La continuità operativa di un’azienda non può più dipendere esclusivamente dalle misure di protezione perimetrale. Comprendere il significato di cyber resilience (resilienza informatica) implica un cambio di paradigma fondamentale: non si tratta soltanto di respingere le minacce, ma di sviluppare la capacità organizzativa di assorbire un impatto, limitare i danni e ripristinare le attività cruciali nel minor tempo possibile. Secondo Gartner (Gartner, Prioritize These Three Actions for Successful Cyber Resilience), la corretta definizione delle priorità e l’allineamento tra i diversi portatori di interesse aziendali sono i fattori cardine per mitigare gli effetti di un incremento dello scrutinio organizzativo durante i periodi di crisi.
Indice degli argomenti
Cyber resilience: perché la prevenzione non basta più per garantire la continuità aziendale
L’inevitabilità degli attacchi informatici e la percezione del rischio nei consigli di amministrazione
Nel panorama economico e tecnologico attuale, gli incidenti informatici non vengono più considerati come un’eventualità remota, bensì come un fattore di rischio sistemico ed inevitabile. Questa consapevolezza ha ormai raggiunto i massimi livelli decisionali: il 98% dei membri dei consigli di amministrazione dichiara di ritenere che le minacce informatiche siano destinate a crescere nel prossimo biennio.
In un simile scenario, focalizzarsi unicamente sulle attività di prevenzione si rivela una strategia insufficiente per garantire la sopravvivenza del business. Diventa quindi indispensabile dare priorità assoluta alla costruzione della resilienza organizzativa. Tuttavia, poiché il concetto di cyber resilience non è ancora pienamente compreso o uniformemente definito all’interno delle aziende, la tendenza comune è quella di farlo coincidere in modo riduttivo con i soli programmi tradizionali di business continuity (continuità aziendale) e disaster recovery (ripristino d’emergenza).
Il ruolo esteso dei leader aziendali tra continuità operativa e gestione dei disastri
Il riconoscimento diffuso dell’importanza strategica della resilienza ha modificato in modo profondo l’assetto organizzativo aziendale, determinando un progressivo ampliamento delle responsabilità in capo ai leader della sicurezza. I dati indicano che nel 2025 il 41% dei chief information security officer (CISO) era già formalmente responsabile di attività esterne rispetto al proprio perimetro originario di sicurezza informatica.
Le proiezioni indicano che questa tendenza è destinata ad accelerare: entro il 2028, il 60% dei leader della cybersecurityavrà la responsabilità formale degli aspetti non strettamente informatici legati ai programmi di gestione della continuità aziendale e di disaster recovery. Questa delega di competenze, tuttavia, avviene spesso in un contesto caratterizzato da una diffusa mancanza di chiarezza sull’autorità decisionale e sull’ottimizzazione delle risorse a disposizione.
La mancata definizione di una corretta gerarchia delle priorità all’interno di questo nuovo e più ampio raggio d’azione rischia di compromettere la capacità di risposta delle organizzazioni, esponendo i vertici aziendali a forti difficoltà gestionali proprio nelle fasi di maggiore scrutinio istituzionale.
Le tre azioni strategiche per allineare il ripristino dei sistemi alle priorità di business secondo Gartner
L’implementazione della resilienza informatica richiede l’adozione di un approccio strutturato che superi la gestione puramente tecnica delle emergenze. Per ottimizzare gli investimenti e garantire la continuità operativa, la pianificazione strategica deve basarsi su tre azioni fondamentali, focalizzate sulla stretta integrazione tra l’infrastruttura tecnologica e gli obiettivi aziendali.
