Siamo onesti: il modello tradizionale di Penetration Testing è obsoleto. Se avete mai ingaggiato una società di sicurezza specializzata per un'analisi approfondita della vostra infrastruttura, sapete esattamente come funziona. Trascorrete due settimane a discutere lo Statement of Work (SOW), altre tre settimane ad aspettare che i consulenti inizino effettivamente, e poi ricevete un PDF di 60 pagine che è essenzialmente un'istantanea della vostra sicurezza in un martedì qualsiasi di ottobre.
Il problema? Nel momento in cui leggete il report e assegnate i ticket ai vostri sviluppatori, avete già rilasciato dieci nuovi aggiornamenti in produzione. Uno di questi aggiornamenti potrebbe aver introdotto una critica SQL Injection o un S3 bucket mal configurato. Improvvisamente, quel costoso PDF è un documento storico, non una strategia di sicurezza. Avete pagato migliaia di dollari per una valutazione puntuale che diventa obsoleta nel momento in cui il consulente chiude il suo laptop.
Per molte PMI e startup SaaS, questa è l'unica opzione che hanno conosciuto. Sentono di dover scegliere tra uno scanner di vulnerabilità di base e rumoroso che produce 5.000 avvisi "Medi" (la maggior parte dei quali sono False Positives) o un Penetration Test manuale che costa una fortuna e viene eseguito una volta all'anno.
Ma esiste una via di mezzo. Si chiama Penetration Testing as a Service (PTaaS), e quando è cloud-native—come quello che abbiamo costruito in Penetrify—cambia radicalmente le regole della cybersecurity. Invece di un evento una tantum, il test di sicurezza diventa un flusso continuo di dati.
I Costi Nascosti del Penetration Testing Manuale Tradizionale
Quando si parla del costo di un Penetration Test manuale, di solito ci si riferisce solo alla fattura della società di sicurezza. Ma se gestite un'azienda o un team DevOps, i costi reali sono molto più alti e ben più insidiosi.
La "Finestra di Vulnerabilità"
Nel vecchio modello, si testa una volta all'anno. Ciò significa che per 364 giorni all'anno, si sta essenzialmente supponendo che la propria postura di sicurezza non sia peggiorata. In un moderno ambiente CI/CD dove il codice viene rilasciato più volte al giorno, questo è follia.
Immaginate di fare un Penetration Test a gennaio. A marzo, uno sviluppatore rilascia un nuovo endpoint API che espone accidentalmente i metadati degli utenti. Quella vulnerabilità rimane aperta e non scoperta fino al test successivo a gennaio dell'anno seguente. Questa è una finestra di dieci mesi in cui un attore malevolo ha accesso libero al vostro sistema.
L'Attrito tra Sicurezza e Sviluppo
I Penetration Test manuali spesso creano una cultura del "gioco delle colpe". I consulenti di sicurezza lasciano un enorme PDF sulla scrivania del CTO, il CTO lo consegna al VP of Engineering, e gli sviluppatori trascorrono le due settimane successive a sostenere che i risultati "Critici" non sono in realtà critici nel loro ambiente specifico.
Poiché il ciclo di feedback è così lento, gli sviluppatori hanno già dimenticato perché hanno scritto il codice in quel modo. Devono interrompere il loro sprint attuale per tornare indietro e correggere qualcosa che hanno scritto sei mesi fa. Questo cambio di contesto è un freno alla produttività.
La Trappola dei Prezzi
Le società specializzate spesso basano i prezzi sulle "ore-uomo". Questo crea uno strano incentivo per cui più tempo dedicano a un progetto, più guadagnano. Sebbene il testing manuale di qualità sia insostituibile per difetti logici complessi, usarlo per la ricognizione di base e la scansione delle vulnerabilità è uno spreco di denaro. Non dovreste pagare un consulente di sicurezza senior con una tariffa oraria elevata per trovare un header mancante o una versione obsoleta di Apache. A questo serve l'automazione.
Che cos'è esattamente il PTaaS Basato su Cloud?
Se uno scanner di vulnerabilità è un "rilevatore di fumo" e un Penetration Test manuale è un' "ispezione antincendio", allora il PTaaS basato su cloud—in particolare l'approccio adottato da Penetrify—è come avere un sistema antincendio intelligente integrato con termografia 24/7.
