Vai al contenuto principale
Articolo
22 aprile 20265 min di lettura
Threat IntelligenceMonitoringAlert Fatigue

Superare l'affaticamento da allerta nell'intelligence di protezione

Ritratto di Nicholas Van LandschootNicholas Van Landschoot

Il volume di allerte non misura la qualità di un programma. I team di intelligence di protezione hanno bisogno di scoring, contesto sulle entità e sintesi che mantengano visibili i rischi ad alto segnale.

Analista che esamina i feed di monitoraggio dei social media

Qualsiasi piattaforma di monitoraggio è in grado di generare allerte. Pochissime aiutano gli analisti a decidere quali allerte debbano cambiare ciò che accadrà nell'ora successiva.

L'affaticamento da allerta non è un problema di disciplina. È un problema di progettazione. Quando i team di intelligence di protezione ereditano feed provenienti da piattaforme social, agenzie di stampa, scraper del dark web e watchlist interne senza un livello condiviso di rilevanza, gli analisti passano il turno a smistare invece che a valutare.

La rilevanza conta più del volume

Il primo passo è smettere di misurare il successo dal numero di allerte. Un programma di monitoraggio sano produce notifiche più mirate e meno numerose, collegate a persone protette, strutture, itinerari o casi attivi.

Ciò significa filtrare, ogni volta che è possibile, già in fase di acquisizione. Le corrispondenze generiche di parole chiave su aree geografiche, settori o narrazioni estranee dovrebbero raggiungere solo raramente un revisore umano.

Il collegamento delle entità è il livello mancante

Gran parte dell'affaticamento nasce da allerte prive di contesto. Gli analisti aprono una notifica, aprono altri tre strumenti e determinano manualmente se il soggetto abbia una qualche relazione con la persona protetta.

Quando le allerte arrivano già collegate a entità monitorate, alias, contatti abituali o incidenti pregressi, i tempi di revisione si riducono drasticamente. La domanda passa da «Di cosa si tratta?» a «Questo cambia la nostra valutazione attuale?»

Le sintesi devono ridurre la lettura, non aumentarla

Le sintesi generate dall'IA sono utili solo quando comprimono materiale di partenza rumoroso in un linguaggio pronto per la decisione. Una buona sintesi risponde rapidamente a quattro domande: chi è coinvolto, cosa è successo, perché potrebbe essere rilevante e se il segnale è nuovo o ricorrente.

Le sintesi cattive parafrasano i titoli e creano un ulteriore paragrafo da leggere. I team dovrebbero considerare la qualità delle sintesi un requisito operativo, non una funzione di marketing.

Il punto operativo

L'intelligence di protezione funziona quando gli analisti dedicano il proprio tempo al giudizio, non all'archeologia. Scoring, instradamento consapevole delle entità e sintesi concise sono ciò che rende un programma di monitoraggio utilizzabile su larga scala.