1. Allineare i piani di risposta agli incidenti con la business impact analysis per proteggere gli asset critici
Quando i piani di incident response (risposta agli incidenti) vengono sviluppati basandosi esclusivamente su requisiti tecnici, si corre il rischio concreto di trascurare gli elementi di maggior valore per l’operatività dell’azienda. La Business Impact Analysis (BIA) costituisce lo strumento cardine per superare questo limite, poiché consente alla struttura organizzativa di comprendere l’impatto economico e operativo di un blocco dei sistemi, identificando chiaramente quali servizi debbano essere ripristinati con priorità assoluta e quali figure decisionali debbano essere coinvolte.
I leader della sicurezza informatica non devono assumere la proprietà esclusiva della BIA, la quale deve rimanere un processo guidato direttamente dalle linee di business; tuttavia, la loro partecipazione attiva è indispensabile per garantire che i piani di ripristino d’emergenza corrispondano sempre alle reali necessità aziendali. Questo allineamento non è statico, ma richiede una revisione periodica, da effettuare ogni anno oppure in coincidenza di eventi straordinari quali operazioni di fusione e acquisizione (M&A), il lancio di nuovi prodotti sul mercato o modifiche sostanziali alla tecnologia utilizzata dall’organizzazione.
Senza una BIA costantemente aggiornata, risulta impossibile direzionare le risorse in modo efficace durante una crisi, aumentando l’impatto negativo dell’incidente sul business.
2. Definire e limitare il perimetro della cybersecurity per evitare il sovraccarico dei team tecnici
L’estensione delle responsabilità al di fuori del perimetro tradizionale della sicurezza informatica può generare ambiguità e una allocazione inefficiente delle risorse disponibili. Per preservare l’efficacia dei team tecnici e prevenire il sovraccarico di figure professionali già fortemente sollecitate, è prioritario delimitare chiaramente il perimetro d’azione della cybersecurity. I team di sicurezza non dovrebbero disperdere energie in attività operative distanti dalle loro competenze dirette, come la mappatura dettagliata dei processi di business di ciascuna funzione aziendale, per le quali manca la visibilità interna necessaria.
Al contrario, le risorse interne vanno focalizzate sugli ambiti in cui possiedono massima competenza e autorità d’azione: il rafforzamento dei controlli di sicurezza, il potenziamento dei sistemi di monitoraggio e il perfezionamento dei piani di risposta agli incidenti. In questo contesto, la sicurezza informatica assume un duplice ruolo:
- Responsabilità diretta: creazione dei controlli di sicurezza, impostazione del monitoraggio in base alla criticità degli asset e allineamento della risposta agli incidenti informatici al valore del business.
- Ruolo di supporto e facilitazione: assistenza alle altre unità aziendali nell’identificazione dei dati sensibili, fornitura di linee guida per il monitoraggio e condivisione di contesti informativi dettagliati sugli incidenti, agendo come un vero e proprio centro di eccellenza interno anziché come un orchestratore che tenta di gestire ogni singolo processo aziendale.
3. Stabilire obiettivi di ripristino realistici attraverso il calcolo accurato di Rto e Rpo
La definizione delle metriche di recupero rappresenta un altro terreno critico di potenziale disallineamento tra le aspettative dei manager di linea e le reali capacità tecnologiche dell’organizzazione. L’utilizzo rigoroso dei parametri di Recovery Time Objective (RTO) (tempo massimo di ripristino accettabile) e Recovery Point Objective (RPO) (massima perdita di dati tollerabile) è essenziale per far emergere eventuali divergenze tra gli stakeholder e stabilire traguardi che siano compresi e condivisi da tutta la struttura aziendale.
Pianificare questi obiettivi senza il coinvolgimento diretto dei leader di business comporta il rischio di una grave misallocazione delle risorse. Se le priorità vengono determinate in modo errato, i processi aziendali vitali rischiano di rimanere offline per periodi prolungati, mentre attività secondarie potrebbero assorbire una quantità sproporzionata di investimenti e strumenti di ripristino rispetto alle reali necessità del business.
