Presidio Cyber
PA
Non un singolo pentest, ma un presidio annuale documentato per conoscere cosa espone l’ente, supportare la riduzione del rischio tecnico e organizzativo, formare il personale e produrre evidenze utili a governance, audit e responsabilità.
Il problema reale
degli enti pubblici
Gli enti pubblici gestiscono dati, servizi essenziali, identità digitali, fornitori esterni e infrastrutture spesso eterogenee. La complessità digitale cresce ogni anno — ma il controllo su di essa non sempre cresce allo stesso ritmo.
Asset non censiti
Nuovi sottodomini, servizi temporanei, VPN, pannelli web, certificati scaduti e ambienti di test possono rimanere esposti senza un controllo continuativo. Non tutto ciò che è esposto è stato messo lì deliberatamente.
Rischio umano misurabile
Il phishing resta uno dei vettori più efficaci perché sfrutta urgenza, abitudine e fiducia. Va misurato con simulazioni controllate e formazione progressiva — non gestito una volta sola e dimenticato.
Governance e obblighi
NIS2, Legge 90/2024 e GDPR spostano la cybersecurity dal piano tecnico al piano della governance. Per un dirigente diventa essenziale poter dimostrare misure adottate, verifiche svolte e rischi tracciati.
Perché il controllo episodico
non è sufficiente
La sicurezza non migliora quando si trova una vulnerabilità. Migliora quando quella vulnerabilità viene presa in carico, corretta, verificata e documentata nel tempo.
Presidio Cyber PA
— I 6 moduli operativi
Un programma annuale di affiancamento tecnico e documentale pensato per aiutare l’ente a conoscere, monitorare e ridurre progressivamente la propria esposizione cyber.
Il servizio produce evidenze verificabili, report periodici e un registro operativo delle attività svolte, senza sostituirsi alle funzioni interne dell’ente, al DPO, al RTD, ai fornitori ICT o ad eventuali consulenti legali.
Monitoraggio dell’esposizione esterna
EASM Continuativo
Censimento e monitoraggio ricorrente di domini, sottodomini, IP pubblici, certificati TLS e servizi esposti su Internet. Le variazioni rilevate rispetto al perimetro noto vengono analizzate e, se rilevanti, comunicate al referente tecnico dell’ente.
L’obiettivo è mantenere una vista aggiornata del perimetro digitale pubblico e individuare tempestivamente esposizioni anomale, servizi dimenticati, configurazioni deboli o elementi che richiedono verifica.
- → inventario degli asset esposti;
- → rilevazione delle variazioni significative;
- → classificazione preliminare dei rischi;
- → evidenze tecniche consultabili;
- → segnalazioni operative al referente.
Verifiche tecniche esterne e interne
Periodic Security Assessment
Esecuzione di verifiche tecniche programmate sul perimetro concordato con l’ente, includendo sia l’esposizione esterna sia, quando autorizzato, controlli interni su rete, servizi, configurazioni, Active Directory, segmentazione, condivisioni, accessi e sistemi critici.
Le attività interne vengono svolte solo se previste dallo scope contrattuale, con autorizzazione specifica, credenziali/utenze concordate, finestre operative definite e modalità non distruttive.
I risultati non vengono consegnati come semplice esportazione automatica di scanner, ma vengono analizzati, filtrati, contestualizzati e trasformati in priorità operative.
- → report tecnico periodico;
- → elenco finding validati;
- → verifica esposizione esterna e, se autorizzata, interna;
- → priorità di intervento;
- → indicazioni di remediation e retest.
Simulazione phishing e awareness
Human Risk Reduction
Campagne periodiche di simulazione phishing e sensibilizzazione del personale, progettate con finalità formative e di misurazione del rischio umano.
Le simulazioni sono configurate per evitare la raccolta di password reali e per non introdurre logiche punitive verso i dipendenti. I risultati vengono presentati in forma aggregata, con focus su trend, comportamenti a rischio e miglioramento progressivo.
In caso di interazione con la simulazione, l’utente può ricevere contenuti formativi brevi e contestuali.
- → scenario di simulazione approvato;
- → risultati aggregati;
- → indicatori di rischio umano;
- → micro-formazione post-click;
- → raccomandazioni per migliorare la consapevolezza.
Remediation & Risk Tracking
Governance operativa
Gestione strutturata dei finding rilevati durante le attività. Ogni criticità viene inserita in un registro operativo con stato, priorità, data di rilevazione, eventuale referente interno o fornitore coinvolto e indicazioni di trattamento.
Il servizio aiuta l’ente a passare dal semplice “elenco di vulnerabilità” a un processo tracciabile di presa in carico, mitigazione, verifica e chiusura.
- → registro finding;
- → stato di avanzamento remediation;
- → priorità 30/60/90 giorni;
- → note su rischio residuo;
- → evidenze di verifica delle correzioni.
