Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity || Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud || Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity || Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Identity Security
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      Digital Forensics, IRR e preparazione agli incidenti.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Metriche e KPI di sicurezza informatica: cosa monitorare nel 2025
Cybersecurity 101/Sicurezza informatica/Metriche di sicurezza informatica

Metriche e KPI di sicurezza informatica: cosa monitorare nel 2025

Esplora in profondità le metriche di sicurezza informatica per il 2025, dalle categorie e dai KPI chiave alle linee guida NIST, agli esempi e alle best practice. Scopri le sfide e le soluzioni per migliorare la sicurezza informatica nel 2025.

CS-101_Cybersecurity.svg
Indice dei contenuti

Articoli correlati

  • Analisi forense della sicurezza informatica: tipologie e best practice
  • I 10 principali rischi per la sicurezza informatica
  • Gestione del rischio: strutture, strategie e migliori pratiche
  • Che cos'è il TCO (costo totale di proprietà) della sicurezza informatica?
Autore: SentinelOne
Aggiornato: September 7, 2025

Con l'aumento e la sofisticazione delle minacce informatiche, le organizzazioni necessitano di strumenti concreti per misurare l'efficacia della protezione delle risorse critiche. Le metriche di sicurezza informatica ci forniscono questa chiarezza, mostrando se gli investimenti in tecnologia, formazione e processi stanno dando i loro frutti. Tuttavia, solo il 23% delle aziende riferisce che le proprie metriche sono ben comprese dai dirigenti di alto livello, indicando una discrepanza tra le operazioni di sicurezza e la leadership aziendale. Pertanto, ci soffermeremo un attimo a capire quali sono le metriche di sicurezza informatica che contano davvero, perché sono importanti e come iniziare a monitorarle correttamente negli ecosistemi IT moderni di oggi.

In primo luogo, definiamo le metriche di sicurezza informatica, il loro ruolo nella gestione del rischio, nella conformità e nella dimostrazione del ROI. In secondo luogo, illustriamo perché le metriche sono importanti, lasciando che sia il aumento dei pagamenti dei ransomware a parlare da sé e sottolineando la necessità di un monitoraggio continuo. Sulla base delle metriche e delle misure di sicurezza informatica del NIST, analizzeremo quindi le principali categorie di metriche ed elencheremo circa 30 metriche da monitorare.

Metriche di sicurezza informatica - Immagine in primo piano | SentinelOne

Cosa sono le metriche di sicurezza informatica?

Le metriche di sicurezza informatica misurano il livello di sicurezza di un'organizzazione valutando specifici dati nel tempo (ad esempio, tempi medi di applicazione delle patch, successo nella risposta agli incidenti, frequenza di successo del phishing). Oltre alle valutazioni generali dei rischi, si tratta di un approccio strutturato che approfondisce i benchmark delle prestazioni a livello operativo, di conformità e strategico. Indipendentemente dal fatto che si tratti di metriche e misure di sicurezza informatica NIST o di framework interni, KPI ben selezionati ci forniscono una visione obiettiva dell'efficacia delle difese contro le minacce emergenti.

Ma aiutano anche all'allineamento: i team di sicurezza possono fornire ai dirigenti risultati supportati da dati. Entro la fine del 2025, i log arriveranno da dispositivi mobili, sensori IoT, carichi di lavoro cloud e altro ancora, rendendo ancora più difficile scegliere e comprendere le metriche giuste.

Perché le metriche di sicurezza informatica sono importanti?

Le metriche di sicurezza informatica hanno molteplici obiettivi critici per l'azienda, dalla giustificazione delle richieste di budget al rilevamento più rapido delle intrusioni furtive. Con il loro aiuto, le organizzazioni fissano obiettivi realistici, individuano i punti deboli dei processi e dimostrano la conformità alle normative in continua evoluzione.

Poiché il pagamento medio medio ransomware è aumentato da 812.380 dollari nel 2022 a 1.542.333 dollari nel 2023, il rischio di sicurezza informatica è aumentato notevolmente. Ora che conosciamo un aspetto, esaminiamo gli altri cinque motivi per cui le metriche sono importanti.