Il PTaaS sposta il focus da un "progetto" a una "piattaforma". Invece di assumere una persona per venire a testare le vulnerabilità, ci si abbona a un servizio che monitora continuamente la propria superficie di attacco.
Dal Monitoraggio Puntuale a Quello Continuo
La filosofia centrale qui è la Continuous Threat Exposure Management (CTEM). Invece di chiedere "Siamo sicuri oggi?", ci si chiede "Come sta cambiando la nostra esposizione in questo momento?"
Una piattaforma PTaaS basata su cloud si integra direttamente nel tuo ambiente. Non si limita a scansionare i tuoi indirizzi IP; mappa l'intera superficie di attacco esterna. Cerca lo "shadow IT"—quei server di staging dimenticati o le vecchie landing page di marketing che il tuo team ha dimenticato ma che gli hacker amano.
L'Approccio Ibrido: Automazione + Intelligenza
Una delle più grandi idee sbagliate sul PTaaS è che sia solo "scansione automatizzata". Non è vero. Uno scanner di base ti dice che una porta è aperta. Una piattaforma PTaaS come Penetrify utilizza un'analisi intelligente per determinare se quella porta aperta rappresenta effettivamente un percorso percorribile per un attaccante per raggiungere dati sensibili.
Simula il comportamento effettivo di un attore della minaccia:
- Ricognizione: Trovare tutte le risorse esposte pubblicamente.
- Scansione: Identificare servizi e versioni.
- Analisi delle Vulnerabilità: Mappare tali servizi a CVE noti e misconfigurazioni.
- Simulazione di Attacco: Verificare se la vulnerabilità può essere effettivamente sfruttata.
Automatizzando le parti "noiose" di un Penetration Test, la piattaforma fornisce un livello di copertura che nessun team umano potrebbe raggiungere manualmente in un arco di due settimane.
Mappare la Tua Superficie di Attacco: La Prima Linea di Difesa
Non puoi proteggere ciò che non sai che esiste. È qui che la maggior parte delle aziende fallisce. Hanno un foglio di calcolo ordinato dei loro server di produzione, ma non sanno del server "test-api-v2.cloud-instance.com" che uno sviluppatore ha avviato tre anni fa e non ha mai spento.
Il Pericolo dello Shadow IT
Lo Shadow IT è il killer silenzioso della maturità della sicurezza. Si verifica quando i team utilizzano risorse cloud (AWS, Azure, GCP) per muoversi più velocemente, bypassando il processo ufficiale di approvvigionamento o di sicurezza. Sebbene aiuti la velocità, crea "punti ciechi".
Un Penetration Tester manuale potrebbe trovarli se è fortunato o meticoloso, ma cerca solo una volta all'anno. Una piattaforma cloud-native sonda costantemente internet alla ricerca di risorse associate al tuo dominio. Trova i bucket dimenticati, i cluster ElasticSearch aperti e gli ambienti di sviluppo obsoleti.
Integrazione con l'Ecosistema Cloud
Poiché Penetrify è basato su cloud, parla il linguaggio dell'infrastruttura moderna. Non vede solo un indirizzo IP casuale; comprende il contesto del tuo AWS VPC o del tuo progetto GCP. Questo gli permette di scalare automaticamente. Se lanci dieci nuovi microservizi domani, la piattaforma li rileva e inizia a testarli immediatamente. Non c'è bisogno di chiamare un consulente e rinegoziare il SOW.
Ricognizione Proattiva vs. Reattiva
La maggior parte delle aziende reagisce a una violazione. Scoprono di avere una vulnerabilità perché un bug bounty hunter la segnala o, peggio, perché i loro dati appaiono su un sito di leak.
La gestione proattiva della superficie di attacco inverte questa tendenza. Sei tu a trovare per primo le falle. Mappando costantemente il tuo perimetro, puoi ridurre la tua superficie di attacco. Se trovi un server di cui non hai bisogno, lo elimini. Se trovi una porta che dovrebbe essere chiusa, la chiudi. Questo riduce il "rumore" che gli attaccanti possono usare per trovare un modo per entrare.
Affrontare l'OWASP Top 10 con l'Automazione
L'OWASP Top 10 è lo standard di eccellenza per la sicurezza delle applicazioni web. Che si tratti di Controllo degli accessi difettoso o di vulnerabilità di Injection, queste sono le lacune che la maggior parte delle violazioni sfrutta.
