Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Cybersecurity e Board aziendale: smettiamola di parlare di patch. Parliamo di soldi

Sandro Sana : 8 Aprile 2025 22:22

Ogni anno si ripete lo stesso rituale: il responsabile IT o il CISO si presenta al Board per chiedere un budget per la sicurezza informatica. E puntualmente si scontra con una porta semiaperta, se non direttamente chiusa. “Non ci sono fondi”, “Non è prioritario”, “Ne riparliamo l’anno prossimo”.

Il motivo? Spesso non è una mancanza di interesse, ma un problema di comunicazione.

Parlate di vulnerabilità, ma il Board pensa a ricavi

C’è un errore sistemico in molte aziende: i team tecnici parlano di firewall, vulnerabilità, CVE, sistemi obsoleti, mentre il Board vuole sentire parlare di soldi, rischio, impatto e produttività.
Il divario tra linguaggio tecnico e linguaggio business è abissale. E finché i professionisti della sicurezza non impareranno a colmarlo, continueranno a ottenere “no” come risposta.


Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Il Board non ha bisogno di sapere che è uscita una vulnerabilità con CVSS 9.8. Ha bisogno di sapere che quella vulnerabilità, se sfruttata, può bloccare la produzione per 4 giorni, con un danno economico stimato di 600.000 euro, più potenziali sanzioni per violazione GDPR.

    Il lessico è potere

    Quando ci si presenta a un CDA o a una direzione generale, non si può parlare la lingua della sala server. Serve il linguaggio dell’economia aziendale.
    Parole chiave come “fermo produzione”, “rischio operativo”, “danno reputazionale”, “impatto finanziario”, “compliance”, “investimento per la resilienza” sono molto più efficaci di patch management o “segmentazione di rete”.

    Chi siede nel Board ha responsabilità strategiche. Non vuole sapere come proteggerete l’azienda. Vuole sapere quanto costa non farlo.

    La cybersecurity non è una spesa IT. È un’assicurazione sul futuro dell’azienda

    Trattare la sicurezza come una “voce di spesa tecnica” è un errore.
    La cybersecurity è una funzione di governance, un’estensione del risk management, una tutela della continuità operativa.

    Eppure, in troppe aziende, continua a essere confinata all’IT, percepita come un centro di costo anziché come una barriera contro il disastro.

    L’attacco ransomware che ha colpito l’azienda X non è stato un problema tecnico: è stato un blocco totale delle vendite, una crisi reputazionale, una fuga di clienti e una sanzione di 4 milioni di euro.
    Questo è il modo in cui dobbiamo raccontare la cybersecurity.

    Dal tecnicismo all’advocacy del rischio

    Il professionista della sicurezza oggi non è solo un tecnico. È un ambasciatore del rischio.
    Deve saper costruire scenari, stimare impatti, fare storytelling attorno alle minacce, contestualizzandole nel core business dell’azienda.

    Non serve terrorismo psicologico, ma serve consapevolezza.

    Non serve parlare di exploit e buffer overflow, ma serve mostrare cosa succede se i sistemi si fermano per due giorni, o se il nome dell’azienda finisce sui giornali per un data breach.

    FACCIAMO UN ESEMPIO DEGL’IMPATTI ECONOMICI REALI DI UN ATTACCO CYBER

    1. Merce bloccata, clienti persi
    Nel 2023, un’azienda di logistica europea ha subito un attacco ransomware che ha reso inaccessibili i sistemi WMS e TMS per 5 giorni.
    Impatto diretto: 1,2 milioni di euro di perdite in spedizioni non evase, penali contrattuali e clienti persi.
    Impatto reputazionale: due importanti partner hanno disdetto i contratti.

    2. Danno d’immagine e calo in Borsa
    Nel 2022, un’azienda quotata del settore manifatturiero ha subito un leak di dati sensibili sui fornitori.
    Impatto reputazionale: notizia su media nazionali e internazionali.
    Impatto finanziario: -7% in Borsa in una settimana.
    Impatto legale: indagine da parte dell’autorità per la protezione dati e rischio di sanzione multimilionaria.

    3. Fermo produzione in azienda chimica
    Un gruppo industriale italiano nel 2024 ha subito un attacco che ha criptato i sistemi SCADA per 72 ore.
    Danni stimati: oltre 2,8 milioni di euro tra stop produttivo, smaltimento prodotto non conforme, ripristino ambienti e consulenze forensi.
    Il budget annuale richiesto per prevenire l’incidente era inferiore a 300.000 euro.

    Smettiamo di spiegare, iniziamo a tradurre

    Finché continueremo a parlare di “sistemi legacy e patch critiche” e non di “perdita di produttività e danno economico stimato”, continueremo a ricevere budget insufficienti.
    Il problema non è (solo) culturale, è strategico: il Board non deve diventare tecnico, ma deve essere messo in condizione di capire cosa significa non investire in sicurezza.

    E per farlo, serve un nuovo tipo di comunicazione: meno slide su configurazioni, più slide su numeri, stime e proiezioni di rischio.

    Parliamo la lingua di chi decide. Solo così potremo proteggere davvero le aziende.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    Terrore nel volo di Ursula von der Leyen? Facciamo chiarezza!
    Di Giovanni Pollola - 02/09/2025

    Il 31 agosto 2025 il volo AAB53G, operato con un Dassault Falcon 900LX immatricolato OO-GPE e con a bordo la presidente della Commissione Europea Ursula von der Leyen, è decollato da Varsavia ed è a...

    Zscaler Violazione Dati: Lezione Apprese sull’Evoluzione delle Minacce SaaS
    Di Ada Spinelli - 02/09/2025

    La recente conferma da parte di Zscaler riguardo a una violazione dati derivante da un attacco alla supply chain fornisce un caso studio sull’evoluzione delle minacce contro ecosistemi SaaS compless...

    Proofpoint: Allarme CISO italiani, l’84% teme un cyberattacco entro un anno, tra AI e burnout
    Di Redazione RHC - 02/09/2025

    Proofpoint pubblica il report “Voice of the CISO 2025”: cresce il rischio legato all’AI e rimane il problema umano, mentre i CISO sono a rischio burnout. L’84% dei CISO italiani prevede un att...

    QNAP rilascia patch di sicurezza per vulnerabilità critiche nei sistemi VioStor NVR
    Di Redazione RHC - 01/09/2025

    La società QNAP Systems ha provveduto al rilascio di aggiornamenti di sicurezza al fine di eliminare varie vulnerabilità presenti nel firmware QVR dei sistemi VioStor Network Video Recorder (NVR). I...

    Ma quale attacco Hacker! L’aereo di Ursula Von Der Leyen vittima di Electronic War (EW)
    Di Redazione RHC - 01/09/2025

    Un episodio inquietante di guerra elettronica (Electronic War, EW) ha coinvolto direttamente la presidente della Commissione europea, Ursula von der Leyen. Durante l’avvicinamento all’aeroporto di...