Intervista a Rocco Sicilia, ethical hacker, Cyber Security Consultant e Researcher
October 27, 2025
In questa intervista, Rocco Sicilia — ethical hacker, Cyber Security Consultant and Researcher— racconta come si costruisce una postura di sicurezza efficace, capace di unire tecnologia, governance e cultura aziendale. Sicilia spiega come le aziende possano trasformare la sicurezza da obbligo tecnico a valore condiviso, rafforzando la resilienza organizzativa e la consapevolezza interna.
Rocco, come si definisce la postura di sicurezza di un’azienda e in che modo la tua esperienza nella sicurezza offensiva contribuisce a questo percorso?
Per me significa analizzare in modo critico come l’organizzazione è strutturata, impiegando la mia competenza nella sicurezza offensiva per osservare “da dentro” e “da fuori” le sue vulnerabilità e i suoi punti di forza.
Lo scopo ultimo è di costruire una postura di sicurezza efficace, non limitata alla componente tecnologica, ma che integri la cultura aziendale, regole e governance.
Una postura solida parte infatti dalla consapevolezza che è fondamentale diffondere la cultura della sicurezza. Le politiche e le normative, da cui poi derivano le procedure operative, devono sì supportare l’IT, ma anche aiutare le figure non tecniche a comprendere meglio un mondo ipertecnologico e complesso, che spesso appare distante dalle loro competenze.
Secondo la mia esperienza, una gran parte della maturità nella sicurezza aziendale nasce proprio da qui: quando la regolamentazione e le policy diventano strumenti culturali, capaci di rendere la sicurezza un valore condiviso, non solo un obbligo tecnico.
Come sei diventato un hacker ‘etico’, una figura positiva in questo ambito?
Questo percorso si è evoluto naturalmente come frutto del periodo storico. Quando ho intrapreso questa professione, quindi nei primi anni 2000, non esistevano le figure di penetration tester come le intendiamo oggi, poche aziende avevano esigenze strutturate in questo ambito. Non c’era un vero mercato che richiedeva queste figure professionali. Nel secondo decennio, invece, è successo qualcosa a livello mondiale: lo sviluppo delle criptovalute e l’elevata informatizzazione dei processi hanno aperto di fatto ad un nuovo business per la criminalità. Una vera e propria “tempesta perfetta”, in cui la tecnologia è diventata pervasiva e i nuovi metodi di trasferimento di valuta — come le criptovalute — rendevano molto più difficile tracciare gli autori delle transazioni. Questo contesto ha prodotto l’ambiente ideale per i criminali informatici , ma anche un forte stimolo per le aziende, che hanno iniziato a testare attivamente la propria resilienza e la capacità di difendersi da attacchi informatici reali.
Di conseguenza, la figura professionale di chi faceva penetration testing è diventata molto più richiesta, e sono nate tantissime figure più verticali e specializzate su diversi ambiti: c’è chi opera solo nel testing di applicazioni web, chi nel mondo fisico, chi nella verifica delle infrastrutture complesse.
Nel tempo sono stati introdotti anche temi più trasversali come le attività di red teaming, ovvero sessioni di test che simulano un attacco reale, riproducendo comportamenti, strategie e obiettivi di un vero “attore malevolo” (bad actor) — per mettere alla prova non solo la tecnologia, ma anche i processi e le competenze del personale dell’organizzazione.
Un esempio concreto è il framework TIBER (Threat Intelligence-Based Ethical Red Teaming), introdotto dalla Banca Centrale Europea tra il 2018 e il 2019.
Un modello che richiede alle banche di eseguire simulazioni di attacco realistiche (Threat-Led Penetration Test) per valutare la postura complessiva di sicurezza.
Questa formalizzazione ha spinto il settore finanziario — e, a cascata, molti altri — a costruire framework strutturati di testing, contribuendo a rendere la professione del red teamer sempre più richiesta, strutturata e necessaria.
Il modo in cui è evoluto il settore rispecchia almeno in parte le mie aspirazioni edho continuato su questa strada.
Ecco benissimo, si spaventano le aziende quando tu dici che sei un “good hacker”? Come la prendono?
