Servizi PA • Cybersecurity

Presidio Cyber
PA

Non un singolo pentest, ma un presidio annuale documentato per conoscere cosa espone l’ente, supportare la riduzione del rischio tecnico e organizzativo, formare il personale e produrre evidenze utili a governance, audit e responsabilità.

Powered by Exposure Suite — piattaforma proprietaria Entrocore
Il Contesto

Il problema reale
degli enti pubblici

Gli enti pubblici gestiscono dati, servizi essenziali, identità digitali, fornitori esterni e infrastrutture spesso eterogenee. La complessità digitale cresce ogni anno — ma il controllo su di essa non sempre cresce allo stesso ritmo.

Asset non censiti

Nuovi sottodomini, servizi temporanei, VPN, pannelli web, certificati scaduti e ambienti di test possono rimanere esposti senza un controllo continuativo. Non tutto ciò che è esposto è stato messo lì deliberatamente.

Rischio umano misurabile

Il phishing resta uno dei vettori più efficaci perché sfrutta urgenza, abitudine e fiducia. Va misurato con simulazioni controllate e formazione progressiva — non gestito una volta sola e dimenticato.

Governance e obblighi

NIS2, Legge 90/2024 e GDPR spostano la cybersecurity dal piano tecnico al piano della governance. Per un dirigente diventa essenziale poter dimostrare misure adottate, verifiche svolte e rischi tracciati.

Email, credenziali deboli, servizi esposti e accessi remoti mal configurati sono tra i punti di ingresso più ricorrenti negli incidenti cyber. Il presidio serve a ridurre questi rischi prima che diventino incidenti.
Il Problema

Perché il controllo episodico
non è sufficiente

La sicurezza non migliora quando si trova una vulnerabilità. Migliora quando quella vulnerabilità viene presa in carico, corretta, verificata e documentata nel tempo.

Verifica isolata — approccio tradizionale
Presidio annuale Entrocore
Fotografia di un singolo giorno: il giorno dopo i sistemi possono cambiare.
Monitoraggio periodico automatizzato: le variazioni significative rispetto alla baseline vengono rilevate, registrate e portate all’attenzione del referente tecnico.
Le vulnerabilità individuate rischiano di non essere seguite se mancano ownership, scadenze e verifica.
Remediation tracking con owner nominato, scadenza definita e stato aggiornato ogni trimestre.
La documentazione prodotta può non essere sufficiente a dimostrare continuità e miglioramento nel tempo.
Report trimestrale e annuale formalizzati e sottoscritti, anche digitalmente ove previsto, pronti per direzione, audit interni e ispezioni di conformità.
Il personale non viene coinvolto: il rischio umano resta non misurato e non gestito nell'operatività quotidiana.
Phishing simulation con micro-formazione: il click rate viene misurato nel tempo e utilizzato per orientare formazione e azioni di miglioramento.
Compliance difficile da dimostrare se mancano evidenze operative, registri storici e follow-up dettagliato.
Evidenze documentali per NIS2, Legge 90/2024, GDPR — prodotte in modo strutturato nel corso dell'anno.
La Proposta

Presidio Cyber PA
— I 6 moduli operativi

Un programma annuale di affiancamento tecnico e documentale pensato per aiutare l’ente a conoscere, monitorare e ridurre progressivamente la propria esposizione cyber.

Il servizio produce evidenze verificabili, report periodici e un registro operativo delle attività svolte, senza sostituirsi alle funzioni interne dell’ente, al DPO, al RTD, ai fornitori ICT o ad eventuali consulenti legali.

Monitoraggio dell’esposizione esterna

EASM Continuativo

Censimento e monitoraggio ricorrente di domini, sottodomini, IP pubblici, certificati TLS e servizi esposti su Internet. Le variazioni rilevate rispetto al perimetro noto vengono analizzate e, se rilevanti, comunicate al referente tecnico dell’ente.

L’obiettivo è mantenere una vista aggiornata del perimetro digitale pubblico e individuare tempestivamente esposizioni anomale, servizi dimenticati, configurazioni deboli o elementi che richiedono verifica.

Output principali:
  • inventario degli asset esposti;
  • rilevazione delle variazioni significative;
  • classificazione preliminare dei rischi;
  • evidenze tecniche consultabili;
  • segnalazioni operative al referente.

