Scritto da Francesca Cavalli
Spunti dal podcast The Business Maze di Forvis Mazars per trasformare la cybersecurity da obbligo a vantaggio competitivo.
C'è un momento preciso in cui molte aziende scoprono di avere un problema di sicurezza informatica: quando i sistemi si bloccano e arriva la richiesta di riscatto da parte di una ransomware gang; oppure quando un grosso contratto viene perso perché il cliente ha richiesto delle garanzie basate su processi e standard di security che l’azienda non ha mai implementato.
A quel punto, la cybersecurity smette di essere un argomento tecnico e diventa una questione rilevante anche per il business.
Nel primo episodio di The Business Maze, il podcast di Forvis Mazars dedicato alle grandi sfide della trasformazione aziendale, questo cambio di prospettiva è il filo conduttore. La sicurezza informatica non è un reparto, non è una certificazione da ottenere, non è una voce di spesa da minimizzare: è una scelta strategica che il vertice aziendale deve fare consapevolmente, prima di trovarsi a gestire situazioni critiche.
Il ruolo centrale del CDA
Per troppo tempo la sicurezza informatica è stata gestita come risposta a una richiesta esterna: il cliente vuole la ISO 27001, il bando richiede la certificazione, la normativa impone nuovi controlli. Si reagisce, si ottiene il documento, si va avanti.
Questo approccio ha un nome, security by compliance, e un problema fondamentale, ovvero non protegge davvero l'azienda.
Il cambio di paradigma richiesto oggi è quello verso la security by design: la sicurezza integrata nelle scelte architetturali, nei processi, nei prodotti, fin dalla fase di progettazione. Non una pezza messa per arginare un problema, ma un processo continuativo che si integra nella attività dell’azienda.
Questo cambiamento non può avvenire dal basso. Richiede che il Consiglio di Amministrazione si assuma la responsabilità di definire una strategia di sicurezza, di allocare risorse coerenti con i rischi reali e di seguire periodicamente l'evoluzione del contesto.
La sicurezza non rallenta il business: lo protegge e lo accelera
C'è una narrativa diffusa secondo cui investire in sicurezza significa rallentare l'innovazione, aggiungere burocrazia, creare frizioni. È una narrativa sbagliata e i dati lo dimostrano.
Quando un’azienda di medie dimensioni viene colpita da ransomware subisce in media tra i 15 e i 21 giorni di fermo operativo parziale o totale. Il costo medio globale di una violazione dei dati ha superato i 4 milioni di dollari, considerando non solo il riscatto eventuale, ma i costi di ripristino, le ore di lavoro, i contratti persi, le sanzioni normative e il danno reputazionale.
Al contrario, un'azienda con una strategia di security matura può concentrarsi su crescita e innovazione, può rispondere alle richieste dei clienti enterprise, può partecipare a gare che richiedono garanzie di sicurezza sapendo che il perimetro è sotto controllo. La sicurezza diventa un abilitatore di business, non un freno.
L’AI per la cyber security: nemico e alleato
L'Intelligenza Artificiale è entrata prepotentemente nel panorama della cybersecurity e lo ha fatto su entrambi i fronti del conflitto.
Sul lato degli attaccanti, l'AI generativa ha trasformato la qualità delle campagne malevole e semplificato l’accesso a malware sofisticati anche ad attori con competenze tecniche ridotte.
Ma l'AI è anche uno strumento di difesa straordinario. I sistemi di rilevamento basati su intelligenza artificiale sono in grado di analizzare enormi volumi di log e di correlare eventi apparentemente scollegati per identificare minacce che un analista umano non riuscirebbe a cogliere in tempo utile. Possono individuare comportamenti anomali su dispositivi e account, rilevare movimenti laterali all'interno della rete, ridurre drasticamente i tempi di risposta agli incidenti.
Il tema non è quindi se usare l'AI in sicurezza, ma come governarla. Tra le questioni aperte ci sono la qualità dei dati per l’addestramento, la supervisione umana e la consapevolezza dei limiti di questo strumento.
La supply chain: il perimetro che non finisce mai
Una delle evoluzioni più significative del panorama delle minacce riguarda la supply chain. Gli attaccanti hanno capito che spesso è più semplice violare un fornitore di medie dimensioni per poi raggiungere il cliente enterprise a cui è connesso, piuttosto che attaccare direttamente una grande organizzazione ben difesa.
Il risultato è che il perimetro di sicurezza di un'azienda si estende oggi ben oltre i propri sistemi: include tutti i fornitori che hanno accesso a dati, sistemi e infrastrutture critiche.
Come gestire questo rischio? La risposta non è la diffidenza generalizzata, ma un processo strutturato di valutazione e monitoraggio. Gli audit regolari ai fornitori con pratiche come questionari di sicurezza, verifica delle certificazioni, analisi delle pratiche di gestione degli accessi, permettono di avere una mappa aggiornata del rischio della catena di fornitura.
È un lavoro continuo, non un'attività una tantum. I fornitori cambiano, le loro posture di sicurezza evolvono, le partnership si trasformano. Solo un processo ricorrente di verifica permette di mantenere una visione realistica del rischio complessivo.