Premesso che uso volutamente terminologie meno evocative, dipende molto dal livello di maturità dell’azienda.
Alcune, più che essere spaventate, fanno un po’ fatica a capire davvero che ruolo abbiamo.
Il primo approccio ai test di sicurezza, infatti, non è così scontato: anche se questi framework esistono da anni, non tutte le aziende li hanno ancora adottati in modo strutturato.
Io, personalmente, lavoro soprattutto con realtà abbastanza grandi e organizzate, quindi più abituate a questo tipo di attività.
In questi contesti non vedo paura verso la figura del red teamer o dell’ethical hacker, ma piuttosto preoccupazione per i risultati. Di solito veniamo chiamati dopo che l’azienda ha già lavorato sulla propria sicurezza — magari ha ottenuto una certificazione, come la ISO 27001 — e vuole capire se quello che ha eseguito “sulla carta” funziona davvero nella pratica.
Il test di sicurezza, in fondo, è un po’ la prova del nove: serve a vedere se le misure messe in campo reggono a un attacco simulato.
Non è raro che emergano cose da migliorare, ma è assolutamente normale.
Le aziende invulnerabili non esistono: il punto non è non trovare problemi, ma individuare in modo mirato le lacune che possono diventare vulnerabilità reali.
Alla fine, il test serve proprio a questo: trasformare le criticità in opportunità per crescere e rafforzarsi.
In che modo standard come la ISO 27001 possono contribuire a rendere un’organizzazione più resiliente, sia nel rafforzare le difese preventive sia nel gestire situazioni di crisi come incidenti di sicurezza o data breach?
Ti do una risposta molto operativa, dal mio punto di vista offensivo.
Quando lavoro sul campo, uno dei grandi vantaggi dei percorsi di certificazione è sviluppare una postura coerente sia dal punto di vista tecnico sia da quello organizzativo. Le certificazioni aiutano a creare buone pratiche, una comunicazione interna chiara e una governance definita.
Spesso, infatti, noto un forte scollamento tra ciò che il mondo IT mette in pratica e ciò che viene definito a livello di governance e di controllo.
Molte pratiche vengono implementate senza un controllo effettivo che misuri davvero la loro efficacia: si fanno perché “è giusto farle”, ma non c’è un meccanismo di verifica che dica se funzionano o portano benefici.
Il grande valore di adottare un framework come la ISO 27001 è proprio quello di mettere ordine dove l’IT da solo non può arrivare avendo un confine strutturale, definendo una governance chiara e misurabile.
La ISO 27001, secondo me, rappresenta bene questo tipo di esigenza: sin dai primi passi e dai primi controlli si nota che non è solo una questione tecnica, ma riguarda l’intera azienda.
Serve coinvolgere i dipartimenti delle Risorse umane, Finanze, Legale, figure che spesso non erano mai state incluse prima nei processi di sicurezza delle informazioni.
Ho visto aziende in cui il dipartimento delle Risorse Umane, fino al giorno prima, non era mai stato coinvolto nella sicurezza, mentre l’IT aveva sempre lavorato per conto proprio.
Non è una colpa, semplicemente mancava una guida di governance e una roadmap chiara.
Quando questa viene definita, i processi iniziano a funzionare meglio: tutti lavorano nella stessa direzione, ma senza più la frammentazione e la disorganizzazione tipiche di chi opera in compartimenti stagni.
Come mai hai deciso di partecipare al nostro webinar sulla NIS2: cosa ti è piaciuto in questa idea?
In generale, sono sempre molto positivo e propositivo quando c’è l’occasione di parlare a un pubblico che vuole capire meglio come funziona il mondo della sicurezza informatica e, più in generale, dell’information security.
La mia principale motivazione è quella di condividere esperienze concrete, che possano aiutare chi si avvicina a questo settore a cogliere sia il valore che la complessità del nostro lavoro.
Se non hai potuto partecipare al nostro webinar puoi ottenere la registrazione completa inserendo i tuoi dati nel form.