Supporto specialistico
Cyber Support Desk
Canale di supporto tecnico per chiarimenti, analisi dei finding, supporto alla remediation e confronto con il referente ICT dell’ente.
Il servizio non sostituisce un SOC H24, un servizio completo di incident response o attività di digital forensic, ma offre un punto di riferimento tecnico per interpretare correttamente le evidenze, valutare le priorità e supportare le decisioni operative.
- → supporto tecnico su finding e remediation;
- → confronto su configurazioni e criticità;
- → orientamento su minacce emergenti;
- → primo inquadramento di anomalie segnalate;
- → raccomandazioni operative documentate.
Evidenze compliance e report direzionali
NIS2 · Legge 90/2024 · GDPR
Produzione di report periodici con evidenze tecniche e organizzative utili a supportare il percorso di conformità dell’ente.
Le attività possono contribuire alla documentazione di asset, rischi, controlli, vulnerabilità rilevate, azioni correttive, remediation e accettazione del rischio residuo.
Il servizio non sostituisce il DPO, il RTD, il responsabile della transizione digitale, gli organi interni dell’ente o la consulenza legale, ma fornisce documentazione operativa e verificabile a supporto delle decisioni.
- → report trimestrale;
- → report annuale riepilogativo;
- → evidenze tecniche;
- → stato delle attività;
- → mappa finding/remediation;
- → documentazione utile per audit e controlli.
Focus Internal Assessment
Quando previsto dallo scope, il presidio può includere verifiche interne controllate su rete, Active Directory, segmentazione, servizi critici, condivisioni, configurazioni e backup. L’obiettivo non è svolgere attività invasive o distruttive, ma individuare debolezze realistiche che potrebbero facilitare movimento laterale, escalation di privilegi, accessi non autorizzati o indisponibilità dei servizi.
Le attività interne vengono pianificate con l’ente, autorizzate per iscritto, eseguite con modalità concordate e documentate nei report tecnici e direzionali.
- ✓ mappa dei principali rischi interni
- ✓ verifica configurazioni deboli
- ✓ controllo esposizioni interne critiche
- ✓ indicazioni di hardening
- ✓ remediation e retest
Rilevare, validare, assegnare,
verificare, documentare
Non basta trovare vulnerabilità. Il valore del presidio sta nel processo che segue: ogni finding viene validato, assegnato a un owner, corretto, verificato con retest e documentato. Ogni finding viene tracciato fino alla chiusura, all’accettazione motivata del rischio o alla pianificazione della remediation compatibile con i vincoli dell'ente.
Rilevazione
- • Asset e servizi esposti
- • Vulnerabilità tecniche
- • Configurazioni deboli
- • Variazioni delta
Validazione
- • Riduzione falsi positivi
- • Contesto e severità reale
- • Verifica manuale
- • Classificazione rischio
Prioritizzazione
- • Impatto e probabilità
- • Criticità del servizio
- • Piano 30/60/90 giorni
- • Risk register
Assegnazione
- • Owner nominato
- • Scadenza concordata
- • Azione raccomandata
- • Tracking dashboard
Retest
- • Verifica correzione
- • Chiusura documentata
- • Finding residuo
- • Escalation concordata
Evidenza
- • Report formalizzato e sottoscritto, anche digitalmente ove previsto
- • Registro rischi storico
- • Tracciabilità decisioni
- • Pronto per audit interni
Ciclo operativo — 12 mesi strutturati
Impianto
- • NDA, DPA, scope
- • Censimento asset
- • Setup piattaforma
- • Owner e escalation
Baseline
- • Esposizione esterna
- • Assessment sul perimetro concordato, anche interno se autorizzato
- • Prime priorità
- • Piano remediation
Validazione
- • Verifica correzioni Q1
- • Aggiornamento rischio
- • 1ª campagna phishing
- • 1° report direzionale
Approfondimento
- • Focus tecnico
- • Formazione mirata
- • Aggiornamento remediation
- • Verifica logging su perimetro concordato
Annual Review
- • Retest finding aperti
- • 2ª campagna phishing
- • Report annuale
- • Piano anno successivo
Supportato da
Exposure Suite
Il Presidio Cyber PA è supportato da Exposure Suite, la piattaforma proprietaria Entrocore utilizzata per organizzare asset, variazioni, finding, owner, remediation, retest ed evidenze prodotte nel corso del servizio.
Presidio Cyber PA è il servizio. Exposure Suite è l’infrastruttura operativa che consente di mantenere storico, tracciabilità e continuità documentale nel tempo.
ExposureDelta
Monitora la superficie digitale dell'ente nel tempo: domini, sottodomini, IP pubblici, certificati, servizi esposti e variazioni rispetto alla baseline. Ogni cambiamento rilevante viene registrato e portato all'attenzione dei referenti.