I tester manuali sono ottimi nel trovare vulnerabilità complesse della logica di business (come "se cambio l'ID utente nell'URL, posso vedere il profilo di qualcun altro"), ma sono inefficienti nel controllare ogni singolo campo di input per una SQL Injection standard su 50 pagine diverse.
Automatizzare i frutti a portata di mano
Il PTaaS basato su cloud gestisce i "frutti a portata di mano" dell'OWASP Top 10 con precisione chirurgica:
- Injection (SQLi, NoSQL, OS): La piattaforma può testare migliaia di parametri su tutta la superficie delle tue API per trovare dove l'input non è correttamente sanificato.
- Mancate configurazioni di sicurezza: Controlla se le tue intestazioni sono impostate correttamente, se le password predefinite sono ancora in uso o se l'indicizzazione delle directory è abilitata.
- Componenti vulnerabili e obsoleti: Confronta le versioni del tuo software con gli ultimi database CVE in tempo reale.
- Controllo degli accessi difettoso: Attraverso attacchi simulati, può identificare se utenti non autorizzati possono accedere agli endpoint amministrativi.
Il valore del feedback "in tempo reale"
Immagina che uno sviluppatore rilasci una modifica che disabilita accidentalmente la protezione CSRF su un modulo di login. Nel vecchio modello, questo rimane difettoso fino all'anno prossimo. Con Penetrify, la piattaforma rileva la modifica, segnala la protezione mancante e invia una notifica al team entro poche ore.
Questo trasforma la sicurezza da "guardiano" che rallenta le cose in un "guardrail" che permette agli sviluppatori di muoversi velocemente senza cadere nel precipizio.
Dalla Scansione delle Vulnerabilità alla Gestione Continua dell'Esposizione alle Minacce (CTEM)
C'è una grande differenza tra una scansione delle vulnerabilità e il CTEM. Una scansione delle vulnerabilità ti fornisce un elenco di bug. Il CTEM ti offre una strategia per la gestione del rischio.
Il problema della "lista di 1.000 vulnerabilità"
Gli scanner tipici producono una montagna di dati. Ricevi un report con 1.000 vulnerabilità "Critiche" e "Alte". La maggior parte di esse sono False Positives o si trovano su un server che non è nemmeno raggiungibile da internet.
Questo porta all'"affaticamento da allerta". I tuoi sviluppatori smettono di fidarsi dei report di sicurezza perché "metà delle cose qui non sono reali".
Come il PTaaS filtra il rumore
Una piattaforma sofisticata non ti dice solo che una vulnerabilità esiste; ti dice se è raggiungibile e sfruttabile.
- Analisi Contestuale: Questa vulnerabilità si trova su un server pubblico o interno?
- Raggiungibilità: Un attaccante può effettivamente inviare un payload a questa specifica funzione?
- Punteggio di Rischio: Invece di basarsi solo su un punteggio CVSS (che è generico), la piattaforma calcola il rischio in base al tuo ambiente specifico.
Chiudere il cerchio: Tempo Medio di Riparazione (MTTR)
La metrica più importante nella sicurezza non è quanti bug trovi; è quanto velocemente li risolvi. Questo è chiamato Tempo Medio di Riparazione (MTTR).
I Penetration Test manuali hanno un MTTR terribile perché il ciclo di reporting è così lungo. Il PTaaS riduce l'MTTR tramite:
- Fornire avvisi istantanei.
- Fornire agli sviluppatori indicazioni di correzione attuabili (ad esempio, "Aggiorna questa specifica libreria alla versione 2.4.1" invece di "Correggi le tue dipendenze").
- Integrare con Jira, GitHub o GitLab in modo che la vulnerabilità diventi un ticket nel flusso di lavoro esistente.
