<?xml version="1.0" encoding="utf-8"?><rss xmlns:atom="http://www.w3.org/2005/Atom" version="2.0"><channel><title>Ivanti Blog: Post di </title><description /><language>it</language><atom:link rel="self" href="https://www.ivanti.com/it/blog/authors/dennis-kozak/rss" /><link>https://www.ivanti.com/it/blog/authors/dennis-kozak</link><item><guid isPermaLink="false">8b46a2ba-4212-45cf-ad36-253f5e0ede55</guid><link>https://www.ivanti.com/it/blog/how-to-communicate-cyber-risk-strategy-to-ceos</link><atom:author><atom:name>Dennis Kozak</atom:name><atom:uri>https://www.ivanti.com/it/blog/authors/dennis-kozak</atom:uri></atom:author><category>Sicurezza</category><title>Come i CEO vogliono che i CISO comunichino la strategia di gestione del rischio di cybersicurezza</title><description>&lt;p&gt;La maggior parte dei CEO sa citare i benchmark trimestrali e i ricavi fino all’ultima cifra decimale, ma se si chiede loro dell’esposizione al rischio cyber della propria organizzazione, le risposte diventano più vaghe. Non è che i CEO di oggi non si interessino alla sicurezza: la &lt;a href="https://www.ivanti.com/it/network-security"&gt;cybersicurezza&lt;/a&gt; è tra le principali preoccupazioni di consigli di amministrazione e team executive. Il problema è più profondo: una rottura fondamentale nel modo in cui i rischi di sicurezza vengono spiegati ai leader aziendali, che trascura il loro impatto sui risultati di business.&lt;/p&gt;&lt;p&gt;La maggior parte dei problemi di comunicazione tra CISO e CEO non dipende da una mancanza di competenza. Derivano da un problema noto: la maledizione della conoscenza. La maledizione della conoscenza è una sfida comune in cui gli esperti, in questo caso i responsabili della sicurezza, possono dare per scontato che tutti i presenti abbiano una comprensione di base delle informazioni e della terminologia tecnica; di conseguenza, non riescono a spiegare rischi complessi in un linguaggio semplice né a inserirli in un contesto concreto.&lt;/p&gt;&lt;p&gt;Il &lt;a href="https://www.ivanti.com/resources/research-reports/state-of-cybersecurity-report" target="_blank" rel="noopener"&gt;Report sullo stato della cybersicurezza 2026&lt;/a&gt; di Ivanti evidenzia questa disconnessione. Quasi sei professionisti della sicurezza su dieci affermano che i loro team sono solo moderatamente efficaci nel comunicare l’esposizione al rischio alla leadership executive.&lt;/p&gt;&lt;div class="flourish-embed flourish-chart" data-src="visualisation/27229530"&gt;&lt;/div&gt;&lt;p&gt;Quando CEO e CISO non parlano la stessa lingua, vulnerabilità aziendali critiche possono essere oscurate dal gergo tecnico. Quando la comunicazione si interrompe, le organizzazioni sprecano tempo e denaro in investimenti non correttamente indirizzati, mentre le lacune nella protezione passano inosservate finché una violazione non costringe ad affrontare il tema.&lt;/p&gt;&lt;p&gt;Con l’aumento dei livelli di minaccia, gli attacchi abilitati dall’AI diventano sempre più sofisticati e le violazioni dei dati finiscono ogni settimana sui giornali. La posta in gioco per una comunicazione chiara tra CISO e leadership executive non è mai stata così alta.&lt;/p&gt;&lt;p&gt;Per capire perché questo divario comunicativo persiste, dobbiamo esaminare sia le sfide fondamentali sia le metriche utilizzate per misurare il successo.