ExposureVerify
Aiuta a validare e contestualizzare ciò che viene rilevato: riduce il rumore, distingue i falsi positivi, collega l'esposizione esterna agli asset reali e permette di capire quali finding richiedono priorità operativa.
ExposureResolver
Gestisce la presa in carico dei problemi: owner, priorità, scadenze, stato della remediation, retest, decisioni e storico delle evidenze. Ogni finding ha un percorso documentato fino alla chiusura, all'accettazione motivata del rischio o alla pianificazione della correzione.
Cosa riceve l'ente
— output concreti
Ogni modulo produce output specifici. Ogni deliverable è collegato al perimetro dell’ente e alle attività effettivamente svolte: ognuno risponde a un'esigenza reale di dirigente, CED, RTD o DPO.
Dashboard Exposure Suite
Vista condivisa su asset monitorati, esposizioni rilevate, finding aperti, owner, priorità, scadenze e stato remediation. La dashboard aiuta direzione, CED, RTD e DPO a lavorare su informazioni aggiornate e tracciabili, riducendo dispersione informativa e tempi di coordinamento.
Report trimestrale
Documento direzionale e tecnico, formalizzato e sottoscritto anche digitalmente ove previsto, che dimostra cosa è stato verificato, cosa è emerso, cosa è stato corretto e cosa resta da fare.
Piano remediation 30/60/90 gg
Ogni finding viene mantenuto in un registro operativo con priorità, owner, stato e scadenza. Il piano viene aggiornato periodicamente con verifica delle correzioni e follow-up delle criticità ancora aperte. Le criticità non risolte vengono evidenziate nei follow-up e portate all’attenzione dei referenti concordati.
Report phishing simulation
Click rate per periodo, andamento nel tempo, micro-formazione erogata e indicazioni per azioni di miglioramento. Dati aggregati — nessuna identificazione individuale.
Evidenze compliance
Evidenze tecniche e organizzative a supporto del percorso NIS2 (art. 21), Legge 90/2024, GDPR: asset, rischi, controlli, attività svolte. Fornisce documentazione operativa verificabile e strutturata.
Registro rischi e report annuale
Tracciabilità completa: ogni finding rilevato, assegnato, aggiornato e tracciato nel tempo. Maturity summary annuale con evoluzione del rischio. Executive Risk Briefing con piano per l'anno successivo.
A chi è rivolto
Il presidio non è rivolto solo all’area tecnica. Ogni figura dell’ente trova un vantaggio concreto e misurabile, senza sovrapposizioni di ruolo.
Dirigente / Direzione
- • Visione sintetica del rischio
- • Evidenze delle attività svolte
- • Supporto alle decisioni strategiche
CED / Ufficio IT
- • Finding validati e prioritizzati
- • Piano remediation realistico
- • Supporto tecnico operativo
RTD
- • Supporto al governo della trasformazione digitale
- • Mappatura e controllo dell'esposizione
- • Continuità dei servizi digitali
DPO / Privacy
- • Evidenze su rischi, formazione e misure tecniche
- • Supporto documentale per audit privacy
- • Il servizio non sostituisce il ruolo del DPO
Valore per la direzione
Il presidio annuale trasforma la cybersecurity da problema tecnico a strumento di governance.
Visibilità condivisa
Dirigenza, RTD, DPO e CED lavorano su una vista comune: asset esposti, rischi aperti, priorità, stato delle correzioni e trend nel tempo. Niente informazioni disperse tra uffici o email.
Controllo documentato
Ogni finding ha una descrizione, una priorità, un owner, una scadenza e uno stato. Il rischio non resta informale: viene tracciato, aggiornato e verificato nel tempo.
Evidenze pronte
Report e registri permettono di dimostrare le attività svolte: verifiche, formazione, remediation, retest e decisioni prese. Pronti per audit, ispezioni o qualsiasi richiesta documentale.
Decisioni rapide
Il dirigente non riceve un elenco tecnico, ma una sintesi utile per decidere: cosa è critico, cosa è urgente, cosa va pianificato e cosa può essere accettato come rischio residuale.
Cosa è incluso — e cosa no
La chiarezza sul perimetro è parte integrante del servizio. Ogni attività è preventivamente autorizzata, documentata e concordata con i referenti dell'ente. Nessuna sorpresa operativa.