L’esperienza sul campo evidenzia casi in cui analisi d’impatto non coordinate indicavano inizialmente oltre 50 processi aziendali come “critici” e da ripristinare entro un limite irrealistico di 15 minuti. Solo attraverso un lavoro interfunzionale che coinvolga figure chiave – quali il CIO, il CFO, il responsabile dell’Enterprise Risk Management (ERM) e i direttori delle singole business unit – è possibile ridisegnare una mappa aggiornata, introducendo RTO e RPO realistici in grado di definire un ordine di ripristino degli asset logicamente e finanziariamente difendibile durante un attacco informatico.
Modelli di governance e gestione dei fornitori critici per distribuire le responsabilità aziendali
La governance della resilienza richiede un coinvolgimento attivo e coordinato di molteplici attori aziendali esterni alla sicurezza informatica per garantire una reale assunzione di responsabilità diffusa.
Strumenti pratici per formalizzare i ruoli tra matrice rasci e comitati di guida interfunzionali
L’assenza di consapevolezza o il mancato coinvolgimento da parte dei leader aziendali può rendere impossibile lo svolgimento delle attività di messa in sicurezza e di abilitazione del business. Se i responsabili delle linee di business non aggiornano regolarmente la BIA, la sicurezza informatica si trova nell’impossibilità di stabilire quali processi aziendali debbano ricevere la priorità di ripristino nel corso di un incidente. Spesso, i vertici aziendali non conoscono con esattezza le aspettative operative o le modalità corrette di collaborazione con i team di sicurezza.
Per chiarire i ruoli e promuovere una reale suddivisione delle competenze, la struttura organizzativa può adottare approcci pratici specifici:
- Creazione di una matrice RASCI: l’adozione dello statuto di sicurezza aziendale (enterprise security charter) permette di definire la proprietà e le responsabilità ad alto livello, associandole a un processo condiviso e documentato tramite un diagramma di flusso interfunzionale. Tali elementi costituiscono i prerequisiti fondamentali per lo sviluppo di una matrice RASCI efficace, utile a formalizzare e strutturare la titolarità delle attività a livello di singoli compiti e macro-processi.
- Istituzione o partecipazione a un comitato di guida per la resilienza: nelle organizzazioni di grandi dimensioni che dispongono di comitati di rischio già strutturati, la collaborazione ravvicinata assicura che le responsabilità vengano documentate e fatte rispettare. Senza questo tipo di coordinamento istituzionale, risulta complesso spingere le altre unità aziendali ad intraprendere azioni concrete. Nelle piccole e medie imprese (PMI), qualora tale comitato sia assente, è opportuno supportarne la creazione e prenderne parte attiva, evitando tuttavia di assumerne la guida diretta poiché il raggio d’azione della resilienza supera i confini della sola sicurezza informatica. I membri di questo organo devono includere i responsabili della gestione del rischio, dell’IT, dell’ufficio legale, delle risorse umane e delle principali unità di business.
Il valore della sicurezza informatica come consulente interno e la centralizzazione della lista dei venditori
I team di sicurezza possono massimizzare il proprio impatto sul business agendo come consulente interno o centro di eccellenza (CoE) per la resilienza dell’intera organizzazione. Sfruttando i propri processi interni di gestione della continuità operativa, il team ha il compito di condividere le lezioni apprese dagli incidenti passati con gli altri dipartimenti, fornire orientamento tecnico sugli aspetti di business continuity e diffondere le migliori pratiche per la risposta ad attacchi informatici complessi, come i ransomware.
La trasparenza nell’assegnazione delle responsabilità semplifica il lavoro di ciascun team e permette di applicare i propri requisiti operativi con maggiore efficacia, stimolando una cultura di accountability all’interno dell’azienda. Un esempio critico di questa semplificazione riguarda la gestione dei fornitori critici: la presenza di elenchi molteplici e frammentati di venditori all’interno della stessa organizzazione genera forti inefficienze gestionali.
