• Cloud, Guide, Sicurezza
• 26 Giugno 2026

Il Microsoft Security Adoption Model nasce dall’esigenza di unificare diversi framework e guide di sicurezza pubblicati da Microsoft negli ultimi anni. L’obiettivo è fornire una visione coerente che permetta alle organizzazioni di allineare strategia, governance, processi e tecnologie secondo i principi Zero Trust, affrontando allo stesso tempo nuove sfide come l’intelligenza artificiale e l’automazione degli attacchi.

Figura 1: Struttura del Microsoft Security Adoption Framework (SAF)

Il ruolo di Zero Trust nel Security Adoption Model

Il Microsoft Security Adoption Model si basa sui principi del framework Zero Trust, un approccio alla sicurezza che presuppone che nessun utente, dispositivo, applicazione o servizio debba essere considerato attendibile per impostazione predefinita, indipendentemente dalla sua posizione all’interno o all’esterno della rete aziendale. Ve ne avevo già parlato nell’articolo Il modello Zero Trust per la sicurezza delle infrastrutture informatiche – ICT Power

Questo modello si fonda su tre principi fondamentali:

• Verify Explicitly: verificare sempre identità, dispositivo, posizione, livello di rischio e altri segnali prima di concedere l’accesso alle risorse.
• Use Least Privilege Access: concedere agli utenti e ai sistemi esclusivamente le autorizzazioni necessarie per svolgere le proprie attività, limitando al minimo i privilegi permanenti.
• Assume Breach: operare assumendo che una compromissione possa già essere avvenuta o possa verificarsi in qualsiasi momento, implementando controlli in grado di rilevare rapidamente le minacce e limitarne l’impatto.

A differenza degli approcci tradizionali, che si concentravano principalmente sulla protezione del perimetro di rete, Zero Trust sposta l’attenzione sulla protezione delle identità, dei dispositivi, delle applicazioni e dei dati. Questo cambiamento è diventato fondamentale in scenari caratterizzati da lavoro ibrido, servizi cloud, dispositivi personali e utilizzo crescente dell’intelligenza artificiale.

L’obiettivo del Security Adoption Model non è semplicemente implementare nuove tecnologie di sicurezza, ma aiutare le organizzazioni ad applicare in modo coerente i principi Zero Trust attraverso processi, persone e strumenti, creando un modello di difesa moderno e resiliente contro le minacce informatiche in continua evoluzione.

Fase 1: Analizzare l’ambiente e coordinare i team

Prima di implementare i controlli tecnici, il modello suggerisce di suddividere l’ambiente organizzativo in tre aspetti chiave:

• Scenari aziendali (Business Scenarios): È essenziale allinearsi con la dirigenza per definire obiettivi di sicurezza realistici, abbandonando l’aspettativa irrealizzabile di avere “zero violazioni”.
• Discipline di sicurezza (Security Disciplines): Definire come i team si organizzano per raggiungere i risultati aziendali, stabilendo le strategie, le architetture e i controlli necessari.
• Pilastri tecnologici (Technology Pillars): Architettare le basi operative secondo i principi Zero Trust, tenendo conto di fattori emergenti come l’intelligenza artificiale (AI) e il computing post-quantistico.

Il successo in questa fase si basa sul lavoro di squadra e sulla coordinazione. A causa della velocità dell’innovazione dell’AI, gli attaccanti scoprono e sfruttano le vulnerabilità in modo molto più rapido ed efficiente. Pertanto, la sicurezza riguarda tutti: non impatta solo il team IT che deve ripristinare i sistemi dopo un attacco ransomware, ma coinvolge i leader aziendali, la continuità dei processi operativi e l’erogazione dei servizi (come nel settore medico).

Ad esempio, una struttura sanitaria potrebbe definire come scenario prioritario la protezione delle cartelle cliniche elettroniche e la continuità operativa dei sistemi ospedalieri. Una società finanziaria potrebbe invece concentrarsi sulla protezione delle identità privilegiate e sulla conformità normativa.

Figura 2: Il Security Adoption Framework collega obiettivi di business, discipline di sicurezza e tecnologie in un modello unificato.

Fase 2: Scegliere il percorso di adozione (The Journey)

Il framework identifica tre modelli (pattern) principali per avviare il percorso di adozione della sicurezza, da scegliere in base alle dinamiche aziendali:

• Dall’alto verso il basso (Top-down): Un approccio più raro, solitamente imposto dalla dirigenza o da un nuovo CISO in seguito a un grave incidente, con l’obiettivo di guidare una modernizzazione completa dell’infrastruttura.
• Costruzione graduale (Build up): Il metodo più comune, noto come “land and expand”. Consiste nel partire da un’area specifica (come l’identità o il SOC), ottenere risultati dimostrabili in quel settore, e poi espandere le pratiche nel resto dell’azienda.
• Guidato dagli scenari (Scenario driven): Molto frequente, si verifica quando la sicurezza interviene per supportare specifici obiettivi aziendali, fornendo indicazioni mirate per abilitare scenari come il lavoro ibrido o l’adozione sicura dell’AI.