&lt;/p&gt;&lt;h2&gt;Perché la comunicazione del rischio cyber fallisce: la maledizione della conoscenza&lt;/h2&gt;&lt;p&gt;Questa disconnessione tra CEO e CISO non è causata da una mancanza di dati. Semmai, è vero il contrario. Dal punto di vista del CEO, la sfida non riguarda l’attenzione o l’intenzione. Consiste piuttosto nel vedere dashboard, metriche, acronimi e punteggi di gravità senza comprendere l’impatto di questi risultati sull’intera azienda.&lt;/p&gt;&lt;p&gt;I responsabili della sicurezza devono partire dal presupposto che molti dei presenti non comprendano le implicazioni di termini come punteggi CVSS, &lt;a href="https://www.ivanti.com/blog/understanding-external-attack-surface-management" target="_blank" rel="noopener"&gt;superfici di attacco&lt;/a&gt; e vulnerabilità zero-day. I CEO vogliono più di dashboard piene di metriche, acronimi e punteggi di gravità.&lt;/p&gt;&lt;p&gt;I briefing sulla cybersicurezza devono fare un passo in più e dimostrare le implicazioni finanziarie, legali e reputazionali di questi risultati per l’azienda. Un CISO potrebbe riferire "587 vulnerabilità critiche rilevate questo mese", mentre ciò che il CEO deve davvero sapere è: "Quali di queste minacciano la nostra capacità di servire i clienti e qual è il nostro piano per affrontarle?"&lt;/p&gt;&lt;h2&gt;I KPI di cybersicurezza che contano per i CEO&lt;i&gt;&lt;/i&gt;&lt;/h2&gt;&lt;p&gt;I KPI utili collegano chiaramente le attività di gestione delle vulnerabilità al rischio aziendale. Tuttavia, la nostra &lt;a href="https://www.ivanti.com/resources/research-reports/state-of-cybersecurity-report" target="_blank" rel="noopener"&gt;ricerca sulla cybersicurezza&lt;/a&gt; rileva che i KPI più utilizzati dai team di sicurezza non riescono a riflettere il contesto del rischio.&lt;/p&gt;&lt;p&gt;Attualmente, solo la metà delle aziende (51%) monitora i punteggi di esposizione alla cybersicurezza o altri indici basati sul rischio. Molti team di sicurezza si affidano ancora a metriche di processo, come il tempo medio di correzione (47%) o la percentuale di esposizioni risolte (41%).&lt;/p&gt;&lt;div class="flourish-embed flourish-chart" data-src="visualisation/26288727"&gt;&lt;/div&gt;&lt;p&gt;Metriche come MTTR, velocità di applicazione delle patch e percentuale di correzioni effettuate sono importanti per i team di sicurezza, ma misurano l’efficienza operativa, non l’esposizione aziendale o il potenziale impatto finanziario. Considerate isolatamente, possono sembrare rassicuranti, pur oscurando la vera domanda: &lt;i&gt;stiamo gestendo il nostro rischio in modo efficace?&lt;/i&gt;&lt;/p&gt;&lt;p&gt;Queste metriche, incentrate su rapidità e copertura, possono apparire positive da sole, ma dicono poco sul fatto che le attuali attività di correzione migliorino davvero la postura di rischio. Conta meno quanto rapidamente le vulnerabilità vengono corrette e quante ne vengono affrontate. Ciò che conta di più è se vengono affrontati i problemi &lt;i&gt;giusti&lt;/i&gt;.&lt;/p&gt;&lt;p&gt;Una comprensione condivisa tra team di sicurezza, consiglio di amministrazione e C-Suite richiede di collegare metriche poco leggibili a conseguenze concrete. Per i CEO, questo significa allinearsi con il proprio CISO sui rischi più importanti per la specifica organizzazione: &lt;i&gt;la vostra organizzazione è un istituto finanziario che affronta spesso schemi di frode sofisticati, rigorosi requisiti di conformità come PCI-DSS e SOX e la minaccia costante di ransomware che prendono di mira i dati finanziari dei clienti? &lt;/i&gt;&lt;i&gt;Oppure un’organizzazione sanitaria alle prese con la protezione di una rete in espansione di dispositivi medici connessi, mantenendo al contempo rigorosi standard di conformità per proteggere i dati sensibili dei pazienti?