Punti Chiave
- I CEO hanno bisogno di maggiore contesto nei briefing sulla cybersicurezza. Devono avere chiarezza decisionale sull’esposizione: il "che cosa significa" dietro le metriche.
- Una comunicazione cyber efficace traduce le metriche tecniche in impatto sul business: ricavi, reputazione e gestione del rischio normativo.
- I framework di propensione al rischio funzionano solo quando vengono applicati con coerenza, non solo documentati.
La maggior parte dei CEO sa citare i benchmark trimestrali e i ricavi fino all’ultima cifra decimale, ma se si chiede loro dell’esposizione al rischio cyber della propria organizzazione, le risposte diventano più vaghe. Non è che i CEO di oggi non si interessino alla sicurezza: la cybersicurezza è tra le principali preoccupazioni di consigli di amministrazione e team executive. Il problema è più profondo: una rottura fondamentale nel modo in cui i rischi di sicurezza vengono spiegati ai leader aziendali, che trascura il loro impatto sui risultati di business.
La maggior parte dei problemi di comunicazione tra CISO e CEO non dipende da una mancanza di competenza. Derivano da un problema noto: la maledizione della conoscenza. La maledizione della conoscenza è una sfida comune in cui gli esperti, in questo caso i responsabili della sicurezza, possono dare per scontato che tutti i presenti abbiano una comprensione di base delle informazioni e della terminologia tecnica; di conseguenza, non riescono a spiegare rischi complessi in un linguaggio semplice né a inserirli in un contesto concreto.
Il Report sullo stato della cybersicurezza 2026 di Ivanti evidenzia questa disconnessione. Quasi sei professionisti della sicurezza su dieci affermano che i loro team sono solo moderatamente efficaci nel comunicare l’esposizione al rischio alla leadership executive.
Quando CEO e CISO non parlano la stessa lingua, vulnerabilità aziendali critiche possono essere oscurate dal gergo tecnico. Quando la comunicazione si interrompe, le organizzazioni sprecano tempo e denaro in investimenti non correttamente indirizzati, mentre le lacune nella protezione passano inosservate finché una violazione non costringe ad affrontare il tema.
Con l’aumento dei livelli di minaccia, gli attacchi abilitati dall’AI diventano sempre più sofisticati e le violazioni dei dati finiscono ogni settimana sui giornali. La posta in gioco per una comunicazione chiara tra CISO e leadership executive non è mai stata così alta.
Per capire perché questo divario comunicativo persiste, dobbiamo esaminare sia le sfide fondamentali sia le metriche utilizzate per misurare il successo.
Perché la comunicazione del rischio cyber fallisce: la maledizione della conoscenza
Questa disconnessione tra CEO e CISO non è causata da una mancanza di dati. Semmai, è vero il contrario. Dal punto di vista del CEO, la sfida non riguarda l’attenzione o l’intenzione. Consiste piuttosto nel vedere dashboard, metriche, acronimi e punteggi di gravità senza comprendere l’impatto di questi risultati sull’intera azienda.
I responsabili della sicurezza devono partire dal presupposto che molti dei presenti non comprendano le implicazioni di termini come punteggi CVSS, superfici di attacco e vulnerabilità zero-day. I CEO vogliono più di dashboard piene di metriche, acronimi e punteggi di gravità.
I briefing sulla cybersicurezza devono fare un passo in più e dimostrare le implicazioni finanziarie, legali e reputazionali di questi risultati per l’azienda. Un CISO potrebbe riferire "587 vulnerabilità critiche rilevate questo mese", mentre ciò che il CEO deve davvero sapere è: "Quali di queste minacciano la nostra capacità di servire i clienti e qual è il nostro piano per affrontarle?"
I KPI di cybersicurezza che contano per i CEO
I KPI utili collegano chiaramente le attività di gestione delle vulnerabilità al rischio aziendale. Tuttavia, la nostra ricerca sulla cybersicurezza rileva che i KPI più utilizzati dai team di sicurezza non riescono a riflettere il contesto del rischio.