In questa intervista, Rocco Sicilia — ethical hacker, Cyber Security Consultant and Researcher— racconta come si costruisce una postura di sicurezza efficace, capace di unire tecnologia, governance e cultura aziendale. Sicilia spiega come le aziende possano trasformare la sicurezza da obbligo tecnico a valore condiviso, rafforzando la resilienza organizzativa e la consapevolezza interna.
Rocco, come si definisce la postura di sicurezza di un’azienda e in che modo la tua esperienza nella sicurezza offensiva contribuisce a questo percorso?
Per me significa analizzare in modo critico come l’organizzazione è strutturata, impiegando la mia competenza nella sicurezza offensiva per osservare “da dentro” e “da fuori” le sue vulnerabilità e i suoi punti di forza.
Lo scopo ultimo è di costruire una postura di sicurezza efficace, non limitata alla componente tecnologica, ma che integri la cultura aziendale, regole e governance.
Una postura solida parte infatti dalla consapevolezza che è fondamentale diffondere la cultura della sicurezza. Le politiche e le normative, da cui poi derivano le procedure operative, devono sì supportare l’IT, ma anche aiutare le figure non tecniche a comprendere meglio un mondo ipertecnologico e complesso, che spesso appare distante dalle loro competenze.
Secondo la mia esperienza, una gran parte della maturità nella sicurezza aziendale nasce proprio da qui: quando la regolamentazione e le policy diventano strumenti culturali, capaci di rendere la sicurezza un valore condiviso, non solo un obbligo tecnico.
Come sei diventato un hacker ‘etico’, una figura positiva in questo ambito?
Questo percorso si è evoluto naturalmente come frutto del periodo storico. Quando ho intrapreso questa professione, quindi nei primi anni 2000, non esistevano le figure di penetration tester come le intendiamo oggi, poche aziende avevano esigenze strutturate in questo ambito. Non c’era un vero mercato che richiedeva queste figure professionali. Nel secondo decennio, invece, è successo qualcosa a livello mondiale: lo sviluppo delle criptovalute e l’elevata informatizzazione dei processi hanno aperto di fatto ad un nuovo business per la criminalità. Una vera e propria “tempesta perfetta”, in cui la tecnologia è diventata pervasiva e i nuovi metodi di trasferimento di valuta — come le criptovalute — rendevano molto più difficile tracciare gli autori delle transazioni. Questo contesto ha prodotto l’ambiente ideale per i criminali informatici , ma anche un forte stimolo per le aziende, che hanno iniziato a testare attivamente la propria resilienza e la capacità di difendersi da attacchi informatici reali.
Di conseguenza, la figura professionale di chi faceva penetration testing è diventata molto più richiesta, e sono nate tantissime figure più verticali e specializzate su diversi ambiti: c’è chi opera solo nel testing di applicazioni web, chi nel mondo fisico, chi nella verifica delle infrastrutture complesse.
Nel tempo sono stati introdotti anche temi più trasversali come le attività di red teaming, ovvero sessioni di test che simulano un attacco reale, riproducendo comportamenti, strategie e obiettivi di un vero “attore malevolo” (bad actor) — per mettere alla prova non solo la tecnologia, ma anche i processi e le competenze del personale dell’organizzazione.
Un esempio concreto è il framework TIBER (Threat Intelligence-Based Ethical Red Teaming), introdotto dalla Banca Centrale Europea tra il 2018 e il 2019.
Un modello che richiede alle banche di eseguire simulazioni di attacco realistiche (Threat-Led Penetration Test) per valutare la postura complessiva di sicurezza.
Questa formalizzazione ha spinto il settore finanziario — e, a cascata, molti altri — a costruire framework strutturati di testing, contribuendo a rendere la professione del red teamer sempre più richiesta, strutturata e necessaria.
Il modo in cui è evoluto il settore rispecchia almeno in parte le mie aspirazioni edho continuato su questa strada.
Ecco benissimo, si spaventano le aziende quando tu dici che sei un “good hacker”? Come la prendono?
Premesso che uso volutamente terminologie meno evocative, dipende molto dal livello di maturità dell’azienda.
Alcune, più che essere spaventate, fanno un po’ fatica a capire davvero che ruolo abbiamo.