Verifiche tecniche esterne e interne

Periodic Security Assessment

Esecuzione di verifiche tecniche programmate sul perimetro concordato con l’ente, includendo sia l’esposizione esterna sia, quando autorizzato, controlli interni su rete, servizi, configurazioni, Active Directory, segmentazione, condivisioni, accessi e sistemi critici.

Le attività interne vengono svolte solo se previste dallo scope contrattuale, con autorizzazione specifica, credenziali/utenze concordate, finestre operative definite e modalità non distruttive.

I risultati non vengono consegnati come semplice esportazione automatica di scanner, ma vengono analizzati, filtrati, contestualizzati e trasformati in priorità operative.

Output principali:
  • report tecnico periodico;
  • elenco finding validati;
  • verifica esposizione esterna e, se autorizzata, interna;
  • priorità di intervento;
  • indicazioni di remediation e retest.

Simulazione phishing e awareness

Human Risk Reduction

Campagne periodiche di simulazione phishing e sensibilizzazione del personale, progettate con finalità formative e di misurazione del rischio umano.

Le simulazioni sono configurate per evitare la raccolta di password reali e per non introdurre logiche punitive verso i dipendenti. I risultati vengono presentati in forma aggregata, con focus su trend, comportamenti a rischio e miglioramento progressivo.

In caso di interazione con la simulazione, l’utente può ricevere contenuti formativi brevi e contestuali.

Output principali:
  • scenario di simulazione approvato;
  • risultati aggregati;
  • indicatori di rischio umano;
  • micro-formazione post-click;
  • raccomandazioni per migliorare la consapevolezza.

Remediation & Risk Tracking

Governance operativa

Gestione strutturata dei finding rilevati durante le attività. Ogni criticità viene inserita in un registro operativo con stato, priorità, data di rilevazione, eventuale referente interno o fornitore coinvolto e indicazioni di trattamento.

Il servizio aiuta l’ente a passare dal semplice “elenco di vulnerabilità” a un processo tracciabile di presa in carico, mitigazione, verifica e chiusura.

Output principali:
  • registro finding;
  • stato di avanzamento remediation;
  • priorità 30/60/90 giorni;
  • note su rischio residuo;
  • evidenze di verifica delle correzioni.

Supporto specialistico

Cyber Support Desk

Canale di supporto tecnico per chiarimenti, analisi dei finding, supporto alla remediation e confronto con il referente ICT dell’ente.

Il servizio non sostituisce un SOC H24, un servizio completo di incident response o attività di digital forensic, ma offre un punto di riferimento tecnico per interpretare correttamente le evidenze, valutare le priorità e supportare le decisioni operative.

Output principali:
  • supporto tecnico su finding e remediation;
  • confronto su configurazioni e criticità;
  • orientamento su minacce emergenti;
  • primo inquadramento di anomalie segnalate;
  • raccomandazioni operative documentate.

Evidenze compliance e report direzionali

NIS2 · Legge 90/2024 · GDPR

Produzione di report periodici con evidenze tecniche e organizzative utili a supportare il percorso di conformità dell’ente.

Le attività possono contribuire alla documentazione di asset, rischi, controlli, vulnerabilità rilevate, azioni correttive, remediation e accettazione del rischio residuo.

Il servizio non sostituisce il DPO, il RTD, il responsabile della transizione digitale, gli organi interni dell’ente o la consulenza legale, ma fornisce documentazione operativa e verificabile a supporto delle decisioni.

Output principali:
  • report trimestrale;
  • report annuale riepilogativo;
  • evidenze tecniche;
  • stato delle attività;
  • mappa finding/remediation;
  • documentazione utile per audit e controlli.
Approfondimento Tecnico

Focus Internal Assessment

Quando previsto dallo scope, il presidio può includere verifiche interne controllate su rete, Active Directory, segmentazione, servizi critici, condivisioni, configurazioni e backup. L’obiettivo non è svolgere attività invasive o distruttive, ma individuare debolezze realistiche che potrebbero facilitare movimento laterale, escalation di privilegi, accessi non autorizzati o indisponibilità dei servizi.

Le attività interne vengono pianificate con l’ente, autorizzate per iscritto, eseguite con modalità concordate e documentate nei report tecnici e direzionali.

Output dedicati:
  • mappa dei principali rischi interni
  • verifica configurazioni deboli
  • controllo esposizioni interne critiche
  • indicazioni di hardening
  • remediation e retest
Il Metodo

Rilevare, validare, assegnare,
verificare, documentare

Non basta trovare vulnerabilità. Il valore del presidio sta nel processo che segue: ogni finding viene validato, assegnato a un owner, corretto, verificato con retest e documentato. Ogni finding viene tracciato fino alla chiusura, all’accettazione motivata del rischio o alla pianificazione della remediation compatibile con i vincoli dell'ente.