  1. Dimostrare il ROI alla leadership: Poiché i CISO devono sempre giustificare la spesa per la sicurezza ai dirigenti, che spesso considerano la sicurezza informatica come un centro di costo, devono dimostrare il ROI alla leadership. I leader sono in grado di vedere i benefici tangibili degli investimenti nella sicurezza grazie alla presentazione di metriche chiave di sicurezza informatica, quali i tassi di riduzione degli incidenti, il miglioramento degli SLA relativi alle patch o i tempi di recupero. Colmando il divario tra il gergo tecnico e le priorità del consiglio di amministrazione incentrate sul ROI, questa narrativa basata sui dati è uno strumento potente per il marketer. Le metriche fattuali, non le supposizioni, sono la base per budget solidi in un contesto di crescenti minacce.
  2. Priorità di rischio: Non tutte le vulnerabilità o gli eventi presentano lo stesso livello di rischio. I team analizzano esempi di metriche di sicurezza informatica per capire quali aree, come endpoint, account privilegiati o app pubbliche, presentano il rischio maggiore. Quindi assegnano risorse e personale a questi punti critici ed evitano di sprecare energie su vulnerabilità a basso impatto. Questa precisione porta a una visione più strategica delle attività quotidiane e della prospettiva del rischio.
  3. Accelerazione del rilevamento e della risposta agli incidenti: Gli aggressori traggono vantaggio dalla lentezza del rilevamento: più tempo hanno a disposizione per operare senza essere scoperti, più dati possono sottrarre o sabotare. I team possono monitorare la rapidità con cui individuano e mitigano le minacce tramite metriche quali il tempo medio di rilevamento (MTTD) o il tempo medio di risposta (MTTR). Con il passare del tempo, queste metriche indicano la maturità di un programma di sicurezza quando continuano a migliorare. È chiaro che le metriche e le misure di sicurezza informatica sono collegate a un rilevamento più rapido, con conseguente risparmio di denaro, reputazione e continuità aziendale.
  4. Conformità e allineamento normativo: Con normative come il GDPR e il PCI DSS, è necessario dimostrare l'efficacia dei controlli di sicurezza. Le metriche sulla conformità delle patch, le revisioni dell'accesso degli utenti o la copertura della crittografia aiutano a dimostrare tali controlli in un audit. Le organizzazioni con framework di metriche consolidati forniscono report immediati e verificabili invece di cercare dati ad hoc. Conformità La preparazione è più agevole se allineata a framework quali le metriche e le misure di sicurezza informatica del NIST.
  5. Supporto ai cicli di miglioramento continuo: La sicurezza non è statica, gli attacchi si evolvono e così devono fare le difese. Rivedere mensilmente o trimestralmente le metriche di sicurezza informatica aiuta a identificare le tendenze: c'è stato un calo dei tentativi di phishing dopo la nuova formazione? I ritardi nell'applicazione delle patch sono ancora troppo elevati? Si tratta di una valutazione ciclica che incoraggia una cultura iterativa in cui ogni miglioramento o regressione è evidente. Con il passare del tempo, le metriche diventano la guida per la trasformazione della sicurezza, consentendo di prendere decisioni basate su prove concrete piuttosto che sull'intuizione.

Categorie di metriche di sicurezza informatica

L'ambito e la funzione delle metriche sono molto diversi. Alcune organizzazioni misurano le attività operative quotidiane, mentre altre monitorano livelli di conformità e di rischio più ampi. Questa sezione suddivide le tre categorie principali: metriche operative, metriche di conformità e metriche di gestione dei rischi.

Riconoscendo questi raggruppamenti, è chiaro come le organizzazioni possano organizzare le metriche di sicurezza informatica per affrontare vari obiettivi, come il rispetto dei mandati legali e il controllo dei rischi strategici.

  1. Metriche operative: Includono metriche operative quali la correzione delle vulnerabilità, la scansione di nuove minacce o l'analisi dell'attività degli utenti. Mostrano se i processi fondamentali funzionano correttamente e se si stanno accumulando arretrati. Esempi potrebbero includere il tempo necessario per correggere vulnerabilità critiche o il numero di endpoint ancora non protetti. Il monitoraggio costante di queste metriche porta a miglioramenti immediati nella salute del sistema e nella sicurezza degli utenti. Piccole lacune possono trasformarsi rapidamente in enormi falle per gli aggressori se vengono trascurate.
  2. Metriche di conformità: I governi e le autorità di regolamentazione del settore richiedono sempre più spesso prove in tempo reale dei controlli di sicurezza e della la conservazione dei dati, l'adozione dell'autenticazione a più fattori o i programmi di rotazione delle password sono metriche di conformità comuni. Queste metriche possono essere acquisite e utilizzate per produrre rapidamente prove per gli audit e ridurre l'esposizione legale. Se non si è in linea con questi requisiti, si può incorrere in multe o danni alla reputazione, il che significa che le metriche di conformità sono essenziali.
  3. Metriche basate sul rischio: Queste includono metriche basate sul livello di rischio, come minacce avanzate o esposizione di sistemi non aggiornati. Quantificano la vulnerabilità delle risorse aziendali (come i noti CVE) e producono un punteggio di rischio per indirizzare l'allocazione delle risorse. Queste metriche combinano la gravità tecnica e l'impatto aziendale per collegare le metriche e le misure di sicurezza informatica del NIST alle decisioni a livello dirigenziale. I punteggi di rischio aggregati sono un modo per vedere se la vostra posizione rispetto alle minacce è migliorata, peggiorata o rimasta stabile nel tempo con nuove strategie di sicurezza.