Il primo approccio ai test di sicurezza, infatti, non è così scontato: anche se questi framework esistono da anni, non tutte le aziende li hanno ancora adottati in modo strutturato.
Io, personalmente, lavoro soprattutto con realtà abbastanza grandi e organizzate, quindi più abituate a questo tipo di attività.
In questi contesti non vedo paura verso la figura del red teamer o dell’ethical hacker, ma piuttosto preoccupazione per i risultati. Di solito veniamo chiamati dopo che l’azienda ha già lavorato sulla propria sicurezza — magari ha ottenuto una certificazione, come la ISO 27001 — e vuole capire se quello che ha eseguito “sulla carta” funziona davvero nella pratica.
Il test di sicurezza, in fondo, è un po’ la prova del nove: serve a vedere se le misure messe in campo reggono a un attacco simulato.
Non è raro che emergano cose da migliorare, ma è assolutamente normale.
Le aziende invulnerabili non esistono: il punto non è non trovare problemi, ma individuare in modo mirato le lacune che possono diventare vulnerabilità reali.
Alla fine, il test serve proprio a questo: trasformare le criticità in opportunità per crescere e rafforzarsi.
In che modo standard come la ISO 27001 possono contribuire a rendere un’organizzazione più resiliente, sia nel rafforzare le difese preventive sia nel gestire situazioni di crisi come incidenti di sicurezza o data breach?
Ti do una risposta molto operativa, dal mio punto di vista offensivo.
Quando lavoro sul campo, uno dei grandi vantaggi dei percorsi di certificazione è sviluppare una postura coerente sia dal punto di vista tecnico sia da quello organizzativo. Le certificazioni aiutano a creare buone pratiche, una comunicazione interna chiara e una governance definita.
Spesso, infatti, noto un forte scollamento tra ciò che il mondo IT mette in pratica e ciò che viene definito a livello di governance e di controllo.
Molte pratiche vengono implementate senza un controllo effettivo che misuri davvero la loro efficacia: si fanno perché “è giusto farle”, ma non c’è un meccanismo di verifica che dica se funzionano o portano benefici.
Il grande valore di adottare un framework come la ISO 27001 è proprio quello di mettere ordine dove l’IT da solo non può arrivare avendo un confine strutturale, definendo una governance chiara e misurabile.
La ISO 27001, secondo me, rappresenta bene questo tipo di esigenza: sin dai primi passi e dai primi controlli si nota che non è solo una questione tecnica, ma riguarda l’intera azienda.
Serve coinvolgere i dipartimenti delle Risorse umane, Finanze, Legale, figure che spesso non erano mai state incluse prima nei processi di sicurezza delle informazioni.
Ho visto aziende in cui il dipartimento delle Risorse Umane, fino al giorno prima, non era mai stato coinvolto nella sicurezza, mentre l’IT aveva sempre lavorato per conto proprio.
Non è una colpa, semplicemente mancava una guida di governance e una roadmap chiara.
Quando questa viene definita, i processi iniziano a funzionare meglio: tutti lavorano nella stessa direzione, ma senza più la frammentazione e la disorganizzazione tipiche di chi opera in compartimenti stagni.
Come mai hai deciso di partecipare al nostro webinar sulla NIS2: cosa ti è piaciuto in questa idea?
In generale, sono sempre molto positivo e propositivo quando c’è l’occasione di parlare a un pubblico che vuole capire meglio come funziona il mondo della sicurezza informatica e, più in generale, dell’information security.
La mia principale motivazione è quella di condividere esperienze concrete, che possano aiutare chi si avvicina a questo settore a cogliere sia il valore che la complessità del nostro lavoro.
Se non hai potuto partecipare al nostro webinar puoi ottenere la registrazione completa inserendo i tuoi dati nel form.
In questa intervista, Rocco Sicilia — ethical hacker, Cyber Security Consultant and Researcher— racconta come si costruisce una postura di sicurezza efficace, capace di unire tecnologia, governance e cultura aziendale. Sicilia spiega come le aziende possano trasformare la sicurezza da obbligo tecnico a valore condiviso, rafforzando la resilienza organizzativa e la consapevolezza interna.