01

Rilevazione

  • • Asset e servizi esposti
  • • Vulnerabilità tecniche
  • • Configurazioni deboli
  • • Variazioni delta
02

Validazione

  • • Riduzione falsi positivi
  • • Contesto e severità reale
  • • Verifica manuale
  • • Classificazione rischio
03

Prioritizzazione

  • • Impatto e probabilità
  • • Criticità del servizio
  • • Piano 30/60/90 giorni
  • • Risk register
04

Assegnazione

  • • Owner nominato
  • • Scadenza concordata
  • • Azione raccomandata
  • • Tracking dashboard
05

Retest

  • • Verifica correzione
  • • Chiusura documentata
  • • Finding residuo
  • • Escalation concordata
06

Evidenza

  • • Report formalizzato e sottoscritto, anche digitalmente ove previsto
  • • Registro rischi storico
  • • Tracciabilità decisioni
  • • Pronto per audit interni

Ciclo operativo — 12 mesi strutturati

M1

Impianto

  • • NDA, DPA, scope
  • • Censimento asset
  • • Setup piattaforma
  • • Owner e escalation
Q1

Baseline

  • • Esposizione esterna
  • • Assessment sul perimetro concordato, anche interno se autorizzato
  • • Prime priorità
  • • Piano remediation
Q2

Validazione

  • • Verifica correzioni Q1
  • • Aggiornamento rischio
  • • 1ª campagna phishing
  • • 1° report direzionale
Q3

Approfondimento

  • • Focus tecnico
  • • Formazione mirata
  • • Aggiornamento remediation
  • • Verifica logging su perimetro concordato
Q4

Annual Review

  • • Retest finding aperti
  • • 2ª campagna phishing
  • • Report annuale
  • • Piano anno successivo
La Piattaforma

Supportato da
Exposure Suite

Il Presidio Cyber PA è supportato da Exposure Suite, la piattaforma proprietaria Entrocore utilizzata per organizzare asset, variazioni, finding, owner, remediation, retest ed evidenze prodotte nel corso del servizio.

Presidio Cyber PA è il servizio. Exposure Suite è l’infrastruttura operativa che consente di mantenere storico, tracciabilità e continuità documentale nel tempo.

Modulo 01

ExposureDelta

Monitora la superficie digitale dell'ente nel tempo: domini, sottodomini, IP pubblici, certificati, servizi esposti e variazioni rispetto alla baseline. Ogni cambiamento rilevante viene registrato e portato all'attenzione dei referenti.

Modulo 02

ExposureVerify

Aiuta a validare e contestualizzare ciò che viene rilevato: riduce il rumore, distingue i falsi positivi, collega l'esposizione esterna agli asset reali e permette di capire quali finding richiedono priorità operativa.

Modulo 03

ExposureResolver

Gestisce la presa in carico dei problemi: owner, priorità, scadenze, stato della remediation, retest, decisioni e storico delle evidenze. Ogni finding ha un percorso documentato fino alla chiusura, all'accettazione motivata del rischio o alla pianificazione della correzione.

Molte attività di cybersecurity producono un report. Il problema è ciò che accade dopo: chi prende in carico il finding, entro quando, con quale priorità, con quale evidenza di correzione. Exposure Suite nasce per gestire proprio questo passaggio — dal controllo tecnico al governo del rischio.
Deliverable

Cosa riceve l'ente
— output concreti

Ogni modulo produce output specifici. Ogni deliverable è collegato al perimetro dell’ente e alle attività effettivamente svolte: ognuno risponde a un'esigenza reale di dirigente, CED, RTD o DPO.

Dashboard Exposure Suite

Vista condivisa su asset monitorati, esposizioni rilevate, finding aperti, owner, priorità, scadenze e stato remediation. La dashboard aiuta direzione, CED, RTD e DPO a lavorare su informazioni aggiornate e tracciabili, riducendo dispersione informativa e tempi di coordinamento.

Per: dirigente, RTD, DPO, CED

Report trimestrale

Documento direzionale e tecnico, formalizzato e sottoscritto anche digitalmente ove previsto, che dimostra cosa è stato verificato, cosa è emerso, cosa è stato corretto e cosa resta da fare.

