C’è una conversazione che si ripete, quasi identica, nelle sale riunioni di metà delle aziende europee. Il CISO presenta il report trimestrale sulla postura di sicurezza: numero di vulnerabilità critiche risolte, copertura degli endpoint, risultati del penetration test, stato di avanzamento della conformità NIS2.
Il CEO e il CFO ascoltano, annuiscono e alla fine chiedono: “Ma quanto ci costa tutto questo?”. La risposta tecnica non soddisfa nessuno. Il budget viene approvato (o tagliato) senza una comprensione reale del rischio che si sta gestendo o ignorando.
Indice degli argomenti
Cyber risk management: perché il board non capisce (ancora) il linguaggio della sicurezza
Il problema non è la mancanza di interesse del board per la sicurezza informatica. Negli ultimi anni, complici la proliferazione degli attacchi ransomware, le sanzioni GDPR e l’entrata in vigore della NIS2, il tema ha guadagnato attenzione al più alto livello.
Il problema è la traduzione: i CISO parlano di CVE, attack surface, MTTR e zero-day; il board parla di EBITDA, risk appetite, capital allocation e ritorno sull’investimento. Questi due linguaggi non comunicano naturalmente e il costo di questa distanza è misurato in budget insufficienti, investimenti mal prioritizzati e una percezione della sicurezza come puro centro di costo.
Questa guida è scritta per chi vuole colmare quella distanza. È uno strumento per i CISO che devono presentare il cyber risk management al board in termini che producano decisioni informate, e per i manager e gli executive che vogliono capire come leggere il rischio cyber attraverso la lente dell’impatto economico.
Il punto di partenza è un cambio di paradigma: smettere di parlare di “quanto ci costa la sicurezza” e iniziare a parlare di “quanto ci costa il rischio”.
Dal framework GRC al linguaggio economico: i concetti chiave da padroneggiare
Prima di entrare negli strumenti di quantificazione, è utile chiarire il campo semantico. Governance, Risk e Compliance sono tre dimensioni distinte che spesso vengono confuse o trattate come un unico blocco monolitico.
Comprenderle separatamente è il primo passo per usarle efficacemente nella comunicazione con il board.
Cos’è il cyber risk management e perché è diverso dalla compliance
Il cyber risk management è il processo attraverso cui un’organizzazione identifica, valuta, prioritizza e gestisce i rischi derivanti dall’uso delle tecnologie digitali.
È un processo continuo, non un progetto con una data di fine, e si fonda su una logica probabilistica: non si tratta di eliminare il rischio (impresa impossibile) ma di ridurlo a un livello accettabile in relazione al contesto di business e alla propensione al rischio dell’organizzazione.
La compliance, invece, è la verifica della conformità a un insieme di requisiti normativi o standard di settore.
La NIS2, il GDPR, ISO 27001, DORA: definiscono tutti un livello minimo di controlli da implementare. Il punto critico è che compliance e sicurezza non sono sinonimi. Un’organizzazione può essere formalmente conforme a tutti i requisiti NIS2 e tuttavia avere una postura di sicurezza inadeguata rispetto al proprio profilo di rischio reale.
Al contrario, può avere controlli di sicurezza eccellenti ma lacune documentali che la rendono non conforme.
Il cyber risk management è il processo che tiene insieme i due piani, traducendo i requisiti normativi in controlli tecnici e organizzativi proporzionati al rischio effettivo.
GRC come leva strategica: governance, risk e compliance in chiave business
Quando il framework GRC è maturo, smette di essere un esercizio di adempimento e diventa uno strumento di governance aziendale.
La dimensione della Governance definisce chi è responsabile delle decisioni sul rischio cyber, come queste decisioni vengono prese e con quale cadenza vengono riviste. La dimensione del Risk quantifica e prioritizza le minacce in relazione al loro impatto potenziale sul business. La dimensione della Compliance verifica che i controlli implementati soddisfino i requisiti normativi applicabili.
In questa prospettiva, la GRC non è un costo da minimizzare: è un sistema di informazione che consente al management di prendere decisioni consapevoli sull’allocazione delle risorse. Un board che riceve informazioni di qualità sul rischio cyber è un board che può decidere in modo informato quanto investire, dove investire e quale livello di rischio residuo è accettabile.