Nella maggior parte delle organizzazioni il percorso “Build up” rappresenta l’approccio più realistico. Partire da un’area specifica, come la gestione delle identità o il Security Operations Center, permette di ottenere risultati misurabili in tempi rapidi e creare consenso interno prima di estendere il modello ad altri ambiti.

Figura 3: I tre percorsi di adozione della sicurezza previsti dal framework Microsoft: Top-down, Build-up e Scenario-driven.

Fase 3: Strutturare e assegnare le discipline di sicurezza

Le responsabilità tecniche e strategiche devono essere suddivise in tre categorie coerenti:

• Pianificazione e supervisione (Planning and oversight): Riguarda la strategia generale, la governance, i ruoli di leadership (come il CISO) e la definizione dell’architettura tecnica end-to-end.
• Strategia tecnica (Technical strategy): Richiede l’assegnazione di responsabili (spesso direttori dedicati in organizzazioni strutturate) per aree critiche come l’accesso e l’identità, la sicurezza dei dati, delle infrastrutture, dello sviluppo e degli ambienti OT (Operational Technology) e IoT.
• Discipline operative (Operational disciplines): Comprende il Security Operations Center (SOC) per la gestione attiva degli incidenti (il framework include ampi dettagli su ruoli, anti-pattern e workshop) e il team di Posture Management. Quest’ultimo rappresenta una disciplina in forte evoluzione che va oltre il classico e limitante approccio del “scansionare le vulnerabilità e far vergognare chi non aggiorna”, cercando invece di collaborare proattivamente con le operazioni IT e l’azienda per prevenire gli attacchi.

Figura 4: Struttura del Security Adoption Framework basata su scenari, discipline e pilastri tecnologici.

Nella mia esperienza, uno degli errori più comuni nei progetti di sicurezza consiste nel considerare la cybersecurity come una responsabilità esclusiva del team IT o del Security Operations Center. In realtà, il modello proposto da Microsoft evidenzia come una strategia efficace richieda ruoli ben definiti a tutti i livelli dell’organizzazione, dalla governance fino alle attività operative quotidiane. La presenza di figure dedicate alle diverse discipline consente di evitare silos organizzativi e di garantire che le decisioni strategiche, le iniziative tecniche e le operazioni di sicurezza procedano in modo coordinato verso obiettivi comuni.

Fase 4: Integrazione delle tecnologie Microsoft e lettura mirata

Sebbene il modello sia progettato per essere in gran parte indipendente dalla tecnologia (agnostico), offre una sezione utile (“Enable scenarios with Microsoft technologies”) che spiega nel dettaglio quali specifiche soluzioni Microsoft utilizzare e in che modo queste si allineino per abilitare scenari di lavoro in sicurezza.

Esempi di tecnologie Microsoft associate ai principali scenari di sicurezza

Sebbene il framework sia stato progettato per concentrarsi prima sugli obiettivi aziendali e sulle discipline di sicurezza e solo successivamente sugli strumenti, Microsoft fornisce indicazioni precise sulle tecnologie da utilizzare per implementare i controlli richiesti dai diversi scenari operativi.

Di seguito alcuni esempi delle principali soluzioni Microsoft che possono essere adottate:

L’obiettivo non è implementare ogni singola soluzione disponibile, ma selezionare gli strumenti più adatti agli scenari aziendali identificati nelle fasi precedenti. Il modello suggerisce infatti di partire dai requisiti di business e dalle discipline di sicurezza per poi individuare le tecnologie che consentono di raggiungere i risultati desiderati.

Un consiglio pratico per utilizzare questa risorsa: non è necessario che tutti leggano l’intero documento. Il portale contiene un’enorme quantità di informazioni dettagliate su ogni singola branca (ad esempio, le operazioni di sicurezza o i dati); ogni figura professionale all’interno dell’azienda dovrebbe concentrarsi e consultare solo le sezioni rilevanti in base al proprio ruolo e alle proprie mansioni.

Infine, il successo dell’implementazione dipenderà dalla collaborazione: la sicurezza non riguarda solo il dipartimento IT che deve ripristinare i sistemi di notte, ma impatta direttamente le operazioni aziendali, gli analisti e l’erogazione dei servizi (ad esempio, nel settore medico). Bisogna fare in modo che tutti comprendano le proprie responsabilità e lavorino in team per far fronte al nuovo ritmo delle minacce informatiche.

Nota: Questa documentazione ufficiale viene aggiornata costantemente; è consigliato salvare la risorsa e fare in modo che i diversi ruoli aziendali leggano e applichino le sezioni più rilevanti per le loro specifiche competenze.

Conclusioni

Dopo aver analizzato il Microsoft Security Adoption Model, ritengo che il suo principale valore non risieda nell’elenco delle tecnologie o dei controlli suggeriti, ma nella capacità di mettere in relazione business, governance e sicurezza. Molte organizzazioni continuano ad affrontare la cybersecurity come una serie di progetti tecnici indipendenti; questo framework evidenzia invece come la protezione dell’azienda richieda una responsabilità condivisa tra leadership, team operativi e personale tecnico.