www.montesino.it
Corporate Protection - INSIGHTS

I diversi tipi di threat intelligence: strategica, tattica e operativa

La gestione del rischio in azienda non è una novità. In ogni business plan, in ogni relazione direzionale, nei flussi di lavoro interni c’è sempre un riferimento alla necessità di “tenere sotto controllo i rischi”.

04 AGOSTO 2025

10 Minuti di lettura

Introduzione 

È diventata una componente critica della gestione strategica del rischio e della continuità operativa. Gli attacchi informatici, oggi, colpiscono le aziende non solo nei sistemi, ma nei margini, nella reputazione e nella fiducia degli stakeholder.

Per governare questo rischio in modo efficace, non basta dotarsi di strumenti di difesa. Serve capacità di lettura. Occorre anticipare le minacce, identificarne le logiche, riconoscerne i segnali prima che si traducano in impatti operativi o finanziari. Ed è proprio qui che interviene la threat intelligence: un sistema strutturato per raccogliere, analizzare e tradurre in azione le informazioni rilevanti sulle minacce emergenti.

Ma non tutte le informazioni sono uguali, né tutte servono allo stesso scopo. Esistono tre livelli distinti di threat intelligence – strategico, tattico e operativo – ciascuno con un ruolo specifico nel supportare decisioni, allocare risorse e costruire una risposta coerente alle vulnerabilità aziendali. Comprenderne il funzionamento e integrarli nella governance non è solo una scelta tecnica: è una responsabilità direzionale.

Threat intelligence strategica: visione e indirizzo per il board

La threat intelligence strategica è quella che supporta le decisioni ad alto livello. Non si occupa dei singoli attacchi o delle vulnerabilità tecniche, ma delle tendenze generali, degli scenari evolutivi, dei profili di rischio sistemici e del posizionamento dell’azienda rispetto a essi.

Serve a rispondere a domande come:

  • Quali sono gli attori più attivi nel nostro settore?
  • Quali minacce emergenti potrebbero colpire la nostra supply chain o i nostri asset digitali nei prossimi 12-24 mesi?
  • Quanto siamo esposti rispetto a competitor o aziende simili per modello di business?
  • Come integrare la sicurezza nella pianificazione industriale e nella gestione del rischio d’impresa?

Questo tipo di intelligence non è tecnica, ma strategica, e deve entrare nei board report, nei comitati rischi, nelle due diligence, nei processi decisionali di investimento e nelle strategie di internazionalizzazione. Per questo motivo, viene spesso alimentata da: 

  • report OSINT (open source intelligence) e white paper settoriali;
  • report governativi o di intelligence nazionale/internazionale (es. ENISA, ANSSI, CISA, MITRE);
  • studi su minacce geopolitiche, normative, settoriali;
  • consulenze di esperti esterni o advisory specializzati.

Una threat intelligence strategica ben strutturata permette di anticipare i problemi, invece di reagire quando si manifestano.

Threat intelligence tattica: leggere i pattern degli attacchi

Il livello tattico è il ponte tra la strategia e l’operatività. Qui si analizzano le tecniche, le procedure e i comportamenti ricorrenti usati dagli attaccanti, per trasformarli in alert concreti e guidare la configurazione dei sistemi di difesa.

La threat intelligence tattica serve a rispondere a domande come:

  • Quali strumenti e metodi vengono utilizzati oggi da un certo gruppo hacker per compromettere un’azienda come la nostra?
  • Quali vulnerabilità stanno sfruttando?
  • Quali tipi di phishing, malware o accessi laterali sono stati documentati nelle ultime settimane?

Queste informazioni non servono al board, ma ai team IT e ai responsabili sicurezza per aggiornare:

  • i criteri di accesso e autenticazione (MFA, segmentazione dei privilegi);
  • le regole di intrusion detection (SIEM, SOAR);
  • i playbook di incident response;
  • le attività di patching e aggiornamento di sistemi legacy.

