Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Cybersecurity e Board aziendale: smettiamola di parlare di patch. Parliamo di soldi

Sandro Sana : 8 Aprile 2025 22:22

Ogni anno si ripete lo stesso rituale: il responsabile IT o il CISO si presenta al Board per chiedere un budget per la sicurezza informatica. E puntualmente si scontra con una porta semiaperta, se non direttamente chiusa. “Non ci sono fondi”, “Non è prioritario”, “Ne riparliamo l’anno prossimo”.

Il motivo? Spesso non è una mancanza di interesse, ma un problema di comunicazione.

Parlate di vulnerabilità, ma il Board pensa a ricavi

C’è un errore sistemico in molte aziende: i team tecnici parlano di firewall, vulnerabilità, CVE, sistemi obsoleti, mentre il Board vuole sentire parlare di soldi, rischio, impatto e produttività.
Il divario tra linguaggio tecnico e linguaggio business è abissale. E finché i professionisti della sicurezza non impareranno a colmarlo, continueranno a ottenere “no” come risposta.

Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AI

Vuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro.
Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello.
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Il Board non ha bisogno di sapere che è uscita una vulnerabilità con CVSS 9.8. Ha bisogno di sapere che quella vulnerabilità, se sfruttata, può bloccare la produzione per 4 giorni, con un danno economico stimato di 600.000 euro, più potenziali sanzioni per violazione GDPR.

Il lessico è potere

Quando ci si presenta a un CDA o a una direzione generale, non si può parlare la lingua della sala server. Serve il linguaggio dell’economia aziendale.
Parole chiave come “fermo produzione”, “rischio operativo”, “danno reputazionale”, “impatto finanziario”, “compliance”, “investimento per la resilienza” sono molto più efficaci di patch management o “segmentazione di rete”.

Chi siede nel Board ha responsabilità strategiche. Non vuole sapere come proteggerete l’azienda. Vuole sapere quanto costa non farlo.

La cybersecurity non è una spesa IT. È un’assicurazione sul futuro dell’azienda

Trattare la sicurezza come una “voce di spesa tecnica” è un errore.
La cybersecurity è una funzione di governance, un’estensione del risk management, una tutela della continuità operativa.

Eppure, in troppe aziende, continua a essere confinata all’IT, percepita come un centro di costo anziché come una barriera contro il disastro.

L’attacco ransomware che ha colpito l’azienda X non è stato un problema tecnico: è stato un blocco totale delle vendite, una crisi reputazionale, una fuga di clienti e una sanzione di 4 milioni di euro.
Questo è il modo in cui dobbiamo raccontare la cybersecurity.

Dal tecnicismo all’advocacy del rischio

Il professionista della sicurezza oggi non è solo un tecnico. È un ambasciatore del rischio.
Deve saper costruire scenari, stimare impatti, fare storytelling attorno alle minacce, contestualizzandole nel core business dell’azienda.

Non serve terrorismo psicologico, ma serve consapevolezza.

Non serve parlare di exploit e buffer overflow, ma serve mostrare cosa succede se i sistemi si fermano per due giorni, o se il nome dell’azienda finisce sui giornali per un data breach.

FACCIAMO UN ESEMPIO DEGL’IMPATTI ECONOMICI REALI DI UN ATTACCO CYBER

1. Merce bloccata, clienti persi
Nel 2023, un’azienda di logistica europea ha subito un attacco ransomware che ha reso inaccessibili i sistemi WMS e TMS per 5 giorni.
Impatto diretto: 1,2 milioni di euro di perdite in spedizioni non evase, penali contrattuali e clienti persi.
Impatto reputazionale: due importanti partner hanno disdetto i contratti.

2. Danno d’immagine e calo in Borsa
Nel 2022, un’azienda quotata del settore manifatturiero ha subito un leak di dati sensibili sui fornitori.
Impatto reputazionale: notizia su media nazionali e internazionali.
Impatto finanziario: -7% in Borsa in una settimana.
Impatto legale: indagine da parte dell’autorità per la protezione dati e rischio di sanzione multimilionaria.

3. Fermo produzione in azienda chimica
Un gruppo industriale italiano nel 2024 ha subito un attacco che ha criptato i sistemi SCADA per 72 ore.
Danni stimati: oltre 2,8 milioni di euro tra stop produttivo, smaltimento prodotto non conforme, ripristino ambienti e consulenze forensi.
Il budget annuale richiesto per prevenire l’incidente era inferiore a 300.000 euro.

Smettiamo di spiegare, iniziamo a tradurre

Finché continueremo a parlare di “sistemi legacy e patch critiche” e non di “perdita di produttività e danno economico stimato”, continueremo a ricevere budget insufficienti.
Il problema non è (solo) culturale, è strategico: il Board non deve diventare tecnico, ma deve essere messo in condizione di capire cosa significa non investire in sicurezza.

E per farlo, serve un nuovo tipo di comunicazione: meno slide su configurazioni, più slide su numeri, stime e proiezioni di rischio.

Parliamo la lingua di chi decide. Solo così potremo proteggere davvero le aziende.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Samsung sotto attacco in Italia: telefoni presi in ostaggio dal ransomware
Di Michele Pinassi - 23/09/2025

Da qualche giorno sta circolando la notizia, che al momento non mi risulta sia stata confermata da fonti ufficiali, di un attacco ransomware veicolato attraverso la funzionalità di gestione delle “...

Attacchi agli aeroporti europei: ENISA identifica il ransomware
Di Redazione RHC - 22/09/2025

L’Agenzia europea per la sicurezza informatica (ENISA) ha annunciato di aver identificato il ransomware che ha bloccato gli aeroporti europei. L’incidente ha colpito diverse città europee, tra cu...

I vincitori della corsa all’Intelligenza artificiale? Saranno gli elettricisti e gli idraulici
Di Redazione RHC - 22/09/2025

In un’intervista con Channel 4 News, il CEO di Nvidia, Jensen Huang, ha dichiarato che nella corsa al successo nell’era dell’intelligenza artificiale, “i grandi vincitori saranno elettricisti ...

Maxi leak su DarkForums: 196 siti italiani esposti con credenziali FTP in chiaro
Di Luca Stivali - 22/09/2025

Il 20 settembre 2025 alle 23:52 è comparso su DarkForums un thread dal titolo “FRESH FTP LEAK”, pubblicato dall’utente Hackfut. Il materiale esporrebbe accessi a server FTP distribuiti in d...

Dal guinzaglio all’autonomia: Ban, blocco Nvidia e soluzioni cluster AI di Huawei
Di Redazione RHC - 22/09/2025

La cinese Huawei ha compiuto un passo importante nello sviluppo della propria infrastruttura di intelligenza artificiale. L’azienda ha presentato soluzioni progettate per aumentare la potenza di cal...