Rocco, come si definisce la postura di sicurezza di un’azienda e in che modo la tua esperienza nella sicurezza offensiva contribuisce a questo percorso?
Per me significa analizzare in modo critico come l’organizzazione è strutturata, impiegando la mia competenza nella sicurezza offensiva per osservare “da dentro” e “da fuori” le sue vulnerabilità e i suoi punti di forza.
Lo scopo ultimo è di costruire una postura di sicurezza efficace, non limitata alla componente tecnologica, ma che integri la cultura aziendale, regole e governance.
Una postura solida parte infatti dalla consapevolezza che è fondamentale diffondere la cultura della sicurezza. Le politiche e le normative, da cui poi derivano le procedure operative, devono sì supportare l’IT, ma anche aiutare le figure non tecniche a comprendere meglio un mondo ipertecnologico e complesso, che spesso appare distante dalle loro competenze.
Secondo la mia esperienza, una gran parte della maturità nella sicurezza aziendale nasce proprio da qui: quando la regolamentazione e le policy diventano strumenti culturali, capaci di rendere la sicurezza un valore condiviso, non solo un obbligo tecnico.
Come sei diventato un hacker ‘etico’, una figura positiva in questo ambito?
Questo percorso si è evoluto naturalmente come frutto del periodo storico. Quando ho intrapreso questa professione, quindi nei primi anni 2000, non esistevano le figure di penetration tester come le intendiamo oggi, poche aziende avevano esigenze strutturate in questo ambito. Non c’era un vero mercato che richiedeva queste figure professionali. Nel secondo decennio, invece, è successo qualcosa a livello mondiale: lo sviluppo delle criptovalute e l’elevata informatizzazione dei processi hanno aperto di fatto ad un nuovo business per la criminalità. Una vera e propria “tempesta perfetta”, in cui la tecnologia è diventata pervasiva e i nuovi metodi di trasferimento di valuta — come le criptovalute — rendevano molto più difficile tracciare gli autori delle transazioni. Questo contesto ha prodotto l’ambiente ideale per i criminali informatici , ma anche un forte stimolo per le aziende, che hanno iniziato a testare attivamente la propria resilienza e la capacità di difendersi da attacchi informatici reali.
Di conseguenza, la figura professionale di chi faceva penetration testing è diventata molto più richiesta, e sono nate tantissime figure più verticali e specializzate su diversi ambiti: c’è chi opera solo nel testing di applicazioni web, chi nel mondo fisico, chi nella verifica delle infrastrutture complesse.
Nel tempo sono stati introdotti anche temi più trasversali come le attività di red teaming, ovvero sessioni di test che simulano un attacco reale, riproducendo comportamenti, strategie e obiettivi di un vero “attore malevolo” (bad actor) — per mettere alla prova non solo la tecnologia, ma anche i processi e le competenze del personale dell’organizzazione.
Un esempio concreto è il framework TIBER (Threat Intelligence-Based Ethical Red Teaming), introdotto dalla Banca Centrale Europea tra il 2018 e il 2019.
Un modello che richiede alle banche di eseguire simulazioni di attacco realistiche (Threat-Led Penetration Test) per valutare la postura complessiva di sicurezza.
Questa formalizzazione ha spinto il settore finanziario — e, a cascata, molti altri — a costruire framework strutturati di testing, contribuendo a rendere la professione del red teamer sempre più richiesta, strutturata e necessaria.
Il modo in cui è evoluto il settore rispecchia almeno in parte le mie aspirazioni edho continuato su questa strada.
Ecco benissimo, si spaventano le aziende quando tu dici che sei un “good hacker”? Come la prendono?
Premesso che uso volutamente terminologie meno evocative, dipende molto dal livello di maturità dell’azienda.
Alcune, più che essere spaventate, fanno un po’ fatica a capire davvero che ruolo abbiamo.
Il primo approccio ai test di sicurezza, infatti, non è così scontato: anche se questi framework esistono da anni, non tutte le aziende li hanno ancora adottati in modo strutturato.
Io, personalmente, lavoro soprattutto con realtà abbastanza grandi e organizzate, quindi più abituate a questo tipo di attività.