Fonti comuni della threat intelligence tattica sono i feed dei CERT, le piattaforme CTI (Cyber Threat Intelligence), i report MITRE ATT&CK, le community professionali (ISAC, threat sharing platforms) e le segnalazioni di vendor di sicurezza.

Questo livello di analisi è particolarmente importante per aziende che:

  • hanno infrastrutture IT complesse o distribuite;
  • operano in settori critici (energia, sanità, finanza, manifattura strategica);
  • gestiscono dati sensibili o proprietà intellettuale a rischio.

Threat intelligence operativa: agire in tempo reale

Il terzo livello, operativo, è quello più concreto e tempestivo. La sua funzione è intercettare minacce in tempo reale, o nel minor tempo possibile, e attivare azioni di risposta immediate. Qui ci si muove nel campo degli indicatori di compromissione (IoC), degli IP sospetti, delle hash di file malevoli, dei domini fraudolenti.

È il livello che risponde a domande come:

  • Questo evento che il nostro sistema ha segnalato è un falso positivo o una minaccia reale?
  • Quali IP dobbiamo bloccare subito per evitare la compromissione dei nostri dati?
  • Da dove sta partendo l’attacco e che tipo di payload utilizza?
La threat intelligence operativa è fondamentale per il SoC (Security Operation Center), per i team IT e per i fornitori esterni che gestiscono in outsourcing la sicurezza. Richiede strumenti automatici di ingestione e correlazione dati, e capacità di analisi forense veloce e precisa.

In questo ambito, la tempestività è tutto. Ma senza i livelli strategico e tattico alle spalle, anche la migliore capacità operativa rischia di risultare reattiva e scollegata dalle priorità reali dell’organizzazione.

Integrare i tre livelli: una questione di governance

La threat intelligence è efficace solo quando viene integrata in una governance coerente, dove ogni livello ha strumenti, responsabilità e processi chiari. In molte aziende, tuttavia, manca una cultura organizzativa matura su questi temi, e la gestione del rischio cyber rimane un insieme di azioni disarticolate, troppo spesso lasciate in mano esclusiva all’IT.

Per ottenere un sistema realmente efficace, occorre:

  • individuare figure di riferimento (CISO, responsabile rischio, advisory esterno);
  • creare un flusso strutturato di analisi, sintesi e comunicazione delle minacce;
  • definire una matrice di escalation tra intelligence operativa e livelli manageriali;
  • allineare la strategia di threat intelligence agli obiettivi industriali, ai piani di digitalizzazione e agli standard di compliance normativa (es. NIS2, DORA, GDPR).

Questo approccio consente una lettura trasversale del rischio, e trasforma l’intelligence da reporting reattivo a strumento di governo proattivo.

Conclusione: l’intelligence non è un database, ma una leva di controllo

In sintesi, i tre livelli di threat intelligence – strategico, tattico e operativo – non vanno visti come compartimenti stagni, ma come una struttura integrata che consente all’impresa di interpretare, anticipare e reagire al rischio informatico in tutte le sue dimensioni.

In un contesto dove la superficie d’attacco cresce ogni giorno – con l’adozione di cloud, IoT, smart working, e digitalizzazione dei processi – non è più sostenibile una sicurezza fondata solo sulla tecnologia. Serve la capacità di leggere il rischio, selezionare le informazioni rilevanti, costruire scenari e prendere decisioni basate su dati tempestivi e contestualizzati.

La threat intelligence, se ben strutturata, è questo: una lente attraverso cui leggere il rischio prima che si trasformi in danno. E in un’economia dove la continuità operativa, la reputazione e la fiducia sono asset critici, può fare la differenza tra essere vulnerabili… o essere preparati.

Cosa Facciamo

People

Scopri

Contattaci

Seguici

© 2025 Montesino S.p.A. SB
C. Fiscale e P.IVA 12792910965 | Via della Guastalla 5 – 20122, Milano, Italia