Questo è il valore strategico della GRC ed è il messaggio che il CISO deve saper comunicare.
Come quantificare il rischio cyber in termini economici
Il passaggio più difficile e più importante nel dialogo con il board è la quantificazione economica del rischio.
Dire che “il rischio di un attacco ransomware è alto” non produce decisioni di budget. Dire che “la perdita attesa annua da attacchi ransomware per la nostra organizzazione è di 2,3 milioni di euro” produce una conversazione molto diversa.
Il modello FAIR: tradurre la probabilità di un attacco in perdita attesa
FAIR (Factor Analysis of Information Risk) è il framework di quantificazione del rischio cyber più diffuso a livello internazionale. A differenza degli approcci tradizionali basati su scale qualitative (basso/medio/alto), FAIR utilizza una metodologia quantitativa che esprime il rischio in termini monetari, rendendolo direttamente comparabile con altri rischi aziendali e con i costi dei controlli.
Il modello FAIR scompone il rischio in due variabili fondamentali: la frequenza degli eventi di perdita (quante volte, in un dato periodo, è probabile che si verifichi un evento avverso) e la magnitudo della perdita (quanto costerebbe, in termini economici, ciascun evento).
La combinazione di queste due variabili, elaborata attraverso simulazioni che tengono conto dell’incertezza nelle stime, produce una distribuzione probabilistica delle perdite attese: non un numero singolo, ma un intervallo con associata probabilità.
In pratica, un’analisi FAIR su uno scenario di data breach potrebbe produrre un risultato del tipo: “c’è il 10% di probabilità che nei prossimi 12 mesi si verifichi una violazione dei dati con impatto economico superiore a 5 milioni di euro, e il 90% di probabilità che l’impatto rimanga sotto quella soglia”.
Questo è un linguaggio che il CFO riconosce immediatamente: è lo stesso usato per quantificare i rischi di mercato, di credito, di liquidità.
Annualized Loss Expectancy (ALE): il numero che il CFO capisce subito
Per chi non vuole implementare un framework FAIR completo, l’Annualized Loss Expectancy è uno strumento più semplice e immediato per portare il rischio cyber su un piano economico.
Il calcolo è concettualmente lineare: ALE = ARO × SLE, dove ARO (Annualized Rate of Occurrence) è la frequenza annua stimata dell’evento avverso e SLE (Single Loss Expectancy) è il costo stimato di un singolo evento.
Se la probabilità stimata di un attacco ransomware con impatto significativo è del 20% annuo (ARO = 0,2) e il costo stimato di un singolo evento è di 3 milioni di euro (SLE = 3.000.000), l’ALE è di 600.000 euro. Questo numero rappresenta il costo atteso annuo di quel rischio specifico. Se un controllo di sicurezza costa 150.000 euro all’anno e riduce la probabilità dell’evento del 60%, l’ALE dopo il controllo scende a 240.000 euro: il beneficio annuo del controllo è di 360.000 euro a fronte di un costo di 150.000. Il ROI della sicurezza, in questo caso, è misurabile e difendibile in qualsiasi riunione di budget.
La limitazione dell’ALE è la sua semplicità: non cattura la variabilità degli esiti, può sottostimare eventi a bassa frequenza ma alto impatto (i cosiddetti tail risk) e richiede stime di input che spesso non sono disponibili con precisione. Ma è un ottimo punto di partenza per costruire la prima conversazione economica sul rischio cyber con il board, anche usando stime conservative e scenari multipli.
NIS2 e il costo della non conformità: costruire il business case per il board
Uno degli argomenti più efficaci per giustificare gli investimenti in cyber risk management è la quantificazione del costo della non conformità.
La NIS2 ha introdotto un regime sanzionatorio significativo che, correttamente presentato, costituisce il floor del rischio finanziario legato alla sicurezza informatica.
Le sanzioni NIS2 come floor del rischio finanziario
Il regime sanzionatorio della NIS2, recepito in Italia con il D.lgs. 138/2024, prevede sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per i soggetti essenziali, e fino a 7 milioni di euro o all’ 1,4% del fatturato per i soggetti importanti, con applicazione del massimale più elevato tra i due.
Si tratta di valori che si collocano sullo stesso ordine di grandezza delle sanzioni GDPR, e che il board comprende immediatamente nella loro rilevanza.