Uno sguardo comparativo: Penetration Testing Manuale vs. Scansione delle Vulnerabilità vs. PTaaS
Per capire veramente perché il PTaaS basato su cloud è la soluzione ideale, esaminiamolo fianco a fianco.
| Caratteristica | Penetration Test Manuale | Scanner di Vulnerabilità Base | PTaaS basato su cloud (Penetrify) |
|---|---|---|---|
| Frequenza | Annuale / Trimestrale | Giornaliera / Settimanale | Continua |
| Costo | Molto Alto (Per incarico) | Basso (Abbonamento) | Moderato (Abbonamento Prevedibile) |
| Accuratezza | Elevata (Intuizione umana) | Bassa (Molti False Positives) | Elevata (Automazione + Analisi Intelligente) |
| Ambito | Limitato al SOW | Ampio ma superficiale | Ampio e approfondito (Mappatura continua) |
| Ciclo di Feedback | Settimane/Mesi | Immediato (ma rumoroso) | Veloce e attuabile |
| Conformità | Ottimo per la conformità formale | Non sufficiente da solo | Ideale per la conformità continua |
| Integrazione | Nessuna (Report PDF) | API/Dashboard | CI/CD Pipeline / DevSecOps |
Come si può vedere, il testing manuale è troppo lento e la scansione di base è troppo rumorosa. Il PTaaS offre la profondità di un Penetration Test con la velocità e la scalabilità del cloud.
Implementare un Workflow DevSecOps con PTaaS
Se sei un ingegnere DevOps, probabilmente odi la parola "sicurezza" perché di solito significa "bloccare il rilascio". Ma questo accade solo perché gli strumenti sono stati progettati per il vecchio mondo dello sviluppo a cascata (waterfall).
Integrare la Sicurezza nella CI/CD Pipeline
L'obiettivo di DevSecOps è "spostare a sinistra" (shift left), il che significa trovare i problemi di sicurezza il prima possibile nel ciclo di vita dello sviluppo.
Quando si utilizza una piattaforma come Penetrify, il test di sicurezza non è più un ostacolo finale prima della produzione. È un processo continuo. È possibile attivare una scansione ogni volta che una nuova build viene distribuita in un ambiente di staging. Se viene rilevata una vulnerabilità critica, la build può essere automaticamente segnalata o persino bloccata.
Ridurre l'Attrito di Sicurezza
L'attrito di sicurezza si verifica quando il team di sicurezza e il team di sviluppo hanno obiettivi diversi. Gli sviluppatori vogliono rilasciare funzionalità; la sicurezza vuole minimizzare il rischio.
Il PTaaS elimina questo attrito fornendo una "unica fonte di verità". Invece di una persona della sicurezza che dice a uno sviluppatore "il tuo codice non è sicuro", la piattaforma fornisce un report con:
- L'URL/endpoint esatto interessato.
- Il payload utilizzato per sfruttarlo.
- La riga di codice o la configurazione specifica che deve essere modificata.
- Una guida su come risolverlo.
Questo trasforma un confronto in una collaborazione.
Il Ruolo delle Simulazioni di Attacco (BAS)
Oltre a trovare bug, una piattaforma PTaaS basata su cloud può eseguire Simulazioni di Breach e Attacco (BAS). Ciò significa che non cerca solo una falla; simula ciò che un attaccante farebbe una volta entrato.
Sarebbero in grado di muoversi lateralmente verso il vostro database? Potrebbero elevare i loro privilegi a un account amministratore? Simulando questi percorsi, si passa da "non abbiamo vulnerabilità note" a "sappiamo che anche se un attaccante entra, non può accedere ai nostri dati sensibili".
Conformità e la Mentalità del Mero Adempimento
Se stai cercando di ottenere le certificazioni SOC 2, HIPAA o PCI DSS, sai che gli auditor amano i Penetration Test. Tradizionalmente, avresti assunto un'azienda, ottenuto il PDF e lo avresti consegnato all'auditor. Avrebbero spuntato la casella e tutti sarebbero stati felici.
Ma ecco il segreto: gli auditor stanno cambiando. Stanno iniziando a rendersi conto che un test una volta all'anno è una barzelletta. Sono sempre più alla ricerca di una "maturità della sicurezza" e di un approccio di "monitoraggio continuo".
Verso la Conformità Continua
L'utilizzo di una soluzione PTaaS ti consente di passare dalla "conformità istantanea" alla "conformità continua". Invece di affannarti per un mese prima dell'audit per sistemare tutto, hai una dashboard che mostra la tua postura di sicurezza in qualsiasi momento.
Puoi mostrare a un auditor:
- Dati Storici: "Ecco ogni vulnerabilità che abbiamo trovato quest'anno e esattamente quando l'abbiamo risolta."