Attualmente, solo la metà delle aziende (51%) monitora i punteggi di esposizione alla cybersicurezza o altri indici basati sul rischio. Molti team di sicurezza si affidano ancora a metriche di processo, come il tempo medio di correzione (47%) o la percentuale di esposizioni risolte (41%).
Metriche come MTTR, velocità di applicazione delle patch e percentuale di correzioni effettuate sono importanti per i team di sicurezza, ma misurano l’efficienza operativa, non l’esposizione aziendale o il potenziale impatto finanziario. Considerate isolatamente, possono sembrare rassicuranti, pur oscurando la vera domanda: stiamo gestendo il nostro rischio in modo efficace?
Queste metriche, incentrate su rapidità e copertura, possono apparire positive da sole, ma dicono poco sul fatto che le attuali attività di correzione migliorino davvero la postura di rischio. Conta meno quanto rapidamente le vulnerabilità vengono corrette e quante ne vengono affrontate. Ciò che conta di più è se vengono affrontati i problemi giusti.
Una comprensione condivisa tra team di sicurezza, consiglio di amministrazione e C-Suite richiede di collegare metriche poco leggibili a conseguenze concrete. Per i CEO, questo significa allinearsi con il proprio CISO sui rischi più importanti per la specifica organizzazione: la vostra organizzazione è un istituto finanziario che affronta spesso schemi di frode sofisticati, rigorosi requisiti di conformità come PCI-DSS e SOX e la minaccia costante di ransomware che prendono di mira i dati finanziari dei clienti? Oppure un’organizzazione sanitaria alle prese con la protezione di una rete in espansione di dispositivi medici connessi, mantenendo al contempo rigorosi standard di conformità per proteggere i dati sensibili dei pazienti?
Illustriamo la differenza tra un briefing executive sulla sicurezza che si basa solo su metriche tecniche e uno che aggiunge contesto e impatto sul business.
Cosa dice il CISO:
- "Abbiamo rilevato 11.000 vulnerabilità".
- "L’MTTR è sceso da 25 a 15 giorni".
- "Abbiamo raggiunto un tasso di correzione dell’88% sulle CVE critiche".
Cosa deve davvero sapere il CEO:
- "Abbiamo identificato dieci vulnerabilità critiche che potrebbero avere un impatto sui sistemi che generano ricavi".
- "Se venissimo attaccati oggi, potremmo ripristinare le operazioni critiche in sei ore, rispetto alle 48 ore dello scorso anno".
- "Questa protezione ci consente di puntare all’espansione nell’UE senza ulteriori rischi di conformità".
Costruire un framework di propensione al rischio a livello executive
La comunicazione executive dipende da framework condivisi e da un punto di riferimento comune per definire, misurare e discutere il rischio. Per eliminare incoerenze e confusione, tutti gli stakeholder dovrebbero essere coinvolti nella creazione e nell’applicazione di un framework di propensione al rischio.
Uno degli obiettivi principali di queste conversazioni è aiutare i leader aziendali a comprendere che lo scopo del programma di cybersicurezza non è essere completamente “senza rischio”: è impossibile per qualsiasi organizzazione moderna diventare completamente priva di rischi. In altre parole, i CEO devono saper distinguere tra la loro propensione al rischio e la postura di rischio.
1. Propensione al rischio: il livello di rischio che l’azienda è attualmente disposta a tollerare nel perseguimento dei propri obiettivi generali.
2. Postura di rischio: la realtà dell’attuale esposizione al rischio dell’organizzazione.
La maggior parte delle organizzazioni riconosce ormai la necessità di formalizzare il livello di rischio cyber che è disposta ad accettare. La ricerca di Ivanti mostra che oltre l’80% delle organizzazioni dispone di un framework di propensione al rischio documentato.