Ma le sanzioni sono solo la componente più visibile e più semplice da quantificare. Il vero costo della non conformità va ben oltre: include il rischio di misure cautelari che possono sospendere temporaneamente le attività, la responsabilità personale dei manager apicali prevista dalla direttiva e il danno reputazionale derivante dalla pubblicazione delle violazioni, che la NIS2 prevede esplicitamente come misura di enforcement.
Presentare questi elementi in modo strutturato trasforma la conformità NIS2 da obbligo burocratico a voce di rischio finanziario misurabile.
Il costo di un incidente: diretti, indiretti e reputazionali
La struttura dei costi di un incidente cyber è più articolata di quanto appaia in superficie e molte organizzazioni ne sottostimano sistematicamente la componente indiretta.
I costi diretti sono quelli più immediati: ripristino dei sistemi, forensic investigation, notifiche obbligatorie alle autorità e agli interessati, consulenza legale, eventuali sanzioni. Per un incidente di media entità in un’organizzazione di medie dimensioni, questi costi si misurano tipicamente in centinaia di migliaia di euro.
I costi indiretti sono spesso superiori ai diretti e si manifestano in un arco temporale più lungo: interruzione dell’operatività, perdita di fatturato durante il downtime, aumento dei premi assicurativi, costi di potenziamento post-incidente (che in condizioni di emergenza sono sempre più elevati di quanto sarebbero stati in condizioni ordinarie), turnover del personale chiave.
I costi reputazionali, infine, sono i più difficili da quantificare ma potenzialmente i più rilevanti: perdita di clienti, deterioramento delle relazioni con i partner, impatto sul valore del brand. Ricerche di settore indicano che le organizzazioni che subiscono una violazione significativa perdono in media tra il 3% e il 7% della propria base clienti nei dodici mesi successivi all’incidente.
Come presentare il cyber risk management al CEO e al board
Avere i dati giusti è necessario, ma non sufficiente. La presentazione del rischio cyber al board richiede un formato, un linguaggio e una struttura narrativa che siano calibrati sul pubblico.
Un report tecnico dettagliato, per quanto accurato, non produce le decisioni giuste se viene letto da persone che non hanno il contesto per interpretarlo.
Il cyber risk dashboard per il board: metriche e KRI essenziali
Il board non ha bisogno di vedere tutti i dati: ha bisogno dei dati giusti, organizzati in modo da supportare le decisioni che gli competono. Una cyber risk dashboard efficace per il board dovrebbe contenere un numero limitato di Key Risk Indicator (KRI) (idealmente non più di cinque o sei) che sintetizzino la postura di rischio dell’organizzazione in modo immediato.
I KRI più efficaci per il board includono:
- l’esposizione al rischio cyber espressa in termini economici (perdita attesa annua totale e per scenari principali);
- il trend della postura di sicurezza rispetto al periodo precedente;
- il livello di conformità NIS2 con evidenza delle aree critiche;
- lo stato dei fornitori terzi critici;
- il tempo medio di rilevamento e risposta agli incidenti.
Ogni indicatore dovrebbe avere una soglia di attenzione e una di allarme chiaramente definite, in modo che il board possa leggere il dashboard in pochi minuti e identificare immediatamente le aree che richiedono attenzione o decisione.
Dalla heat map al budget: come tradurre il rischio in richiesta di investimento
La heat map del rischio è uno strumento visivo efficace per comunicare la distribuzione del rischio cyber, ma da sola non produce decisioni di budget. Il passaggio cruciale è collegare ogni area di rischio significativa a una richiesta di investimento specifica, con l’indicazione dell’impatto atteso sulla riduzione del rischio.
Il formato più efficace è quello della scheda rischio-controllo: per ogni scenario di rischio rilevante, si indicano il rischio attuale (in termini di perdita attesa), il controllo proposto, il costo del controllo, il rischio residuo dopo l’implementazione del controllo e il beneficio netto atteso.
Questo formato trasforma la richiesta di budget in sicurezza da “abbiamo bisogno di più risorse per la security” a “con un investimento di X euro riduciamo la perdita attesa di Y euro: ecco la priorità degli interventi in ordine di efficienza”.
È un linguaggio che il CFO e il CEO riconoscono come razionale e difendibile.