&lt;/i&gt;&lt;/p&gt;&lt;p&gt;Illustriamo la differenza tra un briefing executive sulla sicurezza che si basa solo su metriche tecniche e uno che aggiunge contesto e impatto sul business.&lt;/p&gt;&lt;h4&gt;Cosa dice il CISO:&lt;/h4&gt;&lt;ul&gt;&lt;li&gt;"Abbiamo rilevato 11.000 vulnerabilità".&lt;/li&gt;&lt;li&gt;"L’MTTR è sceso da 25 a 15 giorni".&lt;/li&gt;&lt;li&gt;"Abbiamo raggiunto un tasso di correzione dell’88% sulle CVE critiche".&lt;/li&gt;&lt;/ul&gt;&lt;h4&gt;Cosa deve davvero sapere il CEO:&lt;/h4&gt;&lt;ul&gt;&lt;li&gt;"Abbiamo identificato dieci vulnerabilità critiche che potrebbero avere un impatto sui sistemi che generano ricavi".&lt;/li&gt;&lt;li&gt;"Se venissimo attaccati oggi, potremmo ripristinare le operazioni critiche in sei ore, rispetto alle 48 ore dello scorso anno".&lt;/li&gt;&lt;li&gt;"Questa protezione ci consente di puntare all’espansione nell’UE senza ulteriori rischi di conformità".&lt;/li&gt;&lt;/ul&gt;&lt;h2&gt;Costruire un framework di propensione al rischio a livello executive&lt;/h2&gt;&lt;p&gt;La comunicazione executive dipende da framework condivisi e da un punto di riferimento comune per definire, misurare e discutere il rischio. Per eliminare incoerenze e confusione, tutti gli stakeholder dovrebbero essere coinvolti nella creazione e nell’applicazione di un &lt;i&gt;&lt;/i&gt;&lt;a href="https://www.ivanti.com/resources/whitepapers/how-to-define-and-implement-risk-appetite" target="_blank" rel="noopener"&gt;&lt;i&gt;framework di propensione al rischio&lt;/i&gt;&lt;/a&gt;&lt;i&gt;.&lt;/i&gt;&lt;/p&gt;&lt;p&gt;Uno degli obiettivi principali di queste conversazioni è aiutare i leader aziendali a comprendere che lo scopo del programma di cybersicurezza non è essere completamente “senza rischio”: è impossibile per qualsiasi organizzazione moderna diventare completamente priva di rischi. In altre parole, i CEO devono saper distinguere tra la loro &lt;a href="https://www.ivanti.com/blog/risk-appetite" target="_blank" rel="noopener"&gt;propensione al rischio&lt;/a&gt; e la postura di rischio.&lt;/p&gt;&lt;p&gt;1. &lt;b&gt;Propensione al rischio: &lt;/b&gt;il livello di rischio che l’azienda è attualmente disposta a tollerare nel perseguimento dei propri obiettivi generali.&lt;/p&gt;&lt;p&gt;2. &lt;b&gt;Postura di rischio: &lt;/b&gt;la realtà dell’attuale esposizione al rischio dell’organizzazione.&lt;/p&gt;&lt;p&gt;La maggior parte delle organizzazioni riconosce ormai la necessità di formalizzare il livello di rischio cyber che è disposta ad accettare. &lt;a href="https://www.ivanti.com/resources/research-reports/state-of-cybersecurity-report" target="_blank" rel="noopener"&gt;La ricerca di Ivanti&lt;/a&gt; mostra che oltre l’80% delle organizzazioni dispone di un framework di propensione al rischio documentato.&lt;/p&gt;&lt;p&gt;Tuttavia, meno della metà delle organizzazioni afferma che questi framework vengono seguiti attentamente nelle operazioni quotidiane. Quando i framework esistono sulla carta ma non guidano le decisioni effettive, è molto probabile che la propensione al rischio e la postura di rischio della vostra organizzazione non siano allineate.