma raramente traducono queste etichette in attributi misurabili.
Un sistema è “critico” rispetto a cosa?
Un asset è “in scope” secondo quale identificatore?
La CMDB è coerente con la realtà tecnica?
Il problema non è teorico. È matematico.
Se non conosciamo il numero reale di asset, non possiamo conoscere la percentuale coperta dai controlli. E se non conosciamo la percentuale, non possiamo stimare l’esposizione residua.
L’ambito è una questione di proporzione.
Un controllo applicato al 100% del perimetro dichiarato può rappresentare solo il 70% del perimetro reale. E quel 30% invisibile non è neutro. È superficie.
La sicurezza moderna non si gioca nella sofisticazione dei controlli. Si gioca nella precisione del perimetro.
Il mito del “perimetro definito”
Quando si chiede a un’organizzazione quanti asset possiede, raramente si ottiene una risposta immediata e numerica. Si ricevono categorie. Si ricevono range. Si ricevono stime.
Ma un controllo senza denominatore è una percentuale senza senso.
Se diciamo che il 98% dei sistemi è patchato, dobbiamo sapere rispetto a quale totale. Se affermiamo che tutti i sistemi critici sono monitorati, dobbiamo sapere quanti sono realmente critici e secondo quale criterio.
L’ambito non è un elenco. È una struttura di attributi.
Un asset, per essere governabile, deve avere almeno quattro dimensioni misurabili: identificatore univoco, classificazione di criticità, appartenenza a processo, stato di monitoraggio.
Quando queste dimensioni non sono coerenti, la copertura è stimata, non misurata.
E una stima non è governance.
La matematica della copertura reale
Immaginiamo un’organizzazione soggetta a NIS2 con i seguenti dati dichiarati:
- 2.400 asset totali
- 650 asset classificati come “critici”
- 580 asset critici inclusi nel sistema di monitoraggio continuo
- 520 asset critici integrati in vulnerability scanning
- 490 asset critici in log centralizzato
A prima vista la situazione può sembrare sotto controllo. Ma analizziamo le proporzioni.
| Area | Copertura | Totale asset critici | Asset coperti (%) | Asset non coperti (%) | Note |
| Monitoraggio continuo | 580 | 650 | 89,2% | 10,8% | Il 10,8% degli asset critici non è monitorato in tempo reale. |
| Vulnerability scanning | 520 | 650 | 80% | 20% | Il 20% degli asset critici non è soggetto a scansione automatizzata. |
| Logging centralizzato | 490 | 650 | Quasi un quarto degli asset critici non produce log aggregati. | ||
Ora consideriamo un fattore ulteriore: la coerenza della CMDB.
Audit tecnico rivela:
- 150 asset presenti in rete ma non registrati in CMDB
- 45 asset classificati come “non critici” ma appartenenti a processi essenziali
Il perimetro reale si espande.
Nuovo totale asset: 2.550
Nuovi asset critici reali: 695
Ricalcoliamo.
| Tipo copertura | Copertura | Totale asset critici | Asset coperti (%) |
| monitoraggio | 580 | 695 | 83,4% |
| scanning | 520 | 695 | 74,8% |
| logging | 490 | 695 | 70,5% |
La differenza non è cosmetica. È sistemica.
Una discrepanza del 5–10% nel perimetro produce un’esposizione proporzionalmente maggiore, soprattutto quando gli asset “non visti” sono quelli più dinamici o meno governati.
Comparazione: ambito dichiarato vs ambito reale
| Indicatore | Ambito dichiarato | Ambito reale corretto |
| Asset critici totali | 650 | 695 |
| Monitoraggio continuo | 89% | 83% |
| Vulnerability scanning | 80% | 75% |
| Logging centralizzato | 75% | 70% |
Indice di copertura effettiva
Possiamo sintetizzare la qualità dell’ambito con una formula semplice:
Copertura effettiva ≈ (Monitoraggio × Scanning × Logging) / 100
Applicando i dati reali:
83 × 75 × 70 / 10.000
= 435.750 / 10.000
= 43,5%
Significa che meno della metà del perimetro critico è coperto contemporaneamente da monitoraggio, scanning e logging coerente.
Formalmente l’organizzazione può essere conforme. Operativamente la superficie residua è significativa.
Pianificazione risorse basata su attributi
La pianificazione delle risorse non può partire dal numero totale di asset. Deve partire dagli attributi.
Se un asset ha criticità alta, appartiene a un processo essenziale e tratta dati sensibili, il peso di copertura non può essere uguale a quello di un server secondario.
Possiamo introdurre un fattore di ponderazione.
Supponiamo:
- Asset critici peso 3
- Asset medi peso 2
- Asset bassi peso 1
Calcoliamo l’esposizione ponderata:
Asset critici non coperti: 115
Peso 3
115 × 3 = 345 unità di rischio ponderato.
Se aggiungiamo asset medi non coperti (200 × 2 = 400) e asset bassi (300 × 1 = 300), otteniamo:
345 + 400 + 300 = 1.045 unità di esposizione ponderata.
Questo numero fornisce una base concreta per allocare budget e priorità.
L’ambito come atto di trasparenza
Definire l’ambito non è proteggere l’organizzazione. È esporla alla realtà.
Un perimetro preciso può far emergere una copertura più bassa del previsto. Ma quella riduzione apparente è un guadagno di consapevolezza.
Le aziende mature non cercano un ambito rassicurante. Cercano un ambito misurabile.
Perché la sicurezza non è nella percentuale più alta.
È nella percentuale più vera.
📘 Approfondisci il metodo completo nel libro:
🇮🇹 https://www.amazon.it/dp/B0GJCYHP76
🇫🇷 https://www.amazon.fr/dp/B0GJD7T6XG