Costruisco piattaforme di Cybersecurity awareness da più di quindici anni e guido il team di ingegneria di SMARTFENSE. Da quella posizione vedo uno schema che si ripete in quasi tutte le organizzazioni con cui lavoriamo: il CISO fa un lavoro serio, prepara il suo report, lo porta al comitato di direzione e nonostante questo esce dalla riunione senza aver mosso una sola decisione.
Il problema non è il CISO né il dato. È il percorso che il dato compie per arrivare al tavolo: quando viene preparato, con quale freschezza arriva e in che formato. Questo è architettura, ed è per questo che tocca a me pensarci.
Ti racconto cosa vediamo dal lato di chi costruisce la piattaforma: perché il reporting board-level di Cybersecurity awareness arriva tardi, cosa serve davvero al comitato e cosa abbiamo risolto perché la risposta arrivi in tempo reale. La parte umana resta del CISO. Noi ci occupiamo della parte meccanica.
Cosa chiede davvero un comitato di direzione quando domanda “il dato di cybersecurity”?
Lo abbiamo imparato ascoltando i CISO che usano la piattaforma. Quando il comitato chiede il dato, non chiede un dato. Chiede una decisione che arriva già risolta. Deve rispondere a tre cose che ha già in testa, anche se non le formula così:
- Dato quanto abbiamo investito, stiamo meglio, uguale o peggio di sei mesi fa?
- Se il comitato mette più risorse sul tavolo, cosa si muove e di quanto?
- Cosa succede se non facciamo nulla nel prossimo ciclo?
Se il report mette il comitato in condizione di rispondere a questo in trenta secondi, il CISO si guadagna il sostegno. Se consegna venti slide con tassi di click e barre colorate, il comitato resta con un’intuizione vaga e una risposta tiepida. Non per mancanza di comprensione: è il formato del report che non lascia materiale per decidere.
L’investimento che vale la pena fare quando si prepara il report è immaginare prima la risposta che serve al comitato e poi costruire il dato che la sostiene. Quello che si chiama “il report trimestrale” non è un oggetto unico. È l’ultimo strato di una piramide con venti dashboard operative sotto e una sola decisione chiara in cima.
Quali tre risposte deve sentire il comitato e quasi mai riceve?
Tre risposte arrivano raramente complete in sala. La prima è dove siamo oggi. Non il tasso di click dell’ultima simulazione di phishing né la percentuale di corsi completati, ma rischio umano aggregato, con un criterio esplicito di cosa entra nel calcolo e come è evoluto rispetto a tre e sei mesi fa. Espresso come numero composto e con un trend, il comitato smette di discutere indicatori sciolti e inizia a pensare in termini di politica.
La seconda è dove concentrare lo sforzo. Il comitato non approva “rafforzare l’awareness”. Approva “destinare X budget alle cinque aree più esposte nei prossimi novanta giorni”. Con un elenco prioritizzato di aree, la loro esposizione e l’effetto atteso del rafforzamento, il comitato ha una decisione binaria. Con una mappa di calore generale, ha un’altra riunione.
La terza è il controfattuale. Cosa succede al rischio se non facciamo nulla? Quella proiezione obbliga a pensare la Cybersecurity awareness come un asset che si deprezza, non come una spesa una tantum. È la domanda più difficile da porsi, perché implica riconoscere che anche la decisione di non decidere ha un costo. Ed è quella che muove di più l’ago del budget.
Se il report non risponde a queste tre, la conversazione board-level non avanza. Non è un problema di dato. È un problema di cornice.
Perché i CISO non consegnano quel report oggi?
La capacità ce l’hanno. Quel che manca è il tempo, e il dato arriva loro vecchio.
Quando guardiamo come si prepara oggi un report per il comitato, troviamo sempre lo stesso flusso artigianale. Il venerdì prima della riunione, qualcuno del team esporta il report della piattaforma di awareness, lo incrocia con l’elenco attivo del personale, ripulisce le uscite, costruisce tabelle pivot, cerca un dato esterno credibile per dare contesto, lo incolla in tre slide, anticipa due domande e prega per la terza. Dalle quattro alle sei ore se tutto è a portata di mano. Di più, se l’ultima campagna ha avuto cambi di perimetro.
Il risultato, nel migliore dei casi, riflette la fotografia di due settimane fa. Ma il comitato opera al ritmo del business: se la settimana della riunione c’è stato un incidente o è cambiato lo scenario, il report non serve più. E nessuno rifarà i grafici alle undici di sera della domenica.
Questa non è una critica al CISO. È la descrizione di un processo manuale che si giustificava quando il comitato accettava di aspettare il ciclo trimestrale. Oggi la domanda si muove al ritmo della conversazione e lascia indietro il calendario. Quella distanza tra come si costruisce il report e come lo richiede il business è un problema di architettura dei dati, ed è esattamente il tipo di problema che si risolve nella piattaforma, non nel foglio di calcolo.
