le aziende di cybersecurity vendono paura e non soluzioni, parere personale

lavoro in IT da 8 anni. ogni anno partecipo a qualche conferenza di sicurezza e ogni anno la storia e la stessa: nuova minaccia terrorizzante, soluzione del vendor X a 50k euro l anno, nel mentre le aziende ancora non hanno fatto patch management di base o MFA su tutti gli account. il 90% degli attacchi reali che ho visto sfrutta cose note e non patchate, phishing basico, password condivise. non zero-day sofisticati. ma e piu facile vendere paura che convincere il management a fare le cose base. ho visto aziende comprare SIEM da 100k euro con credenziali di default sulle macchine interne. il problema non e mai la tecnologia, e sempre i processi e le persone. rant finito