Il dialogo tra i responsabili della sicurezza informatica e i consigli di amministrazione delle aziende assomiglia spesso a una conversazione tra persone che parlano lingue completamente diverse. Mentre i Chief Information Security Officer si trovano a dover proteggere le organizzazioni da minacce in continua evoluzione, i budget destinati alla cybersecurity vengono frequentemente ridotti o redistribuiti ad altri settori. Il problema principale risiede nel fatto che i vertici aziendali continuano a percepire la sicurezza informatica come un costo inevitabile piuttosto che come un investimento strategico capace di migliorare l'efficienza del business.
Il linguaggio dei numeri per convincere i vertici aziendali
La chiave per ottenere l'approvazione dei budget necessari sta nella capacità di quantificare finanziariamente i rischi. Parlare di architetture zero-trust, sistemi di rilevamento avanzati per endpoint o centri operativi di sicurezza durante le riunioni di bilancio porta inevitabilmente alla perdita di attenzione da parte del board. Non perché i dirigenti sottovalutino l'importanza della sicurezza, ma semplicemente perché non riescono a collegare questi investimenti tecnici agli obiettivi di business che considerano prioritari.
È fondamentale quindi presentare quanto valore aziendale sia effettivamente esposto al rischio, utilizzando parametri finanziari comprensibili. L'esempio dell'attacco informatico subito da Collins Aerospace risulta particolarmente illuminante: l'incidente ha causato la cancellazione di numerosi voli in diversi aeroporti europei, generando non solo perdite finanziarie dirette ma anche costi indiretti significativi. L'azienda colpita ha dovuto affrontare l'aumento delle ore di lavoro degli ingegneri per ripristinare i sistemi, la conversione di processi automatizzati in procedure manuali e il sovraccarico di lavoro per il personale aeroportuale.
Oltre la semplice conformità normativa
Secondo le stime, circa l'80% delle giustificazioni di budget presentate dai CISO si basano su requisiti di conformità e regolamentari. Standard come HIPAA o SOC2 forniscono certamente una struttura di base per i programmi di sicurezza, ma le nuove variabili come le minacce basate sull'intelligenza artificiale, l'emergere del quantum computing e la crescente complessità dei rischi legati a terze parti non possono essere adeguatamente affrontate solo con questi criteri tradizionali.
L'ideale sarebbe destinare almeno il 10% del budget complessivo, su un orizzonte temporale di 3-5 anni, alla gestione di minacce non coperte dai requisiti di conformità. Anche se nella pratica la percentuale media effettivamente disponibile ai CISO si aggira intorno al 3%, non tutto deve necessariamente rappresentare una nuova spesa. Ad esempio, i rischi legati all'intelligenza artificiale generativa costituiscono una preoccupazione sia per i responsabili della sicurezza che per i board, ma le soluzioni dedicate sono ancora in fase embrionale.
Invece di acquistare nuove soluzioni, è possibile riutilizzare risorse già presenti nel budget, come la gestione della postura di sicurezza dei dati, i sistemi SASE o il personale dedicato all'analisi GRC, per ridurre le minacce legate agli strumenti di AI generativa. Questo approccio consente di creare una base solida per utilizzare l'intelligenza artificiale in modo sicuro nel medio termine, evitando acquisti superflui e permettendo all'organizzazione di adottare l'AI con un vantaggio competitivo, senza cadere nella fretta dettata dalla paura di rimanere indietro.
Conoscere il proprio pubblico in sala riunioni
Una ricerca condotta dalla NACD ha rivelato che circa l'80% dei membri dei consigli di amministrazione possiede oggi una comprensione della cybersecurity superiore rispetto al passato. Un altro studio indica che l'85% delle aziende ha già nominato o sta valutando di inserire nel board direttori con competenze specifiche in sicurezza informatica. Questo crescente livello di consapevolezza rappresenta un'opportunità per i CISO, che devono però compiere un ulteriore passo avanti: capire cosa il board considera realmente prezioso dal punto di vista aziendale.
Alcuni consigli di amministrazione si concentrano esclusivamente su indicatori finanziari, valutando il budget unicamente come voce di costo. In questi casi diventa essenziale utilizzare un linguaggio finanziario, presentando esempi concreti delle perdite che l'organizzazione dovrebbe affrontare in caso di interruzione delle attività causata da un attacco informatico. Questa quantificazione numerica non serve solo a giustificare il budget, ma crea un collegamento naturale tra l'organizzazione di sicurezza e gli obiettivi di business.
Esistono però anche board più sensibili allo storytelling, con cui risulta più efficace illustrare passo dopo passo come un attacco potrebbe concretamente svilupparsi e quali conseguenze potrebbe generare in sequenza. Indipendentemente dalla situazione, sia la proposta di budget che la sua presentazione devono adattarsi al formato preferito dal consiglio di amministrazione. Soprattutto, per comprendere davvero quali valori il board ritenga prioritari, non è sufficiente comunicare solo nel periodo di allocazione delle risorse: è necessario costruire nel tempo una relazione di fiducia continuativa.
Un approccio sistematico alla sicurezza aziendale
Per raccogliere dati affidabili sulla probabilità di subire violazioni, i CISO possono fare riferimento a molteplici fonti: rapporti di settore, statistiche governative, cronologia degli incidenti interni e analisi delle minacce più frequenti nel proprio comparto industriale. Il metodo più accurato e convincente rimane tuttavia quello di coinvolgere esperti interni e principali stakeholder per raccogliere direttamente le loro valutazioni e quantificare i rischi in modo collaborativo.
Che si proceda manualmente o attraverso strumenti automatizzati, questo approccio permette di calcolare l'impatto complessivo delle minacce sul business, includendo perdite finanziarie dirette e indirette, interruzioni operative e conseguenze a lungo termine come il danneggiamento della reputazione aziendale. Quando si presentano rischi quantificati, è importante illustrare le perdite finanziarie associate allo scenario peggiore, a quello migliore e a quello più probabile.
I CISO necessitano di introdurre maggiore sistematicità, chiarezza e connessione con la strategia aziendale nelle decisioni relative agli investimenti in sicurezza. Quantificando i rischi, considerando le minacce emergenti e comprendendo le priorità del consiglio di amministrazione, le possibilità di ottenere l'approvazione del budget durante questa stagione di bilancio aumentano considerevolmente. Il board deve comprendere non solo quali rischi il responsabile della sicurezza ha identificato, ma anche come intende anticiparli nel budget, dimostrando che la strategia di resilienza dell'organizzazione evolve di pari passo con il panorama delle minacce.