Cosa cambia quando il CISO formula la domanda in linguaggio naturale?
Cambia il centro di gravità della conversazione. Il CISO smette di essere chi esegue il report e diventa chi decide quale domanda valeva la pena porre.
Immaginiamo la scena, che già accade con i primi team che lo stanno provando. Il comitato è riunito. Qualcuno chiede qualcosa che non era all’ordine del giorno: “quali cinque aree hanno il rischio umano più alto e di quanto scenderebbe se rafforziamo la simulazione di phishing su di esse nel prossimo trimestre?”. Il CISO pone alla piattaforma quella stessa domanda in linguaggio semplice e proietta la risposta due minuti dopo. Aree, esposizione, effetto atteso, costo del rafforzamento. La decisione si prende in sala.
Ciò che conta non è lo strumento. È il trasferimento: il CISO recupera ore operative, il comitato riceve risposte su misura per le sue domande, e la conversazione board-level smette di essere un atto di traduzione per diventare un dialogo in tempo reale.
Quel livello lo abbiamo costruito in SMARTFENSE e lo abbiamo chiamato Insight Agent. È una delle capacità che pensiamo per programmi maturi, e oggi è nella sua fase di early adopters: la stiamo affinando con i primi team che la usano sui propri dati. Non sostituisce il CISO; gli dà la velocità operativa che oggi non ha. La domanda resta di chi è seduto al tavolo. La differenza è che adesso può rispondere lì stesso.
Coincide con un messaggio che in SMARTFENSE manteniamo da anni e che vale la pena leggere per esteso: l’IA non può sostituire la guida umana nella Cybersecurity awareness. Accelera, amplifica, libera tempo. Sostituire è un’altra cosa.
Quali condizioni tecniche deve soddisfare un agente di IA per servire il comitato?
Se appoggi il reporting su un agente, ci sono quattro condizioni minime. Te le passo dal lato di chi progetta il sistema, perché sono decisioni di architettura prima che di interfaccia.
- Accesso allo stato vivo del programma. L’agente deve interrogare i dati reali della piattaforma sul momento, non improvvisare a partire da un modello generale. Se la risposta al comitato dipende da numeri vecchi, il problema resta intatto.
- Dashboard costruite su richiesta. La domanda del comitato raramente rientra in una dashboard pre-costruita. Se l’agente naviga solo tra visualizzazioni predefinite, si torna ancora una volta a un foglio di calcolo.
- Distribuzione automatica al destinatario giusto. Il riassunto esecutivo del trimestre dovrebbe arrivare al comitato senza che qualcuno lo prepari e lo invii a mano. La velocità di risposta conta meno della velocità di circolazione.
- Contesto del programma di awareness, non un chatbot generico. Un assistente che risponde su tutto è un assistente che non risponde nulla di utile. Per il comitato deve conoscere la logica del programma: campagne, audience, metriche, normative, storico.
Se lo strumento che stai valutando soddisfa quei quattro punti, la differenza operativa compare in fretta. Se ne soddisfa solo due, avrai un chatbot ordinato e un foglio di calcolo in parallelo.
Quanto è matura oggi la conversazione tra il CISO e il comitato?
La maggior parte delle organizzazioni è su uno di quattro gradini. Il primo è compliance: il comitato ascolta il CISO solo quando c’è un audit. Il secondo è KPI operativi: il CISO presenta tassi trimestrali e il comitato annuisce. Il terzo è narrativa di rischio: il CISO costruisce una storia che collega i dati alle decisioni, ma il ciclo resta trimestrale. Il quarto è conversazione azionabile: il comitato chiede e il CISO risponde con dati vivi nella stessa riunione.
Poche organizzazioni sono sul quarto. La maggior parte si muove tra il secondo e il terzo. Il salto al quarto non avviene per maturità della persona del CISO. Avviene quando si accorcia il ciclo tra la domanda del comitato e la risposta del programma, e quel ciclo è, ancora una volta, una questione di piattaforma.
È la conversazione che SMARTFENSE vuole abilitare, e la ragione per cui abbiamo pensato l’Insight Agent in funzione di essa. Se vuoi vederlo sui tuoi dati, scrivici per entrare nel programma di early adopters.
Per approfondire la cornice generale, due letture che consiglio: il tuo programma di awareness sta misurando ciò che conta? e decisioni basate su dati reali con il report di correlazione. La prima aiuta a riformulare le metriche; la seconda mostra il lato operativo dell’incrociare i dati.
Se il tuo CISO esce dal comitato con la sensazione di non essere stato ascoltato, il mio sospetto da ingegnere è un altro: lo hanno ascoltato bene, ma il report è arrivato senza la freschezza né il formato per sostenere una decisione. Quella parte del problema è architettura, e quella sì la possiamo sistemare.
Lascia un commento