Se non lo misuri, non lo gestisci
La maggior parte dei CEO italiani riceve una delle due risposte quando chiede come va la sicurezza: "tutto ok" oppure un report tecnico incomprensibile. Nessuna delle due è utile. Servono metriche chiare, misurabili e azionabili — lo stesso approccio che usate per fatturato, margini e cash flow.
Metrica 1: Mean Time to Detect (MTTD)
Cos'è: il tempo medio tra l'inizio di un incidente e la sua rilevazione.
Perché conta: più lungo è il MTTD, più danni fa l'attaccante. La media globale è 197 giorni (IBM 2025). Con un buon XDR/SOC si scende a ore.
Target PMI: sotto le 24 ore per incidenti critici, sotto i 7 giorni per quelli a bassa severità.
Come misurarlo: dal log del primo evento anomalo alla creazione del ticket di incidente.
Metrica 2: Patch Coverage Rate
Cos'è: percentuale di sistemi con patch critiche applicate entro gli SLA definiti (es. 48 ore per critiche).
Perché conta: il 60% dei breach sfrutta vulnerabilità con patch disponibile (Ponemon 2025). Non patchare è come lasciare la porta aperta.
Target PMI: 95% delle patch critiche entro 48 ore. 100% entro 7 giorni.
Come misurarlo: vulnerability scanner mensile + report dal sistema di patching.
Metrica 3: Phishing Click Rate
Cos'è: percentuale di dipendenti che cliccano su email di phishing simulate.
Perché conta: misura direttamente la resilienza del vostro "firewall umano". La media iniziale è 30-35%. Dopo 6 mesi di training: 5-10%.
Target PMI: sotto il 10% dopo 6 mesi di programma. Sotto il 5% dopo 12 mesi.
Come misurarlo: piattaforme di phishing simulation (GoPhish gratuito, KnowBe4 enterprise).
Metrica 4: Backup Recovery Success Rate
Cos'è: percentuale di test di restore dei backup completati con successo.
Perché conta: un backup non testato è come un'assicurazione non pagata. Il 37% dei test di restore fallisce al primo tentativo (Veeam 2025). Se il ransomware colpisce e il restore non funziona, avete perso tutto.
Target PMI: 100% di successo sui test trimestrali. Se un test fallisce, è un incidente.
Come misurarlo: test di restore trimestrale documentato con timestamp e verifica dell'integrità.
Metrica 5: Risk Exposure in Euro
Cos'è: la stima economica del rischio cyber annualizzato (come spiegato nell'articolo sulla CRQ).
Perché conta: è l'unica metrica che traduce la cybersecurity in linguaggio di business. Permette di confrontare il costo della sicurezza con il costo del rischio e calcolare il ROI.
Target PMI: ridurre l'esposizione del 60-70% nel primo anno di programma di sicurezza.
Come misurarlo: assessment FAIR semplificato, aggiornato semestralmente.
Come usare queste metriche
Chiedete al vostro responsabile IT/CISO un report mensile di una pagina con questi 5 KPI: valore attuale, trend rispetto al mese precedente, target, azioni in corso. Portatelo in CdA trimestralmente. La NIS2 lo richiede esplicitamente: il management deve supervisionare la gestione del rischio cyber. Queste 5 metriche sono il vostro cruscotto.