In questi contesti non vedo paura verso la figura del red teamer o dell’ethical hacker, ma piuttosto preoccupazione per i risultati. Di solito veniamo chiamati dopo che l’azienda ha già lavorato sulla propria sicurezza — magari ha ottenuto una certificazione, come la ISO 27001 — e vuole capire se quello che ha eseguito “sulla carta” funziona davvero nella pratica.
Il test di sicurezza, in fondo, è un po’ la prova del nove: serve a vedere se le misure messe in campo reggono a un attacco simulato.
Non è raro che emergano cose da migliorare, ma è assolutamente normale.
Le aziende invulnerabili non esistono: il punto non è non trovare problemi, ma individuare in modo mirato le lacune che possono diventare vulnerabilità reali.
Alla fine, il test serve proprio a questo: trasformare le criticità in opportunità per crescere e rafforzarsi.
In che modo standard come la ISO 27001 possono contribuire a rendere un’organizzazione più resiliente, sia nel rafforzare le difese preventive sia nel gestire situazioni di crisi come incidenti di sicurezza o data breach?
Ti do una risposta molto operativa, dal mio punto di vista offensivo.
Quando lavoro sul campo, uno dei grandi vantaggi dei percorsi di certificazione è sviluppare una postura coerente sia dal punto di vista tecnico sia da quello organizzativo. Le certificazioni aiutano a creare buone pratiche, una comunicazione interna chiara e una governance definita.
Spesso, infatti, noto un forte scollamento tra ciò che il mondo IT mette in pratica e ciò che viene definito a livello di governance e di controllo.
Molte pratiche vengono implementate senza un controllo effettivo che misuri davvero la loro efficacia: si fanno perché “è giusto farle”, ma non c’è un meccanismo di verifica che dica se funzionano o portano benefici.
Il grande valore di adottare un framework come la ISO 27001 è proprio quello di mettere ordine dove l’IT da solo non può arrivare avendo un confine strutturale, definendo una governance chiara e misurabile.
La ISO 27001, secondo me, rappresenta bene questo tipo di esigenza: sin dai primi passi e dai primi controlli si nota che non è solo una questione tecnica, ma riguarda l’intera azienda.
Serve coinvolgere i dipartimenti delle Risorse umane, Finanze, Legale, figure che spesso non erano mai state incluse prima nei processi di sicurezza delle informazioni.
Ho visto aziende in cui il dipartimento delle Risorse Umane, fino al giorno prima, non era mai stato coinvolto nella sicurezza, mentre l’IT aveva sempre lavorato per conto proprio.
Non è una colpa, semplicemente mancava una guida di governance e una roadmap chiara.
Quando questa viene definita, i processi iniziano a funzionare meglio: tutti lavorano nella stessa direzione, ma senza più la frammentazione e la disorganizzazione tipiche di chi opera in compartimenti stagni.
Come mai hai deciso di partecipare al nostro webinar sulla NIS2: cosa ti è piaciuto in questa idea?
In generale, sono sempre molto positivo e propositivo quando c’è l’occasione di parlare a un pubblico che vuole capire meglio come funziona il mondo della sicurezza informatica e, più in generale, dell’information security.
La mia principale motivazione è quella di condividere esperienze concrete, che possano aiutare chi si avvicina a questo settore a cogliere sia il valore che la complessità del nostro lavoro.
Se non hai potuto partecipare al nostro webinar puoi ottenere la registrazione completa inserendo i tuoi dati nel form.
In questa intervista, Rocco Sicilia — ethical hacker, Cyber Security Consultant and Researcher— racconta come si costruisce una postura di sicurezza efficace, capace di unire tecnologia, governance e cultura aziendale. Sicilia spiega come le aziende possano trasformare la sicurezza da obbligo tecnico a valore condiviso, rafforzando la resilienza organizzativa e la consapevolezza interna.
Rocco, come si definisce la postura di sicurezza di un’azienda e in che modo la tua esperienza nella sicurezza offensiva contribuisce a questo percorso?
Per me significa analizzare in modo critico come l’organizzazione è strutturata, impiegando la mia competenza nella sicurezza offensiva per osservare “da dentro” e “da fuori” le sue vulnerabilità e i suoi punti di forza.
