Info Sec. Unplugged

In questa seconda parte approfondiamo — con esempi concreti e molta esperienza sul campo — il rapporto tra CISO interno e vCISO esterno. Che differenze operative esistono davvero? Quando ha senso ricorrere a un virtual CISO e quali sono i limiti strutturali di questa scelta? Parliamo di responsabilità, budget, governance, competenze, modelli organizzativi e delle difficoltà di costruire team efficaci in un mercato che spinge molti tecnici verso la consulenza. Un confronto schietto, diretto e pieno di spunti pratici per capire come organizzare davvero una funzione di sicurezza efficace.Link aggiuntivi:Link all'episodioCybersecurity FrameworkInformative References for CSF 2.0Supportato da NTS.

In questa puntata di Info Sec. Unplugged ripercorriamo, insieme a Nicolò Poniz, un viaggio autentico dentro il ruolo del CISO: le complessità, i conflitti, le sfide culturali e manageriali che spesso superano perfino quelle tecniche. Partendo da un’esperienza diretta post-compromissione, esploriamo cosa significa davvero ricoprire simultaneamente i ruoli di CIO e CISO, creare una cultura della sicurezza, gestire persone, diluire conflitti e affrontare board che non sempre vogliono vedere i problemi per ciò che sono. Una conversazione schietta, lucida e ricca di spunti reali su come si costruisce — e si difende — una funzione di cyber security in azienda.Link aggiuntivi:Link all'episodioCybersecurity FrameworkInformative References for CSF 2.0Supportato da NTS.

In questa puntata di Info Sec. Unplugged affrontiamo un tema spesso sottovalutato: la gestione del codice sorgente nelle organizzazioni. Partendo dal controllo 8.4 della ISO 27001, esploriamo perché praticamente ogni azienda — anche quelle che “non sviluppano software” — in realtà produce script, integrazioni, automazioni e piccoli applicativi che diventano critici per il business. Raccontiamo esempi reali, rischi concreti, errori ricorrenti e buone pratiche per gestire il codice in modo sicuro e professionale, anche quando si tratta di semplici script operativi. Una riflessione che tocca secure coding, supply chain, automazione e governance tecnica.Link aggiuntivi:Link all'episodioSupportato da NTS.

In questa puntata di Info Sec. Unplugged esploriamo uno dei controllipiù complessi dell’Annex A della ISO/IEC 27001: la gestione delle configurazioni(A.8.9). Lo facciamo partendo dal campo — da ciò che realmente accade durantesecurity test, red team e attività di assume breach — per capire quali siano leconseguenze di configurazioni deboli, default lasciati attivi, hardening incompletoo non verificato, e processi assenti o inefficaci. Con esempi concreti, aneddotie riflessioni sul ruolo dell’automazione, discutiamo cosa accade quando questocontrollo non viene gestito correttamente e quali sono gli approcci più efficaciper avvicinarsi a una configurazione sicura, monitorata e sostenibile.Link aggiuntivi:Blog post di approfondimentoHighlight (video)Link all'episodioSupportato da NTS.

In questa puntata “extended” di Info Sec. Unplugged, Andrea Dainese e Rocco Sicilia accolgono Mattia Parise, Solution Architect specializzato in cyber resilience. Insieme affrontano un tema cruciale per la sicurezza aziendale: la differenza – e i possibili punti di contatto – tra Disaster Recovery e Cyber Recovery. Dalla progettazione delle infrastrutture ai processi di testing, dall’indipendenza delle copie di backup fino alla necessità di un “clean recovery”, la conversazione esplora le sfide tecniche e organizzative che le aziende devono affrontare per garantire la vera continuità operativa dopo un attacco cyber. Un episodio ricco di esempi concreti, riflessioni pratiche e consigli per evolvere dal semplice backup alla vera cyber resilienza.Link aggiuntivi:Link all'episodioBlog post di approfondimentoNormativa ANSSI-BP-100Supportato da NTS.