Metriche chiave di sicurezza informatica da monitorare

Decidere quali metriche selezionare è un compito arduo: la domanda è: misurate tutto o vi concentrate su un insieme strategico? Per rispondere a questa domanda, abbiamo compilato circa 30 metriche significative attingendo da più riferimenti, inclusi esempi di metriche di sicurezza informatica provenienti dai principali framework.

Ogni metrica rappresenta una dimensione specifica della vostra posizione di sicurezza, da quella operativa e orientata alla conformità a quella strategica. Approfondiamo ciascuna di esse.

1. Tempo medio di rilevamento (MTTD)

Il tempo medio di rilevamento (MTTD) è uno dei parametri chiave della sicurezza informatica, che misura per quanto tempo le minacce possono proliferare senza essere rilevate. Un MTTD elevato indica processi di rilevamento lenti o un monitoraggio insufficiente. Le organizzazioni sono in grado di dimostrare i miglioramenti nelle loro capacità di rilevamento seguendo l'MTTD. Un calo continuo dell'MTTD implica un ambiente di sicurezza più proattivo.

2. Tempo medio di risposta (MTTR)

Quando viene rilevata un'anomalia, quanto tempo occorre ai team per contenere la minaccia, chiudere le falle o eliminare il malware? Un valore più basso di MTTR indica che i flussi di lavoro sono ben coordinati e gli incidenti vengono gestiti in modo adeguato. Insieme all'MTTD, offre una visione completa dell'efficacia della sicurezza. L'MTTD/MTTR è molto importante per molti consigli di amministrazione quando si tratta di determinare i budget o le soluzioni dei fornitori.

3. Tempo medio di contenimento (MTTC)

Si riferisce al tempo necessario per arrestare la diffusione della minaccia, anziché per risolverla completamente. Se un endpoint è stato compromesso, l'autore dell'attacco è passato ad altri endpoint? Un MTTC breve indica un buon controllo dei movimenti laterali e una quarantena rapida. La metrica che risuona con la dimensione della sicurezza informatica è il rilevamento, la risposta e la segmentazione dell'ambiente.

4. Tasso di clic di phishing

Il phishing è ancora uno dei principali vettori di attacco, che può portare al furto di credenziali o all'infezione da ransomware. Uno degli esempi di metriche di sicurezza informatica è sapere quanti dipendenti cliccano sui link di phishing simulati. Questo è il risultato di una formazione efficace e di un comportamento prudente da parte degli utenti. I tassi di clic potrebbero essere elevati, il che richiederebbe sessioni di aggiornamento o campagne di sensibilizzazione più avanzate.

5. Tasso di conformità delle patch

Le vulnerabilità che non vengono corrette lasciano aperte delle falle che possono essere sfruttate e questo viene misurato come tasso di conformità delle patch. La conformità delle patch si riferisce alla percentuale di endpoint che dispongono dell'ultima versione delle patch critiche o ad alta gravità. Un tasso di conformità elevato è in linea con le metriche e le misure di sicurezza informatica del NIST e implica un rischio minimo di sfruttamento da parte di bug noti. Molte organizzazioni hanno obiettivi di conformità delle patch (ad esempio, 95% o 99%) per eseguire tempestivamente gestione delle vulnerabilità.

6. Ricorrenza delle vulnerabilità

La stessa vulnerabilità ricompare perché le correzioni non sono state completate interamente o perché il codice è stato reintrodotto. Questa misura viene utilizzata per tracciare la frequenza con cui una vulnerabilità precedentemente risolta ricompare nell'ambiente. Un'elevata ricorrenza implica che vi sia un problema di processo più profondo con DevOps o una gestione delle patch non allineata. Il miglioramento robusto e coerente delle metriche di sicurezza informatica si ottiene riducendo la ricorrenza.

7. Tentativi di intrusione bloccati

Questo include il numero di tentativi di accesso dannosi, scansioni delle porte o payload di exploit noti che le vostre difese hanno bloccato con successo. Tuttavia, può essere gonfiato a causa di bot di scansione casuali. Anche se può essere gonfiato dai bot di scansione casuale, riflette l'esposizione al rischio nell'ambiente. Differenziare gli attacchi mirati dal rumore di fondo di Internet correlando i dati degli honeypot. Esaminare i tentativi di intrusione nel tempo aiuterà a perfezionare i set di regole o la postura di sicurezza.

8. Tasso di accesso fallito

Monitorate il numero di tentativi di accesso non riusciti al giorno o alla settimana. Alcuni fallimenti di base sono normali (errori di battitura), ma un picco improvviso potrebbe essere segno di campagne di forza bruta o di test di credenziali rubate. Queste metriche sono solitamente generate da un sistema di analisi dei log dedicato o da un SIEM. Evidenziate i potenziali comportamenti dannosi incrociando i dati con i contesti degli utenti (posizione o orari insoliti).