- Copertura: "Non abbiamo testato solo un IP; abbiamo una mappa continua dell'intero nostro perimetro cloud."
- Processo: "I nostri test di sicurezza sono integrati nella nostra pipeline di deployment, garantendo che nessun nuovo difetto critico raggiunga la produzione."
Questo livello di trasparenza non solo semplifica l'audit; rende effettivamente l'azienda più sicura. Trasforma la conformità da un compito gravoso a un sottoprodotto di una buona sicurezza.
Errori Comuni che le Aziende Commettono nel Proteggere la Loro Infrastruttura Cloud
Anche con i migliori strumenti, le persone commettono errori. In base a ciò che vediamo nel settore, ecco le insidie più comuni che portano a violazioni.
1. Fidarsi delle Impostazioni Cloud "Predefinite"
Molte persone presumono che, poiché sono su AWS o Azure, il "cloud" li stia proteggendo. Il Modello di Responsabilità Condivisa afferma che il provider protegge l'infrastruttura, ma tu proteggi i tuoi dati e configurazioni.
Lasciare un bucket S3 aperto al pubblico o utilizzare le impostazioni predefinite dei gruppi di sicurezza (consentire tutto sulla porta 22) è un errore classico. Una piattaforma PTaaS cloud-native li rileva istantaneamente perché cerca specificamente misconfigurazioni cloud-native.
2. Ignorare i Rilevamenti di Gravità "Bassa"
È allettante ignorare tutto ciò che è contrassegnato come "Low" o "Medium" per concentrarsi sui "Criticals". Questo è un errore. Gli attaccanti raramente usano un singolo exploit "Critical" per entrare. Invece, concatenano tre bug di gravità "Low" per ottenere un risultato "Critical".
Ad esempio:
- Bassa: Una fuga di informazioni che rivela la convenzione di denominazione interna del server.
- Bassa: Una policy CORS mal configurata che consente una richiesta cross-origin limitata.
- Bassa: Una libreria obsoleta con una vulnerabilità minore di sola lettura.
Individualmente, questi sono fastidi. Insieme, forniscono una roadmap per un'acquisizione completa del sistema. Il monitoraggio continuo ti aiuta a visualizzare come queste piccole lacune possano essere concatenate.
3. Trattare la Sicurezza come un Dipartimento Separato
Quando la sicurezza è "il lavoro di qualcun altro", fallisce. Se hai un "Team di Sicurezza" separato che comunica solo tramite lunghe e-mail e report PDF, hai un problema.
La vera sicurezza si verifica quando gli strumenti sono nelle mani delle persone che scrivono il codice. Fornendo agli sviluppatori una dashboard che possono effettivamente utilizzare, PTaaS aiuta a democratizzare la sicurezza in tutta l'organizzazione.
Passi Pratici: Come Passare dai Test Manuali a PTaaS
Se sei attualmente bloccato nel ciclo del "Penetration Test annuale", passare a un modello continuo potrebbe sembrare opprimente. Non devi cambiare tutto da un giorno all'altro. Ecco un approccio concreto per effettuare il passaggio.
Step 1: Esegui l'Audit del Tuo Perimetro Attuale
Inizia mappando tutto. Non fidarti dei tuoi elenchi interni. Usa uno strumento come Penetrify per scoprire tutte le tue risorse esposte pubblicamente. Sarai sorpreso da ciò che troverai: vecchie versioni di API, siti di staging dimenticati o server "temporanei" in esecuzione dal 2021.
Passo 2: Stabilisci una Baseline
Esegui una scansione approfondita iniziale per trovare tutte le vulnerabilità attuali "Critiche" e "Alte". Non farti prendere dal panico quando vedi l'elenco; questa è la tua baseline. Crea un backlog prioritario di queste correzioni.
Passo 3: Automatizza gli "Obiettivi più Facili da Raggiungere"
Imposta la scansione continua per le minacce più comuni: l'OWASP Top 10, librerie obsolete e configurazioni cloud errate. Ciò garantisce che, mentre risolvi i vecchi bug, non ne introduca accidentalmente di nuovi.
Passo 4: Integra con il Tuo Workflow
Collega la tua piattaforma PTaaS al tuo sistema di ticketing (Jira, GitHub, ecc.). Rendi le "correzioni di sicurezza" parte della tua pianificazione regolare degli sprint. Se viene trovata una vulnerabilità critica, dovrebbe essere trattata con la stessa urgenza di un'interruzione della produzione.