Tuttavia, meno della metà delle organizzazioni afferma che questi framework vengono seguiti attentamente nelle operazioni quotidiane. Quando i framework esistono sulla carta ma non guidano le decisioni effettive, è molto probabile che la propensione al rischio e la postura di rischio della vostra organizzazione non siano allineate.
In che modo la gestione dell’esposizione colma il divario comunicativo
La gestione dell’esposizione è un approccio basato sul rischio che identifica, prioritizza e convalida in modo continuo la portata delle potenziali minacce nell’intera superficie di attacco. Praticare la gestione dell’esposizione aiuta a unire responsabili della sicurezza e leader executive attorno a una strategia unica e completa, che riorienta la cybersicurezza sul rischio critico per il business.
Invece di trattare tutte le vulnerabilità come equivalenti, la gestione dell’esposizione si concentra sull’identificazione e sulla prioritizzazione dei rischi più elevati per l’organizzazione ponendo queste domande:
- Quali esposizioni attuali vengono sfruttate attivamente dagli attori delle minacce?
- Quali asset devono essere prioritizzati in base alle attuali operazioni aziendali?
- Quali asset, se compromessi, avrebbero il maggiore impatto in termini di danni reputazionali, per i clienti o legali?
Il report di ricerca di Ivanti mostra che quasi due terzi delle organizzazioni investono oggi nella gestione dell’esposizione e che la comprensione da parte della leadership è aumentata anno su anno. Ma l’esecuzione è ancora in ritardo: solo circa un quarto delle organizzazioni valuta come eccellente la propria capacità di valutare l’esposizione al rischio.
Per colmare questo divario e rendere operativa in modo efficace la gestione dell’esposizione, i CISO dovrebbero basare la comunicazione executive su tre principi
1. Tradurre i segnali tecnici in contesto aziendale. Invece di riportare il numero di vulnerabilità, spiegate quali esposizioni incidono sui sistemi che generano ricavi, sui dati dei clienti o sugli ambienti regolamentati.
2. Prioritizzare le minacce emergenti in base all’impatto, non al volume. Gli executive non devono monitorare ogni nuova tecnica di attacco. Devono capire quali situazioni potrebbero interrompere in modo significativo l’attività aziendale e quanto l’organizzazione sia pronta a rispondere.
3. Usare scenari, non fogli di calcolo. Narrazioni basate sui dati, che collegano causa, impatto e risultato, aiutano i leader a interiorizzare il rischio e a prendere decisioni più rapide.
Questo approccio sposta la strategia di mitigazione del rischio da una difesa reattiva a un processo decisionale proattivo.
La strada da seguire
Quando executive e responsabili della sicurezza parlano la stessa lingua, la maledizione della conoscenza può essere superata e la cybersicurezza diventa un abilitatore strategico che protegge il valore aziendale, favorisce la crescita e trasforma la forza della sicurezza in vantaggio competitivo.
La maledizione della conoscenza può essere superata: una metrica tradotta, una conversazione incentrata sul business e una decisione chiara alla volta.
Domande frequenti
Che cos’è la “maledizione della conoscenza” nella comunicazione sulla cybersicurezza?
La maledizione della conoscenza è un bias cognitivo per cui i professionisti della cybersicurezza possono dare per scontato che i dirigenti aziendali comprendano termini e concetti tecnici, generando incomprensioni dovute all’uso di termini di sicurezza e metriche tecniche senza tradurli in un contesto di business.
Che cos’è un framework di propensione al rischio?
Un framework di propensione al rischio è una policy formale che definisce quanto rischio cyber un’organizzazione è disposta ad accettare nei vari reparti e nelle diverse attività. Il framework di propensione al rischio di un’organizzazione stabilisce soglie e linee guida affinché tutti gli stakeholder prendano decisioni in modo coerente, bilanciando protezione e obiettivi aziendali.