9. Gravità degli incidenti

Classificare gli incidenti rilevati (ad esempio, avvisi o potenziali violazioni) in base ai livelli di gravità (bassa, media, alta, critica). Il monitoraggio delle tendenze vi dirà se il vostro ambiente è oggetto di attacchi più gravi o se i miglioramenti nel rilevamento stanno riducendo il rapporto degli avvisi di alto livello. Inoltre, questa misura può aiutare nella pianificazione delle risorse: incidenti critici frequenti possono richiedere più personale o strumenti specializzati.

10. Causa principale degli incidenti di sicurezza

Stabilire se i problemi sono causati da configurazioni errate, phishing, software obsoleto o uso improprio dei privilegi. Gli incidenti possono essere suddivisi in categorie di cause principali e i team possono investire nelle soluzioni giuste (formazione avanzata anti-phishing o processi di patch migliorati). I cambiamenti nella distribuzione nel tempo indicano se le politiche affrontano efficacemente le principali vulnerabilità. Questa metrica favorisce un approccio basato sui dati per la definizione delle priorità.

11. Completamento della formazione sulla consapevolezza degli utenti

Si tratta del numero di moduli di formazione obbligatoria sulla sicurezza o esercitazioni di phishing completati. È anche legato alle metriche di sicurezza informatica e alle misure di preparazione della forza lavoro, come il tasso di clic di phishing o il potenziale di minaccia interna. Si tratta di una forza lavoro con alti tassi di completamento e ottimi punteggi nei quiz e, quindi, più abile nell'identificare link sospetti o tattiche di ingegneria sociale. Se la conformità è carente, ci si può aspettare vulnerabilità dovute a sviste a livello di utente.

12. Percentuale di sistemi coperti da EDR

Gli endpoint non integrati con EDR o AV di nuova generazione sono punti ciechi che non dispongono di copertura EDR. Si tratta di una metrica del numero di dispositivi con rilevamento endpoint aggiornato. La copertura può diminuire per i sistemi remoti o aggiunti di recente in organizzazioni grandi e decentralizzate. Mantenere una copertura vicina al 100% è coerente con le dimensioni della sicurezza informatica per protezione degli endpoint, garantendo un rilevamento coerente delle intrusioni.

13. Costo medio degli incidenti

Un KPI di natura finanziaria calcolato come il costo totale della risposta agli incidenti, dei tempi di inattività, delle spese legali e dell'impatto sul marchio durante un determinato periodo diviso per il numero di incidenti. Una tendenza al rialzo potrebbe riflettere una maggiore infiltrazione o tempi di risposta più lenti. I dirigenti che troppo spesso richiedono il ROI o la quantificazione del rischio rispondono bene alle metriche dei costi. Il calo del costo medio degli incidenti nel tempo attesta che le misure di sicurezza stanno dando i loro frutti.

14. Numero di violazioni delle politiche di sicurezza

Monitorate quante volte i dipendenti o i processi violano le vostre regole di sicurezza: classificazione dei dati, installazioni di software non autorizzate, utilizzo di supporti rimovibili, ecc. Il numero potrebbe aumentare a causa dell'ignoranza delle politiche o dell'inadeguatezza della formazione degli utenti. La correzione mirata di questa misura è facilitata dall'allineamento con i gruppi di utenti. Il rispetto delle politiche è spesso identificato come un fattore chiave per una solida posizione di rischio dalle metriche e dalle misure di sicurezza informatica del NIST.

15. Tempo di distribuzione delle patch di sicurezza

A differenza del tasso di conformità, questa metrica rileva il tempo medio che intercorre tra il rilascio della patch e la sua distribuzione nell'ambiente. Tempi più brevi significano meno tempo a disposizione per lo sfruttamento. Combinalo con un obiettivo SLA, come patch ad alta priorità, in meno di 7 giorni. I tempi sono misurati dai team, il che aiuta a identificare i colli di bottiglia (programmazione dei tempi di inattività, dipendenza dai fornitori, ecc.) e a perfezionare le pipeline delle patch.

16. Casi di sfruttamento zero-day

Contate quante volte gli exploit sconosciuti o "in circolazione" causano incidenti nel vostro ambiente. Gli exploit zero-day sono ancora difficili da bloccare, ma questa metrica vi dice se li state bloccando con strumenti di rilevamento avanzati o informazioni sulle minacce. Se il numero è costante o in aumento, sapete che dovete migliorare la vostra risposta agli incidenti o segmentare maggiormente la vostra rete.

17. Tentativi di esfiltrazione dei dati

Registra il numero di tentativi di trasferimento di file di grandi dimensioni sospetti o di download di dati anomali. Un sistema di rilevamento perfezionato segnalerà le esfiltrazioni realmente dannose, mentre appariranno alcuni falsi positivi. Tassi così elevati indicano un ambiente compromesso o una minaccia interna che tentano di rubare dati IP o dei clienti. Con il passare del tempo, è possibile analizzare i modelli per vedere se ci sono determinati segmenti o gruppi di utenti che sono oggetto degli attacchi.