&lt;/p&gt;&lt;div class="flourish-embed flourish-chart" data-src="visualisation/27229780"&gt;&lt;/div&gt;&lt;p&gt;&lt;/p&gt;&lt;div class="flourish-embed flourish-chart" data-src="visualisation/27229775"&gt;&lt;/div&gt;&lt;h2&gt;In che modo la gestione dell’esposizione colma il divario comunicativo&lt;/h2&gt;&lt;p&gt;&lt;a href="https://www.ivanti.com/it/exposure-management"&gt;La gestione dell’esposizione&lt;/a&gt; è un approccio basato sul rischio che identifica, prioritizza e convalida in modo continuo la portata delle potenziali minacce nell’intera superficie di attacco. Praticare la gestione dell’esposizione aiuta a unire responsabili della sicurezza e leader executive attorno a una strategia unica e completa, che riorienta la cybersicurezza sul rischio critico per il business.&lt;/p&gt;&lt;p&gt;Invece di trattare tutte le vulnerabilità come equivalenti, la gestione dell’esposizione si concentra sull’identificazione e sulla &lt;a href="https://www.ivanti.com/blog/vulnerability-prioritization-guide" target="_blank" rel="noopener"&gt;prioritizzazione dei rischi più elevati per l’organizzazione&lt;/a&gt; ponendo queste domande:&lt;/p&gt;&lt;ul&gt;&lt;li&gt;Quali esposizioni attuali vengono sfruttate attivamente dagli attori delle minacce?&lt;/li&gt;&lt;li&gt;Quali asset devono essere prioritizzati in base alle attuali operazioni aziendali?&lt;/li&gt;&lt;li&gt;Quali asset, se compromessi, avrebbero il maggiore impatto in termini di danni reputazionali, per i clienti o legali?&lt;/li&gt;&lt;/ul&gt;&lt;p&gt;Il report di ricerca di Ivanti mostra che quasi due terzi delle organizzazioni investono oggi nella gestione dell’esposizione e che la comprensione da parte della leadership è aumentata anno su anno. Ma l’esecuzione è ancora in ritardo: solo circa un quarto delle organizzazioni valuta come eccellente la propria capacità di &lt;a href="https://www.ivanti.com/blog/how-to-implement-quantitative-risk-assessment" target="_blank" rel="noopener"&gt;valutare l’esposizione al rischio&lt;/a&gt;.&lt;/p&gt;&lt;div class="flourish-embed flourish-chart" data-src="visualisation/27230019"&gt;&lt;/div&gt;&lt;p&gt;Per colmare questo divario e rendere operativa in modo efficace la gestione dell’esposizione, i CISO dovrebbero basare la comunicazione executive su tre principi&lt;/p&gt;&lt;p&gt;&lt;b&gt;1. Tradurre i segnali tecnici in contesto aziendale. &lt;/b&gt;Invece di riportare il numero di vulnerabilità, spiegate quali esposizioni incidono sui sistemi che generano ricavi, sui dati dei clienti o sugli ambienti regolamentati.&lt;/p&gt;&lt;p&gt;&lt;b&gt;2. Prioritizzare le minacce emergenti in base all’impatto, non al volume. &lt;/b&gt;Gli executive non devono monitorare ogni nuova tecnica di attacco. Devono capire quali situazioni potrebbero interrompere in modo significativo l’attività aziendale e quanto l’organizzazione sia pronta a rispondere.&lt;/p&gt;&lt;p&gt;&lt;b&gt;3. Usare scenari, non fogli di calcolo.&lt;/b&gt; Narrazioni basate sui dati, che collegano causa, impatto e risultato, aiutano i leader a interiorizzare il rischio e a prendere decisioni più rapide.&lt;/p&gt;&lt;p&gt;Questo approccio sposta la strategia di mitigazione del rischio da una difesa reattiva a un processo decisionale proattivo.&lt;/p&gt;&lt;h2&gt;La strada da seguire&lt;/h2&gt;&lt;p&gt;Quando executive e responsabili della sicurezza parlano la stessa lingua, la maledizione della conoscenza può essere superata e la cybersicurezza diventa un abilitatore strategico che protegge il valore aziendale, favorisce la crescita e trasforma la forza della sicurezza in vantaggio competitivo.&lt;/p&gt;&lt;p&gt;La maledizione della conoscenza può essere superata: una metrica tradotta, una conversazione incentrata sul business e una decisione chiara alla volta.&lt;/p&gt;</description><pubDate>Tue, 17 Feb 2026 13:00:01 Z</pubDate></item></channel></rss>