La fine dell'anno rappresenta per i responsabili della sicurezza informatica un momento cruciale: quello in cui devono convincere il consiglio di amministrazione ad approvare il budget per la cybersecurity. Una sfida che molti Chief Information Security Officer (CISO) descrivono come un dialogo tra sordi, dove le due parti sembrano parlare lingue completamente diverse. Nonostante la crescente consapevolezza dei rischi digitali, troppo spesso gli investimenti in sicurezza vengono ancora percepiti come un costo necessario piuttosto che come un'opportunità strategica per il business.
Il paradosso è evidente: mentre le minacce informatiche evolvono a ritmi vertiginosi, i budget destinati alla cybersecurity subiscono tagli o vengono redistribuiti verso altre priorità aziendali. I CISO conoscono perfettamente il valore reale della sicurezza, ma faticano a tradurlo in un linguaggio comprensibile per chi deve firmare gli assegni.
Parlare la lingua dei numeri, non della tecnologia
Il primo errore da evitare è presentarsi in sala riunioni parlando di architetture zero-trust o di sistemi avanzati di rilevamento delle minacce. Quando un CISO inizia a elencare soluzioni tecniche, l'attenzione del board evapora rapidamente. Non perché i consiglieri di amministrazione siano disinteressati alla sicurezza, ma perché non riescono a collegare questi investimenti agli obiettivi di business che guidano le loro decisioni.
La soluzione sta nel quantificare il rischio in termini finanziari concreti. Quanto vale davvero l'esposizione dell'azienda a una violazione dei dati? Quali conseguenze economiche immediate e a lungo termine comporterebbe un attacco informatico? Per chi non ha mai vissuto un incidente di sicurezza grave, questi calcoli possono sembrare complessi, ma esistono metodi efficaci per costruirli.
L'analisi può partire dall'osservazione delle minacce più frequenti nel proprio settore, dall'utilizzo di fonti di threat intelligence aggiornate e dalla valutazione dei rischi legati ai fornitori esterni. Report di settore, statistiche governative e lo storico degli incidenti interni forniscono dati preziosi sulla probabilità che determinati eventi si verifichino.
Quando i cieli europei si fermano: lezioni dal caso Collins Aerospace
Un esempio recente illumina perfettamente questa dinamica. La violazione subita da Collins Aerospace ha avuto ripercussioni su diversi aeroporti europei, causando la cancellazione di numerosi voli. Al di là delle perdite finanziarie dirette, l'azienda ha dovuto affrontare costi nascosti significativi: ore di lavoro ingegneristico per ripristinare i sistemi, passaggio da processi automatizzati a procedure manuali, sovraccarico del personale aeroportuale.
Presentare casi concreti come questo permette di lavorare con il direttore finanziario per costruire scenari ipotetici: cosa succederebbe se un attacco simile colpisse la nostra organizzazione? Quali sarebbero le conseguenze economiche immediate e indirette? È fondamentale articolare almeno tre scenari: il peggiore possibile, il migliore e quello più probabile, ciascuno con le relative implicazioni finanziarie.
Questa metodologia consente anche ai dirigenti senza competenze tecniche di comprendere appieno l'entità degli investimenti necessari per garantire la resilienza organizzativa. Il metodo più accurato rimane comunque quello che coinvolge esperti interni e stakeholder chiave nella valutazione diretta dei rischi, includendo perdite finanziarie dirette e indirette, interruzioni operative, impatti a lungo termine sulla reputazione aziendale.
Oltre la conformità: prepararsi alle minacce di domani
È noto che circa l'80% delle giustificazioni di budget presentate dai CISO si basa su requisiti normativi e di conformità. Standard come HIPAA o SOC2 forniscono certamente una struttura fondamentale per i programmi di sicurezza, ma le nuove variabili dello scenario digitale – minacce basate sull'intelligenza artificiale, l'emergere del quantum computing, la crescente complessità dei rischi legati a terze parti – non possono essere affrontate solo con i criteri tradizionali.
L'approccio ideale prevede di destinare almeno il 10% del budget totale, calcolato su un orizzonte di 3-5 anni, alla gestione di minacce non coperte dai requisiti di conformità. Nella realtà, la percentuale media di budget che i CISO possono utilizzare liberamente si aggira intorno al 3%, ma questo non significa necessariamente nuove spese dal nulla.
Prendiamo l'esempio dei rischi legati all'intelligenza artificiale generativa: un tema cruciale sia per i CISO che per i consigli di amministrazione, ma per il quale non esistono ancora soluzioni consolidate sul mercato. È possibile però riorientare investimenti già previsti – come quelli in gestione della sicurezza dei dati, architetture SASE o personale specializzato in analisi GRC – verso la mitigazione delle minacce associate all'utilizzo di strumenti AI.
Conoscere il proprio pubblico: decifrare le priorità del board
Un recente studio della National Association of Corporate Directors ha rivelato che circa l'80% dei membri dei consigli di amministrazione ha oggi una comprensione della cybersecurity superiore rispetto al passato. Un'altra ricerca indica che l'85% delle aziende ha già nominato o sta considerando di nominare amministratori con competenze specifiche in sicurezza informatica.
Questo crescente interesse apre nuove opportunità, ma richiede ai CISO di fare un ulteriore passo avanti: capire cosa il board considera davvero prioritario dal punto di vista aziendale. Alcuni consigli di amministrazione sono ossessionati dalle metriche finanziarie e valutano ogni investimento esclusivamente come costo. In questi casi, è indispensabile presentare tutto in termini economici, con esempi concreti delle perdite che un'interruzione delle attività causerebbe.
Altri board invece rispondono meglio allo storytelling: per loro è più efficace descrivere passo dopo passo come potrebbe svilupparsi un attacco reale, quali conseguenze a catena potrebbe innescare, come l'organizzazione reagirebbe in ogni fase. Indipendentemente dall'approccio, la presentazione del budget deve adattarsi alle preferenze comunicative del consiglio.
Ma la vera chiave del successo non sta nella singola presentazione annuale. La credibilità si costruisce attraverso una comunicazione costante durante tutto l'anno, evitando di materializzarsi davanti al board solo quando serve l'approvazione dei fondi. Solo così il CISO può evitare di essere percepito come una figura puramente amministrativa che appare soltanto quando ha bisogno di qualcosa.
La formula vincente per il 2025
Aumentare le probabilità di ottenere l'approvazione del budget per la cybersecurity richiede un approccio metodico che integri tre elementi fondamentali. Prima di tutto, trasformare i rischi astratti in cifre concrete che parlino il linguaggio del bilancio aziendale. In secondo luogo, guardare oltre i requisiti normativi per anticipare le minacce emergenti, destinando risorse specifiche – anche riorganizzando investimenti già pianificati – alla protezione da scenari futuri.
Infine, comprendere profondamente cosa motiva realmente le decisioni del consiglio di amministrazione, adattando di conseguenza non solo il contenuto ma anche la forma della comunicazione. Questi tre pilastri permettono ai responsabili della sicurezza informatica di portare sistematicità, chiarezza e allineamento strategico nelle decisioni sugli investimenti in sicurezza, trasformando la protezione digitale da centro di costo a vantaggio competitivo per l'intera organizzazione.