Costruire un piano di investimento in sicurezza difendibile al board
Un piano di investimento in sicurezza che supera il vaglio del board non è quello con il budget più alto né quello con la lista più lunga di controlli da implementare.
È quello che dimostra una logica di prioritizzazione chiara, un collegamento esplicito tra spesa e riduzione del rischio, e una comprensione delle alternative.
La prioritizzazione degli investimenti: rischio residuo vs costo del controllo
Non tutti i controlli di sicurezza hanno lo stesso rapporto costo-efficacia, e il budget disponibile non è mai illimitato. La prioritizzazione degli investimenti dovrebbe seguire una logica di ottimizzazione: massimizzare la riduzione del rischio totale a parità di budget investito.
In pratica, questo significa ordinare gli interventi in funzione del loro rapporto tra riduzione del rischio attesa e costo di implementazione, e presentare al board le prime N priorità in ordine decrescente di efficienza.
Un elemento spesso sottovalutato nella costruzione del piano è l’analisi del rischio residuo accettabile.
Non tutti i rischi vanno ridotti al minimo: alcuni hanno un costo di mitigazione superiore al beneficio atteso, e la scelta razionale è accettarli consapevolmente, eventualmente trasferendoli tramite polizze cyber assicurative.
Presentare al board anche questa analisi (“questi sono i rischi che proponiamo di accettare, per questi motivi”) dimostra maturità nel processo di risk management e rafforza la credibilità del CISO come interlocutore strategico.
Comunicare il ROI della sicurezza: framework e narrative efficaci
Il ROI della sicurezza è un concetto dibattuto: tecnicamente, si tratta del rapporto tra il valore del rischio evitato e il costo del controllo che lo evita. Ma questa definizione ha un limite pratico: il valore del rischio evitato è sempre un dato ipotetico, basato su scenari che per definizione non si sono verificati. Il board è naturalmente scettico verso numeri che dipendono da eventi controfattuali.
La narrative più efficace non si basa sul ROI puro, ma combina tre elementi complementari.
Il primo è il costo della non azione: quanto ci costerebbe, in perdita attesa e in sanzioni, non implementare questo controllo.
Il secondo è il benchmark di settore: cosa fanno le organizzazioni comparabili, e qual è il livello di investimento considerato adeguato dagli analisti e dalle autorità di vigilanza.
Il terzo è la storia degli incidenti analoghi: i case study di organizzazioni simili che hanno subito incidenti con impatti documentati sono tra gli strumenti narrativi più efficaci per ancorare il rischio cyber alla realtà concreta, superando la resistenza psicologica del “a noi non capiterà”.
Il ruolo del CISO come business partner: oltre la funzione tecnica
Il cambiamento più profondo che il cyber risk management richiede non è tecnologico: è culturale. Riguarda il posizionamento del CISO all’interno dell’organizzazione e la natura della relazione tra la funzione di sicurezza e il vertice aziendale.
Il CISO tradizionale è un esperto tecnico che riferisce al CIO e si occupa di proteggere l’infrastruttura.
Il CISO che serve alle organizzazioni moderne è un risk manager che parla il linguaggio del business, siede al tavolo delle decisioni strategiche e contribuisce a definire la propensione al rischio dell’organizzazione in modo consapevole. Non sono due versioni diverse dello stesso ruolo: sono due ruoli diversi, con competenze, visibilità e impatto organizzativo profondamente diversi.
Fare questo salto richiede al CISO di investire in competenze che vanno oltre la sicurezza informatica: comprensione dei modelli di business, familiarità con i processi di pianificazione finanziaria, capacità di comunicazione executive, conoscenza del contesto normativo in senso ampio.
Richiede anche un cambiamento nella struttura di reporting: i CISO che riferiscono direttamente al CEO o al board hanno sistematicamente più impatto sulle decisioni di budget e di rischio rispetto a quelli che operano all’interno della catena gerarchica IT.
La conformità normativa è il punto di partenza, non il traguardo. Le organizzazioni che trattano NIS2, DORA e GDPR come obiettivi da spuntare su una checklist stanno perdendo il valore più profondo di queste normative: la spinta verso una governance del rischio digitale matura, che protegga il business non perché la legge lo impone, ma perché è la scelta strategicamente corretta.
Il cyber risk management, tradotto nel linguaggio economico che il board comprende, è lo strumento per fare questo salto.