Lo scopo ultimo è di costruire una postura di sicurezza efficace, non limitata alla componente tecnologica, ma che integri la cultura aziendale, regole e governance.
Una postura solida parte infatti dalla consapevolezza che è fondamentale diffondere la cultura della sicurezza. Le politiche e le normative, da cui poi derivano le procedure operative, devono sì supportare l’IT, ma anche aiutare le figure non tecniche a comprendere meglio un mondo ipertecnologico e complesso, che spesso appare distante dalle loro competenze.
Secondo la mia esperienza, una gran parte della maturità nella sicurezza aziendale nasce proprio da qui: quando la regolamentazione e le policy diventano strumenti culturali, capaci di rendere la sicurezza un valore condiviso, non solo un obbligo tecnico.
Come sei diventato un hacker ‘etico’, una figura positiva in questo ambito?
Questo percorso si è evoluto naturalmente come frutto del periodo storico. Quando ho intrapreso questa professione, quindi nei primi anni 2000, non esistevano le figure di penetration tester come le intendiamo oggi, poche aziende avevano esigenze strutturate in questo ambito. Non c’era un vero mercato che richiedeva queste figure professionali. Nel secondo decennio, invece, è successo qualcosa a livello mondiale: lo sviluppo delle criptovalute e l’elevata informatizzazione dei processi hanno aperto di fatto ad un nuovo business per la criminalità. Una vera e propria “tempesta perfetta”, in cui la tecnologia è diventata pervasiva e i nuovi metodi di trasferimento di valuta — come le criptovalute — rendevano molto più difficile tracciare gli autori delle transazioni. Questo contesto ha prodotto l’ambiente ideale per i criminali informatici , ma anche un forte stimolo per le aziende, che hanno iniziato a testare attivamente la propria resilienza e la capacità di difendersi da attacchi informatici reali.
Di conseguenza, la figura professionale di chi faceva penetration testing è diventata molto più richiesta, e sono nate tantissime figure più verticali e specializzate su diversi ambiti: c’è chi opera solo nel testing di applicazioni web, chi nel mondo fisico, chi nella verifica delle infrastrutture complesse.
Nel tempo sono stati introdotti anche temi più trasversali come le attività di red teaming, ovvero sessioni di test che simulano un attacco reale, riproducendo comportamenti, strategie e obiettivi di un vero “attore malevolo” (bad actor) — per mettere alla prova non solo la tecnologia, ma anche i processi e le competenze del personale dell’organizzazione.
Un esempio concreto è il framework TIBER (Threat Intelligence-Based Ethical Red Teaming), introdotto dalla Banca Centrale Europea tra il 2018 e il 2019.
Un modello che richiede alle banche di eseguire simulazioni di attacco realistiche (Threat-Led Penetration Test) per valutare la postura complessiva di sicurezza.
Questa formalizzazione ha spinto il settore finanziario — e, a cascata, molti altri — a costruire framework strutturati di testing, contribuendo a rendere la professione del red teamer sempre più richiesta, strutturata e necessaria.
Il modo in cui è evoluto il settore rispecchia almeno in parte le mie aspirazioni edho continuato su questa strada.
Ecco benissimo, si spaventano le aziende quando tu dici che sei un “good hacker”? Come la prendono?
Premesso che uso volutamente terminologie meno evocative, dipende molto dal livello di maturità dell’azienda.
Alcune, più che essere spaventate, fanno un po’ fatica a capire davvero che ruolo abbiamo.
Il primo approccio ai test di sicurezza, infatti, non è così scontato: anche se questi framework esistono da anni, non tutte le aziende li hanno ancora adottati in modo strutturato.
Io, personalmente, lavoro soprattutto con realtà abbastanza grandi e organizzate, quindi più abituate a questo tipo di attività.
In questi contesti non vedo paura verso la figura del red teamer o dell’ethical hacker, ma piuttosto preoccupazione per i risultati. Di solito veniamo chiamati dopo che l’azienda ha già lavorato sulla propria sicurezza — magari ha ottenuto una certificazione, come la ISO 27001 — e vuole capire se quello che ha eseguito “sulla carta” funziona davvero nella pratica.
