CTI per il board: cosa deve sapere CIO e CdA
La Cyber Threat Intelligence (CTI) traduce ciò che si sa sugli avversari in decisioni di rischio per chi guida l'azienda. Per il CIO e il Consiglio di Amministrazione non è un tema tecnico: è gestione del rischio, giustificazione degli investimenti in sicurezza e adempimento del dovere di vigilanza. Con la NIS2 la cybersicurezza è responsabilità diretta degli organi direttivi: la CTI dà al board i fatti per decidere priorità di spesa, risk appetite e reporting, sulla base di attori e campagne realmente attivi sul proprio settore.
La CTI vista dalla stanza del board
Per chi guida l’azienda, la Cyber Threat Intelligence non è una questione di strumenti. È la disciplina che risponde a una domanda di governo: chi può colpirci, con quali probabilità, e cosa significa per il nostro rischio. Tradotta in linguaggio di consiglio, la CTI trasforma l’incertezza («la cyber è pericolosa») in decisioni («questi attori colpiscono il nostro settore, ecco dove investire»). Per la definizione tecnica vedi Cos’è la CTI.
Dal rischio alla decisione: come la CTI muove il budget
Il valore della CTI per il board sta in una catena precisa: parte dagli attori realmente attivi sul settore, ne stima rischio e impatto, porta al consiglio una decisione e la traduce in investimento mirato. Senza questa catena, la spesa di sicurezza segue la paura o l’ultima fiera di settore.
Il punto di svolta è il terzo riquadro: la decisione. La CTI non decide al posto del consiglio, gli dà i fatti per decidere e per documentare di averlo fatto.
Perché ora riguarda il Consiglio
Con la NIS2 la responsabilità della cybersicurezza non è più solo dell’IT: ricade sugli organi direttivi, con un esplicito dovere di vigilanza e possibili profili di responsabilità personale degli amministratori. Il board non deve diventare tecnico, ma deve poter decidere e documentare sulla base di evidenze. È esattamente ciò che la CTI fornisce: il quadro delle minacce reali, non un elenco astratto. Per il quadro normativo vedi NIS2 spiegata.
Decidere è già metà del dovere. La NIS2 non chiede al board di essere infallibile: chiede di approvare le misure, vigilare e dimostrare di aver deciso su basi solide. La CTI trasforma «non lo sapevamo» in «abbiamo valutato questi attori, questo rischio, questa spesa». È la prova documentale del dovere di vigilanza.
Dalla CTI alle decisioni di board
Tre traduzioni concrete.
- Priorità di spesa · il budget di sicurezza segue gli attori e le tecniche realmente osservate sul settore, non la moda del momento. Si investe dove si viene colpiti.
- Risk appetite · il consiglio definisce quanto rischio accettare avendo davanti scenari quantificati su avversari reali, non percentuali astratte.
- Reporting · la CTI alimenta una reportistica comprensibile agli amministratori, utile anche a dimostrare il dovere di vigilanza in caso di ispezione o incidente.
Le domande giuste e i KPI di rischio
Un consiglio ben servito chiede pochi indicatori chiari (vedi la tabella più sotto) e li legge come misure di rischio, non come metriche tecniche. I cinque che contano davvero:
- Chi ci colpisce. Quali attori sono attivi sul nostro settore e con quali TTP, non «minacce avanzate» generiche.
- Quanto rapidamente rileviamo e conteniamo. TTD e TTC mediani: il tempo è il vero indicatore di esposizione.
- Quanto copriamo. La quota di tecniche MITRE ATT&CK rilevanti per il settore presidiata dalla detection.
- Quanto rumore eliminiamo. La riduzione dei falsi positivi: un SOC sommerso non difende, smista.
- Siamo pronti alla notifica. Lo stato delle capacità di rilevamento e notifica richieste dalla NIS2.
Intelligence originale, non feed rivenduti
Un board ben servito pretende intelligence originale, prodotta da incidenti reali, non feed rivenduti. La differenza è sostanziale: l’attribuzione di Nebula Broker, poi confermata da Mandiant come UNC4990, è il tipo di capacità che porta in consiglio un rischio prima che diventi una crisi. È la stessa logica che distingue un feed proprietario da uno comprato. Nel modello Fortgale questa intelligence nasce da un SOC italiano 24·7·365 che traccia 287 tra gruppi avversari e strumenti d’attacco rilevanti per l’area EU, e arriva al board già tradotta in linguaggio di rischio.
Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo: il board decide quando può vedere entrambi.
Cosa chiede il CdA → cosa fornisce la CTI
| Domanda del board | Risposta dalla CTI |
|---|---|
| Quali minacce ci riguardano davvero? | Attori e campagne attivi sul nostro settore, non liste generiche |
| I nostri investimenti sono giustificati? | Priorità di spesa basate sul rischio reale, non sulla paura |
| Siamo conformi alla NIS2? | Evidenze per il dovere di vigilanza e il reporting agli organi direttivi |
| Qual è il nostro risk appetite? | Scenari quantificati su attori reali, non ipotesi |
Fortgale ha attribuito per prima l'attore italiano Nebula Broker (2023), poi confermato da Mandiant (Google) come UNC4990: intelligence originale che porta al board rischi concreti prima che diventino incidenti, non scenari ipotetici.
Leggi la ricerca →Domande frequenti.
Perché la CTI interessa il Consiglio di Amministrazione?
Con la NIS2 la responsabilità della cybersicurezza è in capo agli organi direttivi, che hanno un dovere di vigilanza. La CTI fornisce le evidenze per decidere in modo informato e per documentare le decisioni: chi attacca il settore, con quali tecniche, con quale probabilità.
Come aiuta a giustificare gli investimenti in sicurezza?
Traduce il rischio in priorità: investire dove gli attori realmente attivi sul settore colpiscono, invece di spendere a pioggia. Il board approva un budget legato a minacce concrete, non a timori generici.
Quali domande e KPI dovrebbe porre un CdA?
Quali attori ci colpiscono e con quali tecniche; tempo di rilevamento e di contenimento (TTD/TTC); copertura delle tecniche MITRE ATT&CK rilevanti; riduzione del rumore di alert; stato delle capacità di notifica NIS2. Sono indicatori di rischio, non metriche tecniche fini a sé.
Quanto rischio personale corrono gli amministratori con la NIS2?
La NIS2 attribuisce agli organi direttivi un dovere esplicito di approvare e vigilare sulle misure di gestione del rischio, con possibili profili di responsabilità personale in caso di inadempienza. La CTI non elimina il rischio, ma fornisce le evidenze documentabili che dimostrano una decisione informata: è la differenza tra «non sapevamo» e «abbiamo valutato e deciso su questi fatti».
Strategico, operativo, tattico: cosa arriva al board?
Al board arriva il livello strategico: chi ci minaccia, perché, con quali tendenze, in linguaggio di rischio e non di hash. I livelli operativo e tattico (campagne, IOC, regole) restano al SOC e alla detection. Vedi il ruolo della CTI nella difesa.
La CTI sostituisce il CISO o l'MDR?
No, li alimenta. Dà al CISO e al servizio MDR il contesto per agire, e al board il quadro per decidere. Senza intelligence, la sicurezza insegue gli alert; con la CTI, anticipa gli attori.
Dalla teoria al presidio reale.
Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Servizio CTI Fortgale.
Risorse correlate: Cos'è la CTI · Il ruolo della CTI nella difesa · Perché un feed proprietario · NIS2 spiegata
Una conversazione tecnica, non un funnel.
Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.