Per: direzione, audit interni, ispezioni

Piano remediation 30/60/90 gg

Ogni finding viene mantenuto in un registro operativo con priorità, owner, stato e scadenza. Il piano viene aggiornato periodicamente con verifica delle correzioni e follow-up delle criticità ancora aperte. Le criticità non risolte vengono evidenziate nei follow-up e portate all’attenzione dei referenti concordati.

Per: CED, responsabili tecnici

Report phishing simulation

Click rate per periodo, andamento nel tempo, micro-formazione erogata e indicazioni per azioni di miglioramento. Dati aggregati — nessuna identificazione individuale.

Per: HR, dirigente, responsabile formazione

Evidenze compliance

Evidenze tecniche e organizzative a supporto del percorso NIS2 (art. 21), Legge 90/2024, GDPR: asset, rischi, controlli, attività svolte. Fornisce documentazione operativa verificabile e strutturata.

Per: DPO, RTD, ufficio legale, audit e verifiche documentali

Registro rischi e report annuale

Tracciabilità completa: ogni finding rilevato, assegnato, aggiornato e tracciato nel tempo. Maturity summary annuale con evoluzione del rischio. Executive Risk Briefing con piano per l'anno successivo.

Per: direzione, audit, pianificazione IT
Destinatari

A chi è rivolto

Il presidio non è rivolto solo all’area tecnica. Ogni figura dell’ente trova un vantaggio concreto e misurabile, senza sovrapposizioni di ruolo.

Dirigente / Direzione

  • • Visione sintetica del rischio
  • • Evidenze delle attività svolte
  • • Supporto alle decisioni strategiche

CED / Ufficio IT

  • • Finding validati e prioritizzati
  • • Piano remediation realistico
  • • Supporto tecnico operativo

RTD

  • • Supporto al governo della trasformazione digitale
  • • Mappatura e controllo dell'esposizione
  • • Continuità dei servizi digitali

DPO / Privacy

  • • Evidenze su rischi, formazione e misure tecniche
  • • Supporto documentale per audit privacy
  • • Il servizio non sostituisce il ruolo del DPO
Valore Strategico

Valore per la direzione

Il presidio annuale trasforma la cybersecurity da problema tecnico a strumento di governance.

Visibilità condivisa

Dirigenza, RTD, DPO e CED lavorano su una vista comune: asset esposti, rischi aperti, priorità, stato delle correzioni e trend nel tempo. Niente informazioni disperse tra uffici o email.

Controllo documentato

Ogni finding ha una descrizione, una priorità, un owner, una scadenza e uno stato. Il rischio non resta informale: viene tracciato, aggiornato e verificato nel tempo.

Evidenze pronte

Report e registri permettono di dimostrare le attività svolte: verifiche, formazione, remediation, retest e decisioni prese. Pronti per audit, ispezioni o qualsiasi richiesta documentale.

Decisioni rapide

Il dirigente non riceve un elenco tecnico, ma una sintesi utile per decidere: cosa è critico, cosa è urgente, cosa va pianificato e cosa può essere accettato come rischio residuale.

"Non proponiamo un controllo isolato, ma un presidio annuale documentato per trasformare verifiche tecniche, formazione, remediation ed evidenze in un processo di governo del rischio cyber."
Limiti e Perimetro

Cosa è incluso — e cosa no

La chiarezza sul perimetro è parte integrante del servizio. Ogni attività è preventivamente autorizzata, documentata e concordata con i referenti dell'ente. Nessuna sorpresa operativa.

Incluso nel servizio

  • Attività su perimetro concordato e autorizzato per iscritto
  • Attività tecniche non distruttive, svolte secondo modalità e finestre operative concordate
  • Nessuna attività volutamente finalizzata all’interruzione dei servizi in produzione
  • Raccolta evidenze minimizzata e gestita secondo i principi GDPR
  • Sospensione immediata su richiesta del referente dell'ente
  • Tracciabilità completa di ogni attività svolta e documentata
  • Nessuna raccolta di password reali nelle campagne phishing

Fuori perimetro

  • Interventi sistemistici o configurazione diretta dell'infrastruttura
  • Gestione attiva di firewall, EDR, backup o altri componenti di sicurezza
  • SOC H24 e incident response urgente (reperibilità immediata)
  • Sviluppo software, patch o hardening diretto dei sistemi dell'ente
  • Sostituzione del ruolo formale di DPO, RTD o consulenza legale specialistica
  • Attività fuori scope senza nuova e preventiva autorizzazione scritta
  • Red team avanzato, social engineering fisico o attacchi di tipo distruttivo

Tutte le attività fuori perimetro standard sono quotabili separatamente su richiesta.

