La spinta verso la platformizzazione nella sicurezza aziendale nasce da un’esigenza concreta: ridurre la frammentazione. Un report di IBM e Palo Alto Networks di gennaio 2026 evidenzia che le organizzazioni gestiscono in media 83 soluzioni di sicurezza provenienti da 29 vendor, una complessità che genera interstizi sfruttabili dagli attaccanti. La razionalizzazione non è solo una questione di costi, ma di chiarezza operativa e di efficacia difensiva.
Tuttavia, l’idea di un unico ecosistema che tutto risolve è seducente e pericolosa. Una piattaforma presentata come end-to-end può essere, nella pratica, una collezione di moduli co-locati senza reale integrazione. Il risultato può trasformare la ricerca di semplicità in un single point of failure che paralizza interi processi aziendali.
Riconoscere il “teatro” dell’integrazione
Il cosiddetto integration theatre si manifesta con API incollate senza un modello dati comune, interfacce che aggregano segnalazioni senza correlazione contestuale e pacchetti commerciali che vendono integrazione ma sono, di fatto, soluzioni disaccoppiate. Per distinguere il marketing dalla funzione reale bisogna porre domande orientate agli outcome e non alle feature: una rilevazione in un modulo innesca automaticamente un cambiamento di policy in un altro senza intervento umano? Una compromissione di identità può portare all’isolamento dell’endpoint in meno di un minuto? Esiste un flusso bi-direzionale di dati dimostrabile tra XDR, SIEM e CSPM in un ambiente reale e non solo in demo commerciale? Le vere piattaforme abbassano MTTD e MTTR; il teatro no.
Domande pratiche ai vendor
Oltre ai casi d’uso, chiedete prove di resilienza: cosa succede se un modulo fallisce? Il sistema degrada con isolamento dell’errore o crolla l’intera catena? Richiedete test live, rollback automatizzati e spiegazioni tecniche sul modello dati condiviso.
Se la risposta è vaga o si limita a “degrada in modo controllato”, approfondite: spesso è segno di una piattaforma assemblata e non progettata per la continuità.
Il campanello d’allarme CrowdStrike
Il 19 luglio 2026 un aggiornamento di configurazione difettoso del sensore Falcon di CrowdStrike ha spento circa 8,5 milioni di dispositivi Windows in tutto il mondo, coinvolgendo compagnie aeree, ospedali e servizi di emergenza. I danni economici stimati per il mondo corporate sono stati dell’ordine di $5,4bn, con Delta Air Lines che ha riportato perdite intorno a $500m. Non si è trattato di un attacco, ma di un guasto di piattaforma. Per chi aveva consolidato endpoint protection, identity threat detection e cloud security nello stesso stack, l’impatto è stato vicino alla paralisi organizzativa.
La lezione non è rinunciare al consolidamento, ma capire cosa si sacrifica: ridondanza architetturale e isolamento dei guasti in cambio di semplicità operativa.
Governance e controlli architetturali
La concentrazione del rischio richiede una governance altrettanto concentrata. Le indicazioni della Financial Conduct Authority dopo l’incidente CrowdStrike hanno imposto che, entro marzo 2026, le imprese soggette alle regole di resilienza operativa dimostrassero la capacità di sostenere servizi critici in scenari di grave ma plausibile failure. Questo standard è utile per qualsiasi CISO che valuti la platformizzazione: no alle scelte basate solo sul prezzo o sul marketing.
Pilastri pratici per ridurre il rischio
Propongo tre linee guida: (1) ridondanza a livelli: evitare che un singolo vendor controlli più di due domini adiacenti senza fallback contrattuale e tecnico; impiegare rollout a canary, staged deployment e rollback automatizzati come requisiti SLA; (2) applicare i principi del zero trust anche dentro una piattaforma unificata, segmentando i flussi per limitare la propagazione di un guasto; (3) mantenere una sorveglianza continua sul third-party risk: audit contrattuali, penetration test indipendenti, clausole di escrow e strategie di exit documentate sono elementi indispensabili, in linea con i warning del WEF Global Cybersecurity Outlook 2026 sulle vulnerabilità di supply chain.
Il dialogo con il board
I consigli del WEF cambiano il tono delle domande in sala board: non si chiede più soltanto se si è “secure”, ma se si è “resilienti”. La platformizzazione può essere un potente abilitatore di resilienza, a patto che il CISO esiga integrazione reale, costruisca una governance proporzionata al rischio e mantenga l’indipendenza architetturale necessaria a sopravvivere a eventuali fallimenti di vendor. In sintesi, il consolidamento è una strategia valida; il teatro dell’integrazione è una responsabilità che nessuno dovrebbe firmare senza avere chiari controlli e piani di contingenza.