Il test di sicurezza, in fondo, è un po’ la prova del nove: serve a vedere se le misure messe in campo reggono a un attacco simulato.
Non è raro che emergano cose da migliorare, ma è assolutamente normale.
Le aziende invulnerabili non esistono: il punto non è non trovare problemi, ma individuare in modo mirato le lacune che possono diventare vulnerabilità reali.
Alla fine, il test serve proprio a questo: trasformare le criticità in opportunità per crescere e rafforzarsi.
In che modo standard come la ISO 27001 possono contribuire a rendere un’organizzazione più resiliente, sia nel rafforzare le difese preventive sia nel gestire situazioni di crisi come incidenti di sicurezza o data breach?
Ti do una risposta molto operativa, dal mio punto di vista offensivo.
Quando lavoro sul campo, uno dei grandi vantaggi dei percorsi di certificazione è sviluppare una postura coerente sia dal punto di vista tecnico sia da quello organizzativo. Le certificazioni aiutano a creare buone pratiche, una comunicazione interna chiara e una governance definita.
Spesso, infatti, noto un forte scollamento tra ciò che il mondo IT mette in pratica e ciò che viene definito a livello di governance e di controllo.
Molte pratiche vengono implementate senza un controllo effettivo che misuri davvero la loro efficacia: si fanno perché “è giusto farle”, ma non c’è un meccanismo di verifica che dica se funzionano o portano benefici.
Il grande valore di adottare un framework come la ISO 27001 è proprio quello di mettere ordine dove l’IT da solo non può arrivare avendo un confine strutturale, definendo una governance chiara e misurabile.
La ISO 27001, secondo me, rappresenta bene questo tipo di esigenza: sin dai primi passi e dai primi controlli si nota che non è solo una questione tecnica, ma riguarda l’intera azienda.
Serve coinvolgere i dipartimenti delle Risorse umane, Finanze, Legale, figure che spesso non erano mai state incluse prima nei processi di sicurezza delle informazioni.
Ho visto aziende in cui il dipartimento delle Risorse Umane, fino al giorno prima, non era mai stato coinvolto nella sicurezza, mentre l’IT aveva sempre lavorato per conto proprio.
Non è una colpa, semplicemente mancava una guida di governance e una roadmap chiara.
Quando questa viene definita, i processi iniziano a funzionare meglio: tutti lavorano nella stessa direzione, ma senza più la frammentazione e la disorganizzazione tipiche di chi opera in compartimenti stagni.
Come mai hai deciso di partecipare al nostro webinar sulla NIS2: cosa ti è piaciuto in questa idea?
In generale, sono sempre molto positivo e propositivo quando c’è l’occasione di parlare a un pubblico che vuole capire meglio come funziona il mondo della sicurezza informatica e, più in generale, dell’information security.
La mia principale motivazione è quella di condividere esperienze concrete, che possano aiutare chi si avvicina a questo settore a cogliere sia il valore che la complessità del nostro lavoro.
Se non hai potuto partecipare al nostro webinar puoi ottenere la registrazione completa inserendo i tuoi dati nel form.
Achieve, maintain, and leverage ISO certifications.
Copyright ©2024 Complaion. All Rights Reserved.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milano.
PEC: part@pec.it, Capitale Sociale: €17.017,18, REA MI-2690509.
Achieve, maintain, and leverage ISO certifications.
Copyright ©2024 Complaion. All Rights Reserved.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milano.
PEC: part@pec.it, Capitale Sociale: €17.017,18, REA MI-2690509.
Achieve, maintain, and leverage ISO certifications.
Copyright ©2024 Complaion. All Rights Reserved.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milano.
PEC: part@pec.it, Capitale Sociale: €17.017,18, REA MI-2690509.
Achieve, maintain, and leverage ISO certifications.
Copyright ©2024 Complaion. All Rights Reserved.
Complaion S.r.l., P. IVA 12884580965, Via R. Amundsen 5, Milano.
PEC: part@pec.it, Capitale Sociale: €17.017,18, REA MI-2690509.