18. Volume di traffico DNS e di comando e controllo

Il malware comunica solitamente con server esterni per ricevere comandi o esfiltrare dati, generando così traffico DNS e di comando e controllo. È possibile valutare i tentativi di infiltrazione monitorando le query DNS sospette o i modelli di comando e controllo. I domini dannosi appena scoperti potrebbero essere indicati da un picco nelle anomalie DNS. È inoltre utile isolare rapidamente gli endpoint infetti o bloccare gli indirizzi IP dannosi noti con i registri di rilevamento delle intrusioni.

19. Stato di rafforzamento del sistema

Quanti server o endpoint sono conformi alle linee guida di configurazione di sicurezza di base (ad esempio, i benchmark CIS)? Questo è un esempio di metrica operativa di sicurezza informatica che rientra nelle misure che verificano la conformità delle configurazioni agli standard raccomandati. Se molti sistemi si discostano da tali standard, l'ambiente è maturo per essere sfruttato. Si crea così una cultura del monitoraggio dei miglioramenti e dell'attenzione alle configurazioni con privilegi minimi e alle impostazioni di crittografia aggiornate.

20. Monitoraggio degli account privilegiati

Questo può essere monitorato contando il numero di account amministratori o root e la frequenza con cui vengono utilizzati. L'impatto delle violazioni aumenta con un numero eccessivo di account privilegiati o un utilizzo non monitorato. Questa metrica manterrà sotto controllo le metriche e le misure di sicurezza informatica del NIST relative al controllo degli accessi. Una scarsa igiene dell'identità è indicata da un'eccessiva proliferazione, quindi ogni trimestre cercate di ridurre o perfezionare questi account.

21. Efficacia del backup e del ripristino

Si tratta di una misura che indica se i backup vengono eseguiti quando dovrebbero, se sono accessibili quando necessario e con quale rapidità è possibile ripristinare i dati dopo un incidente. La resilienza è indicata da alti tassi di successo con tempi di ripristino brevi. Il ripristino dal ransomware è a rischio se i backup falliscono o vengono testati raramente. Abbinando questo dato alle metriche dei test di DR, si ottiene un quadro chiaro di quanto sia effettivamente solida la continuità operativa della vostra azienda.

22. Tentativi di escalation dei privilegi utente

Monitoraggio dei log per eventi ripetuti o sospetti di elevazione dei privilegi. Le escalation potrebbero essere tentate da aggressori o malintenzionati interni per aggirare le normali restrizioni. I tentativi di compromissione più profondi delle risorse critiche sono associati a una frequenza costante o in aumento. Rileva i tentativi di infiltrazione e ottimizza le regole di rilevamento per bloccare o indagare rapidamente prima che si diffondano.

23. Anti-phishing / Efficacia del gateway di posta elettronica

Quante e-mail dannose o spam vengono bloccate ogni giorno dai sistemi di filtraggio della posta elettronica rispetto alla quantità che viene ricevuta? Pertanto, le prestazioni robuste del gateway di posta elettronica sono caratterizzate da un elevato rapporto di blocco con un numero minimo di falsi negativi. D'altra parte, eventi di infiltrazione ripetuti indicano la presenza di regole obsolete o di un filtro difettoso. Queste metriche sono coerenti con le metriche di sicurezza informatica e le misure di efficacia della difesa perimetrale.

24. Livello di patch del browser e delle applicazioni

Oltre agli aggiornamenti del sistema operativo, i browser più diffusi o le app di terze parti rappresentano spesso i principali vettori di infiltrazione. Un approccio parziale alle patch consiste nel contare quanti endpoint utilizzano versioni precedenti. Avere un obiettivo (ad esempio, "il 95% dei browser aggiornati entro 2 giorni dal rilascio della patch") promuove la coerenza nella conformità. La mancata tracciabilità delle statistiche relative alle patch dei browser crea una grave vulnerabilità, poiché gli exploit basati sul web sono comunemente utilizzati per colpire i browser.

25. Punteggi di valutazione della formazione sulla consapevolezza della sicurezza

Scoprite i punteggi ottenuti dai dipendenti nei quiz simulati di ingegneria sociale o sicurezza. Se i punteggi medi calano o se un reparto fallisce ripetutamente, è urgente organizzare una formazione. Questi punteggi integrano il tasso di clic di phishing e forniscono prove delle dimensioni della sicurezza informatica basate sugli utenti. Il miglioramento dei punteggi nel tempo riflette una cultura della sicurezza sempre più matura.

26. Punteggio di rischio dei fornitori terzi

Molte violazioni provengono da un fornitore o da un prestatore di servizi che ha un accesso alla rete compromesso. Il punteggio di rischio dei fornitori è un modo per misurare quanto un terzo sia in linea con le vostre aspettative in materia di sicurezza: politiche di patch, standard di crittografia, risposta agli incidenti, ecc. La revisione regolare dei punteggi vi tiene informati su qualsiasi deterioramento della posizione dei partner prima che abbia un effetto sul vostro ambiente. Questo approccio colma una lacuna nelle metriche e nelle misure di sicurezza informatica del NIST, estendendo il monitoraggio dei rischi al di fuori dei confini della vostra organizzazione.