✓ Incluso nel servizio
- ✓ Attività su perimetro concordato e autorizzato per iscritto
- ✓ Attività tecniche non distruttive, svolte secondo modalità e finestre operative concordate
- ✓ Nessuna attività volutamente finalizzata all’interruzione dei servizi in produzione
- ✓ Raccolta evidenze minimizzata e gestita secondo i principi GDPR
- ✓ Sospensione immediata su richiesta del referente dell'ente
- ✓ Tracciabilità completa di ogni attività svolta e documentata
- ✓ Nessuna raccolta di password reali nelle campagne phishing
✕ Fuori perimetro
- ✕ Interventi sistemistici o configurazione diretta dell'infrastruttura
- ✕ Gestione attiva di firewall, EDR, backup o altri componenti di sicurezza
- ✕ SOC H24 e incident response urgente (reperibilità immediata)
- ✕ Sviluppo software, patch o hardening diretto dei sistemi dell'ente
- ✕ Sostituzione del ruolo formale di DPO, RTD o consulenza legale specialistica
- ✕ Attività fuori scope senza nuova e preventiva autorizzazione scritta
- ✕ Red team avanzato, social engineering fisico o attacchi di tipo distruttivo
Tutte le attività fuori perimetro standard sono quotabili separatamente su richiesta.
Tre percorsi
su misura dell'ente
Il servizio non ha un costo standard uguale per tutti: ogni ente ha un perimetro digitale diverso, un diverso numero di utenti, fornitori, domini, applicativi, sedi e livelli di criticità.
Per questo Entrocore costruisce una proposta tecnica proporzionata alle reali esigenze dell'ente, dopo una valutazione preliminare del perimetro.
- ✓ Definizione del perimetro autorizzato
- ✓ Ricognizione non invasiva dell'esposizione pubblica
- ✓ Mappa di domini, sottodomini e servizi esposti
- ✓ Prime criticità prioritarie
- ✓ Report sintetico e briefing direzionale
- ✓ Proposta tecnica per eventuale presidio annuale
Per enti che vogliono ottenere una prima fotografia dell'esposizione digitale prima di avviare un presidio continuativo.
- ✓ Monitoraggio periodico automatizzato dell’esposizione esterna
- ✓ Verifiche esterne e interne secondo scope concordato
- ✓ Remediation tracking con owner e scadenze
- ✓ Dashboard condivisa tra direzione, CED, RTD e DPO
- ✓ Report trimestrali e annuale formalizzati e sottoscritti, anche digitalmente ove previsto
- ✓ Campagne phishing e formazione awareness
- ✓ Evidenze per governance, audit e compliance
- ✓ Executive Risk Briefing periodico
Per enti che vogliono strutturare un controllo continuativo, documentato e misurabile del rischio cyber.
- ✓ Tutto il presidio annuale incluso
- ✓ Internal assessment approfondito su rete, segmentazione, Active Directory e servizi critici
- ✓ Copertura estesa su domini, IP, subnet e applicativi
- ✓ Simulazioni phishing più articolate
- ✓ Assessment web/API approfondito (OWASP Top 10)
- ✓ Esercitazione guidata di risposta agli incidenti
- ✓ Incontri mensili o bimestrali dedicati
- ✓ Piano di miglioramento annuale
Per enti con perimetri articolati, più sedi, fornitori critici o necessità di supporto avanzato continuativo.
La proposta economica dipende dal perimetro.
Gli elementi che incidono sulla quotazione sono: numero di domini, sottodomini e IP pubblici; numero di utenti coinvolti nelle campagne; presenza di sedi, subnet o applicativi da includere; numero di fornitori digitali coinvolti; frequenza dei report e degli incontri; livello di supporto richiesto per audit, remediation e governance.
L'obiettivo è evitare pacchetti generici e costruire un presidio sostenibile, utile e coerente con il rischio effettivo dell'ente.
Come iniziamo
Il processo di avvio è rapido e non richiede impegni contrattuali immediati. Ogni step è concordato con l'ente e documentato prima di procedere.
Condividere il perimetro
È sufficiente una prima interlocuzione con i referenti tecnici e amministrativi dell’ente per raccogliere le informazioni di massima.
NDA e Autorizzazione
Con NDA firmato e autorizzazione scritta, eseguiamo la ricognizione non invasiva per produrre una prima fotografia dell'esposizione esterna in tempi rapidi.
Presentazione Risultati
Presentiamo la fotografia preliminare alla direzione e ai referenti tecnici, definendo la proposta di presidio e supportando la redazione dei documenti necessari.
Cosa serve per partire
- → Domini pubblici dell'ente
- → IP pubblici, se disponibili
- → Referente tecnico (CED / IT)
- → Referente amministrativo
- → Numero utenti email indicativo
- → Eventuali fornitori principali
- → Autorizzazione scritta al perimetro
- → Non è necessaria una mappatura completa — iniziamo da qui
Avvia una prima valutazione dell'esposizione digitale
Possiamo partire da una ricognizione preliminare non invasiva del perimetro pubblico indicato dall'ente, previa autorizzazione scritta e definizione dello scope.
Richiedi una valutazione preliminare