Passo 5: Mantieni il Testing Manuale per Obiettivi di Alto Valore
Significa che non assumerai mai più un Penetration Tester umano? Non necessariamente. Ma cambi ciò che fanno. Invece di pagarli per trovare header mancanti, li paghi per fare "Red Teaming", cercando di trovare complesse falle logiche nei tuoi processi aziendali più sensibili. Lascia che l'automazione gestisca il 90% delle vulnerabilità comuni e lascia che gli umani si concentrino sul 10% dei puzzle "impossibili".
Domande Frequenti su PTaaS Basato su Cloud
D: Il PTaaS è così approfondito come un Penetration Test manuale? Per molti aspetti, è più approfondito. Un tester manuale ha un tempo limitato (solitamente 1-2 settimane) e può testare solo un certo numero di endpoint. Una piattaforma PTaaS testa l'intera superficie di attacco 24 ore su 24, 7 giorni su 7. Anche se potrebbe non avere l'"intuizione" di un umano per una specifica e complessa falla logica di business, non "mancherà" mai un CVE noto o un bucket mal configurato perché è troppo stanco o a corto di tempo.
D: Il testing automatizzato non farà crashare il mio ambiente di produzione? Questa è una preoccupazione comune. Le piattaforme PTaaS professionali sono progettate per non essere disruptive. Utilizzano payload sicuri ed evitano attacchi di tipo "denial-of-service". Tuttavia, è sempre buona pratica eseguire scansioni approfondite prima in un ambiente di staging che rispecchi la produzione.
D: Come aiuta questo con la conformità SOC 2 o PCI DSS? La conformità richiede la prova che stai gestendo le vulnerabilità. Invece di un singolo PDF di un anno fa, puoi fornire a un auditor un registro continuo delle vulnerabilità scoperte e remediate. Ciò dimostra un livello di maturità della sicurezza molto più elevato e spesso soddisfa gli auditor più di un singolo test puntuale.
D: In cosa si differenzia da uno scanner di vulnerabilità come Nessus o OpenVAS? Gli scanner standard sono "rumorosi" e privi di contesto. Ti dicono che una porta è aperta, ma non ti dicono necessariamente se quella porta può essere usata per rubare dati. Il PTaaS si concentra sulla "prospettiva dell'attaccante": mappando la superficie di attacco, simulando la violazione e fornendo indicazioni di remediation attuabili, piuttosto che solo un elenco di numeri di versione.
D: Ho bisogno di una persona dedicata alla sicurezza per gestire la piattaforma? Questa è la bellezza di una soluzione cloud-native. È progettata per i team DevOps e le PMI che non hanno un Red Team completo. Poiché i risultati sono attuabili e integrati negli strumenti esistenti (come Jira), i tuoi attuali sviluppatori possono gestire la maggior parte della remediation senza aver bisogno di una laurea in cybersecurity.
In Sintesi: Smetti di Pagare per le Snapshot
Il mondo si muove troppo velocemente per il "Penetration Test annuale." Se distribuisci codice quotidianamente ma testi la sicurezza annualmente, non stai realmente praticando la sicurezza, stai praticando il "teatro della conformità."
Passando a un modello PTaaS basato su cloud con Penetrify, smetti di pagare troppo per documenti storici e inizi a investire in un sistema di difesa in tempo reale. Riduci la finestra di vulnerabilità, diminuisci l'attrito tra i tuoi team e ottieni finalmente un quadro chiaro e onesto della tua superficie di attacco.
La sicurezza non dovrebbe essere un evento stressante che si verifica una volta all'anno. Dovrebbe essere un processo silenzioso e automatizzato che funziona in background, permettendo a te e al tuo team di concentrarvi su ciò che sapete fare meglio: costruire prodotti eccellenti.
Pronto a smettere di indovinare e iniziare a sapere? Smetti di aspettare il tuo prossimo Penetration Test programmato per scoprire di essere vulnerabile. Visita Penetrify oggi stesso e ottieni una visione in tempo reale della tua superficie di attacco. Passa da istantanee puntuali a una sicurezza continua e dai ai tuoi sviluppatori gli strumenti di cui hanno bisogno per rilasciare codice sicuro più velocemente.