27. Tasso di configurazione errata del cloud

Con l'aumento dell'utilizzo del cloud, aumentano anche i pericoli di un bucket S3 configurato in modo errato, con volumi di archiviazione aperti o interfacce amministrative esposte. Questa metrica ci indica la percentuale di risorse cloud che non hanno configurazioni di base sicure. Pipeline DevSecOps più solide e controlli ambientali migliori si traducono in un tasso di configurazione errata più basso. Tuttavia, quando i numeri persistono o aumentano, è necessario prestare urgente attenzione, poiché i database aperti o i blob leggibili pubblicamente sono ancora le principali vie di infiltrazione.

28. Vulnerabilità critiche irrisolte nel tempo

Questa metrica non solo tiene traccia del tasso di conformità della patch, ma identifica anche quante CVE critiche rimangono aperte per lunghi periodi di tempo. Quando il dato raggiunge picchi o si stabilizza, i sistemi rimangono vulnerabili a exploit di gravità elevata. I team di sicurezza considerano le "vulnerabilità critiche irrisolte" come un arretrato urgente che deve essere corretto o mitigato immediatamente. Si tratta di un chiaro indicatore dell'efficacia con cui l'organizzazione gestisce le vulnerabilità software più gravi.

29. Tasso di completamento delle valutazioni di sicurezza

Molte aziende richiedono valutazioni di sicurezza interne o esterne (ad esempio, test di penetrazione e audit di conformità di terze parti) su base periodica. Si tratta della percentuale di valutazioni pianificate che vengono completate interamente nei tempi previsti. Tassi bassi indicano colli di bottiglia nella pianificazione o vincoli di budget nell'uso delle metriche e delle misure di sicurezza informatica. Tassi di completamento elevati aiutano a convalidare la preparazione e a identificare le lacune in cui il rilevamento dei rischi non avviene in modo continuo.

30. Incidenti di esposizione delle informazioni sanitarie protette elettroniche (ePHI)

L'esposizione delle ePHI per le organizzazioni sanitarie che trattano informazioni mediche rappresenta un enorme rischio reputazionale e normativo. Questa metrica viene calcolata contando il numero di volte in cui le informazioni relative ai pazienti vengono consultate o divulgate senza autorizzazione. La conformità all'HIPAA o a leggi simili è sottolineata dal monitoraggio delle esposizioni delle ePHI, che a sua volta richiede controlli di accesso rigorosi e crittografia. Un picco rappresenta una lacuna urgente da colmare nella governance dei dati, mentre una tendenza al ribasso indica che la gestione dei dati sta migliorando.

Sfide nella misurazione delle metriche di sicurezza informatica

Sebbene i vantaggi siano evidenti, la creazione di un quadro di metriche efficace è tutt'altro che facile. La misurazione delle metriche di sicurezza informatica può essere un processo complesso, che va dai vincoli di volume dei dati alle minacce intangibili. Di seguito sono riportate cinque sfide chiave che impediscono un monitoraggio coerente e affidabile e come le organizzazioni possono superarle:

  1. Mancanza di standardizzazione: Gli incidenti o le vulnerabilità sono definiti in modo diverso dai vari team o fornitori. A causa di questa incoerenza, i dati risultano confusi tra i vari reparti o nelle configurazioni multi-cloud. I confronti tra elementi dissimili sono inefficaci senza definizioni standardizzate o un sistema di classificazione condiviso. La soluzione consiste nell'elaborare convenzioni di denominazione coerenti che siano convalidate da un comitato di governance o da quadri di riferimento (come le metriche e le misure di sicurezza informatica del NIST).
  2. L'eccessiva dipendenza dagli strumenti automatizzati: L'automazione può accelerare la raccolta dei dati, ma alcune metriche richiedono l'interpretazione umana (ad esempio, la causa principale o il punteggio di gravità). Le metriche basate esclusivamente sugli strumenti sono più soggette a produrre falsi positivi o correlazioni incomplete. L'efficienza delle macchine e l'analisi qualificata sono bilanciate. Questa sinergia contribuisce a fornire un quadro accurato della sicurezza dell'ambiente.
  3. Dati e sistemi isolati: Le grandi imprese spesso dispongono di registri e scansioni delle vulnerabilità distribuiti su diversi SIEM, EDR o dashboard cloud. Se non si dispone di una piattaforma unificata o, in qualche modo, di un'integrazione tra strumenti, è difficile creare esempi significativi di metriche di sicurezza informatica. I dati sono ancora bloccati in silos dipartimentali. Ciò significa che per superare questo ostacolo è necessaria un'architettura consolidata o pipeline di dati ben orchestrate.
  4. Interpretazione errata delle metriche da parte degli stakeholder: I dirigenti o i membri del consiglio di amministrazione possono fraintendere o sottovalutare alcune delle metriche, guardando solo ai costi o ai dati di alto livello. Questo divario può rappresentare un problema se i team di sicurezza prendono decisioni basate su metriche operative sfumate. I dashboard o le traduzioni come il punteggio basato sul rischio o l'impatto sul business sono chiari. Lo scopo è colmare il divario linguistico tra il personale tecnico addetto alla sicurezza e la leadership aziendale.
  5. Cambiamento del panorama delle minacce: Una metrica rilevante oggi potrebbe diventare obsoleta se gli aggressori modificano le loro TTP. Ad esempio, il malware basato sulla memoria o senza file è diventato più popolare rispetto alle vecchie minacce basate sulle firme. Questa continua iterazione del set di metriche garantisce il monitoraggio dei nuovi angoli di infiltrazione o dei tassi di exploit zero-day. Se non ci si adatta, si misurano le vecchie minacce e si perdono quelle attuali.