Limiti e Perimetro: Le evidenze prodotte supportano il percorso di gestione del rischio e conformità dell’ente, ma non costituiscono certificazione, attestazione legale di conformità o sostituzione delle responsabilità proprie dell’ente, del DPO, del RTD, dei fornitori o degli organi competenti.
Percorsi di Servizio

Tre percorsi
su misura dell'ente

Il servizio non ha un costo standard uguale per tutti: ogni ente ha un perimetro digitale diverso, un diverso numero di utenti, fornitori, domini, applicativi, sedi e livelli di criticità.

Per questo Entrocore costruisce una proposta tecnica proporzionata alle reali esigenze dell'ente, dopo una valutazione preliminare del perimetro.

Valutazione preliminare
Prima fotografia dell'esposizione
  • Definizione del perimetro autorizzato
  • Ricognizione non invasiva dell'esposizione pubblica
  • Mappa di domini, sottodomini e servizi esposti
  • Prime criticità prioritarie
  • Report sintetico e briefing direzionale
  • Proposta tecnica per eventuale presidio annuale

Per enti che vogliono ottenere una prima fotografia dell'esposizione digitale prima di avviare un presidio continuativo.

Consigliato per enti strutturati
Presidio annuale
Controllo continuativo documentato
  • Monitoraggio periodico automatizzato dell’esposizione esterna
  • Verifiche esterne e interne secondo scope concordato
  • Remediation tracking con owner e scadenze
  • Dashboard condivisa tra direzione, CED, RTD e DPO
  • Report trimestrali e annuale formalizzati e sottoscritti, anche digitalmente ove previsto
  • Campagne phishing e formazione awareness
  • Evidenze per governance, audit e compliance
  • Executive Risk Briefing periodico

Per enti che vogliono strutturare un controllo continuativo, documentato e misurabile del rischio cyber.

Presidio esteso
Enti strutturati o con perimetro complesso
  • Tutto il presidio annuale incluso
  • Internal assessment approfondito su rete, segmentazione, Active Directory e servizi critici
  • Copertura estesa su domini, IP, subnet e applicativi
  • Simulazioni phishing più articolate
  • Assessment web/API approfondito (OWASP Top 10)
  • Esercitazione guidata di risposta agli incidenti
  • Incontri mensili o bimestrali dedicati
  • Piano di miglioramento annuale

Per enti con perimetri articolati, più sedi, fornitori critici o necessità di supporto avanzato continuativo.

La proposta economica dipende dal perimetro.

Gli elementi che incidono sulla quotazione sono: numero di domini, sottodomini e IP pubblici; numero di utenti coinvolti nelle campagne; presenza di sedi, subnet o applicativi da includere; numero di fornitori digitali coinvolti; frequenza dei report e degli incontri; livello di supporto richiesto per audit, remediation e governance.

L'obiettivo è evitare pacchetti generici e costruire un presidio sostenibile, utile e coerente con il rischio effettivo dell'ente.

Prossimi Passi

Come iniziamo

Il processo di avvio è rapido e non richiede impegni contrattuali immediati. Ogni step è concordato con l'ente e documentato prima di procedere.

01

Condividere il perimetro

È sufficiente una prima interlocuzione con i referenti tecnici e amministrativi dell’ente per raccogliere le informazioni di massima.

02

NDA e Autorizzazione

Con NDA firmato e autorizzazione scritta, eseguiamo la ricognizione non invasiva per produrre una prima fotografia dell'esposizione esterna in tempi rapidi.

03

Presentazione Risultati

Presentiamo la fotografia preliminare alla direzione e ai referenti tecnici, definendo la proposta di presidio e supportando la redazione dei documenti necessari.

Cosa serve per partire

  • Domini pubblici dell'ente
  • IP pubblici, se disponibili
  • Referente tecnico (CED / IT)
  • Referente amministrativo
  • Numero utenti email indicativo
  • Eventuali fornitori principali
  • Autorizzazione scritta al perimetro
  • Non è necessaria una mappatura completa — iniziamo da qui

Avvia una prima valutazione dell'esposizione digitale

Possiamo partire da una ricognizione preliminare non invasiva del perimetro pubblico indicato dall'ente, previa autorizzazione scritta e definizione dello scope.

Richiedi una valutazione preliminare