L’adozione di un’unica lista centralizzata dei fornitori, validata e sostenuta dai risultati emersi dalla BIA, produce vantaggi immediati per diverse funzioni aziendali:
- Semplifica le attività del team di Enterprise Risk Management (ERM), formalmente incaricato della gestione del rischio di terze parti.
- Consente ai dipartimenti legale e IT di supportare efficacemente l’ufficio acquisti (procurement), grazie a una visibilità completa sui fornitori strategici e sui rischi specifici associati a ciascuno di essi.
- Garantisce che l’intera struttura aziendale utilizzi la medesima terminologia per descrivere, mappare e valutare il rischio, uniformando i processi decisionali di fronte a una potenziale minaccia.
Modelli di governance e gestione dei fornitori critici per distribuire le responsabilità aziendali
La governance della resilienza richiede un coinvolgimento attivo e coordinato di molteplici attori aziendali esterni alla sicurezza informatica per garantire una reale assunzione di responsabilità diffusa.
Strumenti pratici per formalizzare i ruoli tra matrice rasci e comitati di guida interfunzionali
L’assenza di consapevolezza o il mancato coinvolgimento da parte dei leader aziendali può rendere impossibile lo svolgimento delle attività di messa in sicurezza e di abilitazione del business. Se i responsabili delle linee di business non aggiornano regolarmente la BIA (Business Impact Analysis, l’analisi dell’impatto sul business), la sicurezza informatica si trova nell’impossibilità di stabilire quali processi aziendali debbano ricevere la priorità di ripristino nel corso di un incidente. Spesso, i vertici aziendali non conoscono con esattezza le aspettative operative o le modalità corrette di collaborazione con i team di sicurezza.
Per chiarire i ruoli e promuovere una reale suddivisione delle competenze, la struttura organizzativa può adottare approcci pratici specifici:
- Creazione di una matrice RASCI: questo strumento metodologico permette di mappare le responsabilità all’interno di un progetto o di un processo, assegnando a ogni attività cinque ruoli chiave espressi dall’acronimo stesso:
- Responsible (chi esegue operativamente il lavoro),
- Accountable (chi ha la responsabilità finale della decisione e risponde del risultato),
- Supported (chi fornisce risorse o supporto pratico per l’esecuzione),
- Consulted (gli esperti o gli stakeholder consultati prima di intraprendere l’azione)
- Informed (chi deve essere aggiornato tempestivamente a cose fatte).
L’adozione dello statuto di sicurezza aziendale (enterprise security charter) permette di definire la proprietà e le responsabilità ad alto livello, associandole a un processo condiviso e documentato tramite un diagramma di flusso interfunzionale. Tali elementi costituiscono i prerequisiti fondamentali per lo sviluppo di una matrice RASCI efficace, utile a formalizzare e strutturare la titolarità delle attività a livello di singoli compiti e macro-processi.
- Istituzione o partecipazione a un comitato di guida per la resilienza: nelle organizzazioni di grandi dimensioni che dispongono di comitati di rischio già strutturati, la collaborazione ravvicinata assicura che le responsabilità vengano documentate e fatte rispettare. Senza questo tipo di coordinamento istituzionale, risulta complesso spingere le altre unità aziendali ad intraprendere azioni concrete. Nelle PMI (Piccole e Medie Imprese), qualora tale comitato sia assente, è opportuno supportarne la creazione e prenderne parte attiva, evitando tuttavia di assumerne la guida diretta poiché il raggio d’azione della resilienza supera i confini della sola sicurezza informatica. I membri di questo organo devono includere i responsabili della gestione del rischio, dell’IT (Information Technology, le tecnologie dell’informazione), dell’ufficio legale, delle risorse umane e delle principali unità di business.