Best practice per sfruttare le metriche di sicurezza informatica

Disporre di un insieme ben definito di metriche aiuta i team a districarsi in ambienti di rischio complessi. Tuttavia, le metriche hanno un impatto reale solo se sono parte integrante dei processi quotidiani di un'azienda.

Di seguito sono riportate cinque best practice per unificare le metriche con flussi di lavoro di sicurezza più ampi, da definizioni coerenti a cambiamenti culturali basati sui dati:

  1. Allineare le metriche agli obiettivi aziendali: ogni metrica dovrebbe essere legata a un risultato aziendale specifico, come la fiducia degli utenti, la conformità o il risparmio sui costi derivante da un minor numero di violazioni. Questo allineamento impedisce anche che le metriche vengano monitorate per vanità o tradizione. Al contrario, alimentano la crescita aziendale o la reputazione del marchio. È possibile ottenere il sostegno della dirigenza dimostrando che le metriche di sicurezza informatica sono legate agli obiettivi di fatturato o alla fedeltà al marchio.
  2. Rendere le metriche semplici e attuabili: un centinaio di metriche su un dashboard sono eccessive e inattuabili. Scegliete una serie di metriche chiave di sicurezza informatica che influenzano direttamente le decisioni aziendali, ad esempio la conformità delle patch o i tassi di clic di phishing. Ogni misura dovrebbe anche rispondere alla domanda: "Cosa faremo di diverso se questo numero cambia?" Se la domanda non è chiara, il valore della metrica è discutibile.
  3. Creare un ciclo di feedback per il miglioramento continuo: Se i tassi di phishing aumentano del 10%, potreste immediatamente formare i reparti interessati. Eseguite la nuova formazione e misurate i risultati. Quando il tasso non diminuisce, è il momento di cambiare nuovamente strategia. Con questo ciclo di feedback, le metriche di sicurezza informatica diventano un motore di miglioramento dinamico, non dashboard statiche o obsolete.
  4. Abbina le metriche al rischio o al costo: Metriche come "75 vulnerabilità non corrette" non sono significative senza il rischio o il costo di non correggere tali vulnerabilità. Ad esempio, mappare ogni vulnerabilità critica aperta a possibili esposizioni di dati o ricadute sul marchio. La ponderazione basata sul rischio è analoga a ciò che desiderano i dirigenti di alto livello e incoraggia la rapida adozione delle patch. La sinergia favorisce decisioni di sicurezza più informate e basate sulle priorità.
  5. Promuovere la visibilità delle metriche e la collaborazione: Aggiornate regolarmente le metriche con team interfunzionali (DevOps, Finanza, Risorse umane, ecc.) per vedere come si evolve la situazione della sicurezza. Il personale non tecnico diventa consapevole delle potenziali minacce e la collaborazione favorisce una cultura attenta alla sicurezza. Gli strumenti che offrono la possibilità di suddividere i dati metrici per regione, linea di prodotti, ambiente, ecc. migliorano anche la responsabilità. La sicurezza diventa gradualmente qualcosa di condiviso dall'intera organizzazione, non solo dal reparto IT.


Cybersicurezza alimentata dall'intelligenza artificiale

Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.

Richiedi una demo

Conclusione

Metriche di sicurezza informatica efficaci sono essenziali per prendere decisioni, poiché i vettori di minaccia si moltiplicano e i consigli di amministrazione richiedono un ROI concreto. Le metriche trasformano i rischi intangibili in dati misurabili in numeri, creando un collegamento tra i dettagli tecnici e la supervisione esecutiva. Che si tratti del tempo di ciclo delle patch, dell'utilizzo di account privilegiati o dei tassi di rilevamento delle minacce avanzate, metriche accuratamente selezionate rendono trasparente il progresso della sicurezza. Se il vostro team adotta un approccio strutturato, come l'allineamento con le metriche e le misure di sicurezza informatica del NIST, sarà in grado di identificare i punti deboli, rafforzare la responsabilità e distribuire strategicamente le risorse.

