La maggior parte delle organizzazioni monitora troppi GRC KPI; e quasi tutti sono privi di significato.I dirigenti li ignorano, i revisori non si fidano, i team non possono agire di conseguenza.Per dimostrare la conformità con i numeri, servono KPI che rivelino la realtà, non che decorino dashboard.
Il mondo GRC è ossessionato dalle metriche: punteggi di rischio, stati RAG, conteggi di controlli, avanzamento degli audit, grafici di maturità, heatmap, ragnatele.Ma ecco la verità che si impara solo dopo anni sul campo:La maggior parte dei KPI non dice nulla sulla conformità; dice solo cosa è stato misurato.
Esempio tratto da un progetto reale:Un'azienda dichiarava "98% di maturità di conformità" perché lo diceva il proprio dashboard.Il revisore pose una sola domanda:"Quale 2% manca?"Nessuno lo sapeva.Perché il KPI era vanità, non evidenza.
Vediamo i KPI che contano davvero; quelli che aiutano a dimostrare la conformità, difendere le decisioni e guidare l'azione.
1. Copertura dei controlli: il KPI più importante che nessuno monitora correttamente
La conformità inizia con una domanda:Quanta parte del framework di controllo è effettivamente implementata?
Ma questo KPI è spesso gonfiato, approssimato o "aggiornato ottimisticamente".
La versione corretta è questa:Copertura dei controlli = (Numero di controlli implementati con evidenza) ÷ (Totale dei controlli applicabili)
Aneddoto:Una fintech dichiarava l'80% di conformità ISO.Ricalcolando con i soli controlli documentati, la copertura reale era del 47%.Doloroso, ma onesto.E finalmente utile.
La copertura dei controlli dimostra l'implementazione, non l'ambizione.
2. Tasso di completamento delle evidenze: il silenzioso assassino della conformità
Non si è conformi perché si hanno dei controlli.Si è conformi perché si riesce a dimostrare di avere controlli efficaci.
Questo KPI misura esattamente questo:Quanti controlli implementati hanno evidenza allegata, verificata e pronta per l'audit?
Esempio:Un'azienda disponeva di policy eccellenti e controlli tecnici solidi.Ma il 62% delle evidenze era assente o obsoleto.Risultato: fallimento dell'audit.
Il completamento delle evidenze è ciò che interessa ai revisori.Ed è anche ciò di cui si fidano i Consigli di Amministrazione.
3. Velocità di rimedio: velocità > perfezione
I dirigenti non giudicano in base al numero di problemi.Giudicano in base alla rapidità con cui vengono chiusi.
La velocità di rimedio misura:
- tempo medio per chiudere una finding
- tempo medio per chiudere un problema ad alto rischio
- tasso di miglioramento mese su mese
La velocità dimostra maturità più di qualsiasi heatmap.
4. Problemi ad alto rischio aperti: il KPI a cui i dirigenti tengono davvero
Ai dirigenti non interessa il "totale delle finding".Interessa ciò che può danneggiare il business.
Monitorare:Numero di problemi ad alto rischio apertieda quanto tempo sono aperti.
Un grafico semplice:Problemi ad alto rischio (aperti) → 7Giorni aperti (media) → 63
Questo è il KPI che fa approvare i budget.
5. Tasso di adozione delle policy: il KPI più sottovalutato nel GRC
Le policy non contano se nessuno le legge.I controlli non contano se nessuno li applica.
L'adozione delle policy misura:
- chi ha letto la policy
- chi l'ha presa in carico
- chi è conforme ad essa
Esempi:
- Il 94% del personale ha completato la formazione sull'uso accettabile
- Il 61% ha completato la formazione sul secure coding
- Il 38% ha rispettato i requisiti della policy sulle password
6. Tempo di contenimento degli incidenti: il KPI che dimostra la capacità di risposta
La conformità non riguarda solo la prevenzione; riguarda anche la reazione.
Due numeri contano:
- tempo di rilevamento
- tempo di contenimento
Questo KPI dimostra maturità operativa.I revisori lo apprezzano.I Consigli di Amministrazione lo apprezzano.Gli attaccanti lo temono.
7. KPI di governance degli accessi: il percorso più rapido verso le non conformità
Se c'è un dominio in cui i revisori scavano sempre, è il controllo degli accessi.
Servono KPI come:
- % di utenti con MFA
- % di account privilegiati revisionati
- account orfani rilevati e rimossi
- frequenza delle revisioni degli accessi
- combinazioni tossiche eliminate
Gli accessi sono il terreno su cui la conformità si costruisce o si distrugge.
8. KPI di rischio dei fornitori: perché le terze parti sono l'anello più debole
I programmi GRC falliscono perché i fornitori falliscono.
Monitorare:
- % di fornitori critici valutati
- % di valutazioni scadute
- fornitori ad alto rischio senza misure di mitigazione
- tempo medio di rimedio per i problemi dei fornitori
I KPI sui fornitori proteggono quando i propri fornitori non lo fanno.
9. Prontezza regolamentare: il KPI che permette ai dirigenti di dormire sereni
Questo è particolarmente rilevante con ISO 27001, SOC 2, NIS2, DORA e GDPR.
Monitorare:
- % di obblighi normativi mappati sui controlli
- % implementati
- % con evidenza
- gap che richiedono decisioni
I KPI di prontezza regolamentare trasformano il panico in pianificazione.
10. Riduzione dell'esposizione al rischio: l'unico KPI che mostra il vero progresso
I punteggi di rischio sono spesso soggettivi.L'esposizione al rischio non lo è.
Questo KPI misura:Quant rischio reale è stato eliminato nel trimestre.
Esempi:
- chiuse 3 vulnerabilità ad alto rischio
- implementato MFA su 12 applicazioni critiche
- ridotta l'esposizione ai fornitori del 35%
- eliminati 2 single point of failure
La tabella che risolve i GRC KPI una volta per tutte
Un semplice riferimento rapido:
Tipo di KPIDimostraPerché è rilevanteCopertura dei controlliImplementazioneMostra la maturità realeCompletamento delle evidenzeProntezza all'auditSenza evidenza non c'è conformitàVelocità di rimedioReattivitàInterventi rapidi = governance solidaProblemi ad alto rischio apertiEsposizioneGuida decisioni e budgetAdozione delle policyComportamentoLa conformità è una questione umanaTempo di contenimento degli incidentiMaturità operativaMostra la resilienzaKPI sugli accessiSolidità della governanceIl preferito dei revisoriKPI sui fornitoriSicurezza delle terze partiIl punto cieco più grandeProntezza regolamentarePostura di conformitàRiduce l'incertezza del managementRiduzione dell'esposizioneProgresso realeMostra il valore della sicurezza
Considerazione finale
I GRC KPI non servono a fare reporting.Servono a dimostrare che l'organizzazione è sicura, conforme e in miglioramento.
Non servono più KPI.Servono i KPI giusti; quelli che riflettono la realtà, mettono in evidenza il rischio e guidano le decisioni.
Quando i KPI diventano significativi, il GRC smette di essere un esercizio burocratico…e diventa uno strumento di leadership.
Per costruire un framework di KPI che dimostri davvero la conformità, non si limiti a decorare dashboard, è esattamente quello che insegniamo nell'ISO 27001 Lead ImplementerPartecipa alla prossima sessione e trasforma il modo in cui la tua organizzazione misura la sicurezza.