Identity protection: persone, dispositivi, servizi
Se c'è un dato che sintetizza bene la natura del rischio attuale, è questo: oltre il 60% degli incidenti informatici nasce da una compromissione dell'identità. Non vulnerabilità tecniche sofisticate, non da attacchi zero-day, ma credenziali rubate, account condivisi, accessi non revocati, MFA non abilitato.
L'identity protection è quindi il terreno su cui si combatte la grande maggioranza delle battaglie reali. E va affrontata su tre livelli distinti.
Le persone: ogni utente è una possibile vulnerabilità. La formazione continua è uno dei pochi strumenti che ha un impatto misurabile: dopo 12 mesi di training strutturato, la suscettibilità al phishing cala dell'86%. L'autenticazione multifattore non è più opzionale. Il principio del minimo privilegio deve essere la norma, non l'eccezione.
I dispositivi: ogni endpoint che accede alle risorse aziendali è un potenziale punto di ingresso. Il controllo dello stato di salute dei dispositivi, la capacità di isolare o cancellare un device compromesso, la gestione centralizzata degli aggiornamenti sono tutti elementi fondamentali di una strategia di identity protection efficace.
I servizi: le applicazioni cloud, le API, le integrazioni tra sistemi hanno identità proprie che devono essere gestite con la stessa attenzione dedicata agli utenti. Le credenziali di servizio hardcodate nel codice, gli account tecnici con permessi eccessivi, i token mai scaduti sono vulnerabilità spesso trascurate e facilmente sfruttabili.
Come convincere il board a investire senza un ROI misurabile
"Quanti attacchi abbiamo subito?”
“Nessuno.”
“Quindi perché spendere di più?"
È l'obiezione classica davanti al budget di cyber security. Il problema di fondo è reale: come si misura il valore di qualcosa che non è successo?
La NIS2 introduce un elemento che può trasformare questa conversazione (approfondisci qui l'argomento NIS2): l'obbligo di presentare dei report non solo relativi agli incidenti subiti, ma anche alle attività preventive, i quasi-incidenti sventati, le vulnerabilità identificate e risolte. Questo reporting periodico crea una narrativa quantificabile della sicurezza come attività continuativa, non come assenza di eventi.
In pratica, significa costruire un cruscotto che mostri al board non "abbiamo speso X e non è successo niente", ma "abbiamo rilevato 3.000 tentativi di accesso anomali, ne abbiamo bloccati 2.998, abbiamo identificato e chiuso 12 vulnerabilità critiche, abbiamo ridotto il tempo medio di risposta agli incidenti da 4 ore a 45 minuti".
Questo tipo di metrica rende visibile il lavoro di difesa. E rende anche possibile un ragionamento sul rischio residuo: cosa succederebbe se non avessimo questi controlli? Qual è il costo atteso di un incidente significativo, ponderato per la probabilità? La sicurezza cessa di essere un articolo di fede e diventa una scelta razionale supportata da dati.
C'è anche un argomento normativo che non va sottovalutato: la NIS2 prevede sanzioni significative per le organizzazioni che non rispettano i requisiti di sicurezza, e responsabilità personali per i vertici aziendali in caso di violazioni gravi. Questo trasforma il tema da "quanto vogliamo investire in sicurezza" a "quali rischi personali siamo disposti ad accettare".
L'intelligenza umana nell'era dell'automazione
Man mano che i sistemi di sicurezza diventano più automatizzati emerge una domanda fondamentale: dove finisce la macchina e dove comincia l'uomo?
La risposta è chiara: la macchina può fare molto, ma la decisione finale e la responsabilità restano umane.
Un sistema di detection automatizzato può isolare un device sospetto in millisecondi, molto prima che un analista umano si accorga dell'anomalia. Ma decisioni come bloccare un intero segmento di rete, interrompere un servizio critico o comunicare un incidente all'esterno hanno implicazioni che vanno oltre il dominio tecnico. Riguardano contratti, relazioni commerciali, obblighi normativi, reputazione.
Nessun algoritmo può prendere queste decisioni in modo responsabile. Può preparare il terreno, raccogliere evidenze, presentare opzioni, ma la scelta finale deve essere di una persona che ne risponde.
Questo significa che la cybersecurity del futuro non è la sostituzione dell'esperto umano con l'AI, ma la loro collaborazione: sistemi automatizzati che gestiscono i volumi e la velocità, operatori umani che portano contesto, giudizio e responsabilità.
In conclusione: la sicurezza come scelta di leadership
I temi affrontati nel primo episodio di The Business Maze disegnano un quadro coerente: la cybersecurity non è un problema tecnico con una soluzione tecnica. È una questione di leadership, di cultura organizzativa, di scelte strategiche che il vertice aziendale deve assumere con consapevolezza.
Il contesto non lascia spazio all'immobilismo. Nel 2025, a livello globale si è verificato un tentativo di attacco ogni 21,5 secondi (DATA GATHERING 2026). L'AI ha reso le campagne malevole più efficaci. La supply chain è diventata un vettore d'attacco privilegiato. La NIS2 ha alzato l'asticella non solo delle difese, ma anche delle responsabilità.
La domanda non è più "possiamo permetterci di investire in sicurezza?". È "possiamo permetterci di non farlo?"