Tuttavia, i dati da soli non sono sufficienti per avere successo. È necessaria la collaborazione tra i team, il miglioramento continuo e soluzioni che riuniscano log, risultati delle vulnerabilità e informazioni sulle minacce in un unico piano di visibilità. È possibile ottenere metriche personalizzate per consentire alla propria organizzazione di misurare le attività di sicurezza quotidiane e le sfide in continua evoluzione poste dalle minacce.

"

Domande frequenti sulle metriche di sicurezza informatica

Non tutti i rischi si manifestano sotto forma di log evidenti o tentativi di exploit: le intenzioni degli insider, gli attacchi basati sull'intelligenza artificiale e le debolezze della catena di approvvigionamento possono essere sottili. Metriche come gli incidenti zero-day basati su anomalie o le escalation di privilegi sospette offrono un assaggio di queste minacce nascoste. Quantificando anche solo segnali parziali, le organizzazioni ottengono una visione più completa delle tattiche in evoluzione.

Sì. Le configurazioni errate del cloud spesso non vengono rilevate, ma comportano rischi significativi di violazione: i bucket di archiviazione esposti o i database aperti sono gli obiettivi principali. Il monitoraggio dei tassi di configurazione errata individua i punti deboli ricorrenti nelle pratiche DevOps, consentendo un rapido intervento correttivo. Nel tempo, una metrica di configurazione errata in calo suggerisce processi più solidi, una migliore automazione e una formazione più efficace. Con la crescita dell'utilizzo del cloud, questa misura emerge come una delle metriche chiave da tenere d'occhio in materia di sicurezza informatica.

Esamina una combinazione di tassi di clic di phishing, punteggi di completamento della formazione e segnalazioni di quasi incidenti, ovvero casi in cui i dipendenti individuano tentativi di attacco. Queste metriche rivelano quanto il personale abbia interiorizzato le politiche e contrasti attivamente le minacce. Un alto tasso di completamento della formazione ma tassi di clic invariati, ad esempio, segnalano la necessità di contenuti interattivi più approfonditi. Il monitoraggio di questi dati aiuta a perfezionare le difese incentrate sull'uomo contro il social engineering.

In un panorama in rapida evoluzione, le revisioni trimestrali potrebbero essere troppo lente. Molti esperti suggeriscono controlli mensili o addirittura settimanali, soprattutto per misure ad alto rischio come MTTD o vulnerabilità non corrette. Una rivalutazione frequente evidenzia nuove minacce, garantisce che le metriche rimangano pertinenti e individua più rapidamente le condizioni di deterioramento. Più velocemente si individua uno scostamento nei KPI critici, meglio si può prevenire un grave compromesso.

Le metriche operative monitorano i processi quotidiani come la conformità delle patch o il tempo di attività del sistema, offrendo istantanee granulari dello stato di salute tecnico. Al contrario, le metriche basate sul rischio considerano l'impatto sul business, mappando le vulnerabilità alle potenziali perdite o alle sanzioni normative.

Scopri di più su Sicurezza informatica

26 esempi di ransomware spiegati nel 2025Sicurezza informatica

26 esempi di ransomware spiegati nel 2025

Esplora 26 esempi significativi di ransomware che hanno plasmato la sicurezza informatica, compresi gli ultimi attacchi del 2025. Comprendi come queste minacce influenzano le aziende e come SentinelOne può aiutarti.

Per saperne di più
Che cos'è lo smishing (phishing via SMS)? Esempi e tatticheSicurezza informatica

Che cos'è lo smishing (phishing via SMS)? Esempi e tattiche

Scopri cos'è lo smishing (phishing via SMS) e come i criminali informatici utilizzano messaggi di testo falsi per rubare informazioni personali. Impara a riconoscere i segnali di allarme e come proteggerti da queste truffe.

Per saperne di più
Lista di controllo per la verifica della sicurezza: 10 passaggi per la protezioneSicurezza informatica

Lista di controllo per la verifica della sicurezza: 10 passaggi per la protezione

Scoprite i fondamenti delle checklist di audit di sicurezza, dalla loro importanza e dalle lacune comuni alle best practice e ai passaggi chiave per il successo. Comprendete i tipi di audit e gli esempi e scoprite come migliorare i risultati degli audit della vostra organizzazione.

Per saperne di più
Che cos'è una configurazione di sicurezza errata? Tipi e prevenzioneSicurezza informatica

Che cos'è una configurazione di sicurezza errata? Tipi e prevenzione

Scopri come le configurazioni di sicurezza errate possono influire sulle applicazioni web e sulle aziende. Questa guida offre esempi, incidenti reali e misure pratiche di mitigazione per migliorare la sicurezza informatica.

Per saperne di più
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Italiano
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2025 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo