Pagina 1 di 1
Una PMI italiana con 20-200 dipendenti non ha un CISO, un SOC interno o un security team. Ha bisogno di un piano di sicurezza sostenibile, implementabile con il personale che ha, manutenibile nel tempo. Accompagno PMI in questo percorso con taglio operativo.
In questa categoria scrivo di cybersecurity concreta per PMI: gap analysis, misure minime, formazione, gestione dei fornitori, preparazione a incident. Parliamone, scopri il mio approccio.
I computer quantistici non sono ancora una minaccia operativa, ma i dati cifrati oggi con RSA saranno decifrabili tra 10-15 anni. Per applicazioni che gestiscono dati con vita utile lunga, la migrazione verso algoritmi post-quantistici va pianificata ora. Vi racconto lo stato degli standard NIST e le implicazioni pratiche per PHP. Continua a leggere
Ho accompagnato una software house torinese con 20 sviluppatori nel percorso di adeguamento NIS2 come soggetto essenziale. Il processo ha richiesto 6 mesi: gap analysis iniziale, introduzione di vulnerability disclosure policy, incident response plan, log retention e controllo degli accessi. Vi racconto ogni fase con tempi e costi reali. Continua a leggere
La sicurezza come fase finale prima del rilascio è un fallimento annunciato. Ho aiutato un'azienda software con 12 sviluppatori a integrare sicurezza nel ciclo di sviluppo: security gate automatici in CI, revisione delle dipendenze ad ogni PR, threat modeling trimestrale. La velocità di sviluppo non è calata. Continua a leggere
Ho trovato una vulnerabilità critica in un gestionale PHP usato da 300 PMI italiane. Non era un mio cliente. La gestione della disclosure è stata complicata: il vendor non aveva un canale dedicato, i tempi di fix erano incerti, e le PMI erano a rischio. Vi racconto come ho gestito ogni fase. Continua a leggere
Alle 2 di notte, un cliente mi chiama: il suo VPS ha comportamenti anomali. Nei successivi 30 minuti, ho fatto un elenco di azioni in ordine preciso. Quell'ordine è importante: sbagliarlo significa perdere prove forensi o dare tempo all'attaccante. Vi scrivo il runbook che tengo sempre pronto. Continua a leggere
L'investimento in firewall e antivirus non serve a nulla se il dipendente clicca sul link di phishing. Ho aiutato un'azienda con 45 dipendenti a costruire una cultura della sicurezza partendo dalla formazione pratica, dalle simulazioni di phishing e da procedure semplici che la gente segue davvero. Continua a leggere
Una finanziaria di medie dimensioni mi ha chiesto di revisionare la sicurezza di un'applicazione di prestiti ancora in sviluppo. In due ore di threat modeling con STRIDE abbiamo identificato 14 rischi significativi - cinque dei quali avrebbero richiesto settimane di refactoring se scoperti dopo il lancio. Continua a leggere
La versione 2025 dell'OWASP Top 10 introduce cambiamenti significativi rispetto al 2021, in particolare sull'insecure design e sulla sicurezza del codice generato da AI. Ho analizzato 12 applicazioni PHP di clienti PMI contro il nuovo framework: i risultati mostrano pattern di vulnerabilità diversi rispetto a cinque anni fa. Continua a leggere