Il valore della sicurezza informatica come consulente interno e la centralizzazione della lista dei venditori
I team di sicurezza possono massimizzare il proprio impatto sul business agendo come consulente interno o CoE (Center of Excellence, centro di eccellenza, ovvero un nucleo interno specializzato che centralizza le migliori competenze in un determinato ambito) per la resilienza dell’intera organizzazione. Sfruttando i propri processi interni di gestione della continuità operativa, il team ha il compito di condividere le lezioni apprese dagli incidenti passati con gli altri dipartimenti, fornire orientamento tecnico sugli aspetti di continuità aziendale e diffondere le migliori pratiche per la risposta ad attacchi informatici complessi, come i ransomware.
La trasparenza nell’assegnazione delle responsabilità semplifica il lavoro di ciascun team e permette di applicare i propri requisiti operativi con maggiore efficacia, stimolando una cultura di accountability (responsabilizzazione) all’interno dell’azienda. Un esempio critico di questa semplificazione riguarda la gestione dei fornitori critici: la presenza di elenchi molteplici e frammentati di venditori all’interno della stessa organizzazione genera forti inefficienze gestionali.
L’adozione di un’unica lista centralizzata dei fornitori, validata e sostenuta dai risultati emersi dalla BIA, produce vantaggi immediati per diverse funzioni aziendali:
- Semplifica le attività del team di ERM (Enterprise Risk Management, la gestione del rischio aziendale intesa come l’approccio strutturato per identificare e governare i rischi di tutta l’organizzazione), formalmente incaricato della gestione del rischio di terze parti.
- Consente ai dipartimenti legale e IT di supportare efficacemente l’ufficio acquisti (procurement), grazie a una visibilità completa sui fornitori strategici e sui rischi specifici associati a ciascuno di essi.
- Garantisce che l’intera struttura aziendale utilizzi la medesima terminologia per descrivere, mappare e valutare il rischio, uniformando i processi decisionali di fronte a una potenziale minaccia.
Come avviare il percorso di cyber resilience in azienda
La costruzione di una reale resilienza informatica non si esaurisce con l’adozione di misure tecnologiche isolate, ma richiede una trasformazione organizzativa profonda e una chiara ripartizione delle competenze tra tutte le linee di business. Una corretta prioritizzazione delle attività, associata a un costante allineamento con gli obiettivi aziendali, evita che l’estensione delle responsabilità dei leader della sicurezza si traduca in una gestione critica durante i periodi di forte scrutinio istituzionale.
Per i membri dei vertici aziendali che intendono avviare questo percorso, l’adozione di metriche chiare e strumenti strutturati rappresenta il passo fondamentale per governare il rischio in modo consapevole. In questo contesto, l’impiego di strumenti di misurazione come il benchmark di valutazione dei controlli di sicurezza informatica (Cybersecurity Controls Assessment Benchmark) offre una panoramica dettagliata e un’autovalutazione della maturità dei controlli implementati rispetto ai principali framework di riferimento del settore.
L’evoluzione verso la cyber resilience si articola quindi su tre pilastri operativi immediati:
- Focalizzazione strategica: mantenere il perimetro della sicurezza informatica ancorato ad attività ad alto impatto e direttamente controllabili, come la definizione dei controlli e il monitoraggio degli asset critici.
- Integrazione dei processi: vincolare i piani di ripristino tecnologico ai risultati della BIA (Business Impact Analysis), garantendo che l’ordine di riattivazione dei sistemi rispetti le reali priorità finanziarie e operative dell’azienda.
- Governance diffusa: formalizzare le responsabilità interfunzionali attraverso comitati di guida dedicati e matrici di assegnazione dei ruoli, standardizzando al contempo la gestione dei rischi legati ai fornitori terzi.
Attraverso questo approccio, la sicurezza informatica cessa di essere un elemento puramente tecnico e confinato ai sistemi informativi, trasformandosi in un pilastro strategico fondamentale per garantire la continuità del business, la protezione del valore aziendale e la stabilità operativa dell’intera organizzazione di fronte a minacce inevitabili.
Partecipa alla community