Field notes

Top 10 Non Conformità di Audit nel 2025: Quelle Vere

Note sul campo da reali gap assessment condotti in tutta Europa, non dai libri di testo.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy2 min di lettura
Top 10 Audit Findings in 2025: The Real Ones

(Note sul campo, tratte da gap assessment reali condotti in tutta Europa, non dai libri di testo.)

Tutti dicono di star "maturando il proprio GRC".Verifica della realtà: la maggior parte delle organizzazioni improvvisa ancora la sicurezza e la chiama governance.Ecco cosa troviamo concretamente con Cresco Cybersecurity e cosa si può fare prima che il prossimo audit lo metta in luce.

#Cosa TroviamoCosa SignificaCome Rimediare (Davvero)1Nessuna policy reale, o sono fossilizzateI team credono che le policy esistano perché un consulente le ha scritte un tempo. Nessuno riesce a trovare l'ultima versione.Partire da 5 essenziali: Sicurezza delle Informazioni, Controllo degli Accessi, Risposta agli Incidenti, Uso Accettabile, Gestione dei Terzi. Tenerle sotto le 5 pagine e rivederle annualmente.2Nessuna responsabilità chiara"Se ne occupa l'IT." "È di competenza del Legale." Traduzione: non se ne occupa nessuno.Assegnare nomi, non reparti. La responsabilità non è collettiva, è individuale.3Sicurezza = problema dell'ITLe business unit pensano che il rischio cyber inizi e finisca con il firewall.Spostare la conversazione sull'impatto: interruzioni operative, sanzioni, reputazione. Il rischio è linguaggio del business: usarlo.4Il business vuole la sicurezza ma non sa dimostrarne il ROISi vogliono strumenti migliori, ma non si riescono a giustificare i budget perché il rischio non è mai stato tradotto in valore economico.Quantificare l'esposizione: "Questo rischio = €300K se si materializza." All'improvviso, la sicurezza ha un ROI.5La governance è un termine di moda"Abbiamo un comitato." Nessun ordine del giorno. Nessun verbale. Nessuna decisione.Rendere la governance visibile: una riunione al mese, un registro delle decisioni, una linea di reporting verso il management. Fine.6Gestione dei terzi = fiducia cieca"I nostri fornitori sono certificati." Ottimo. Quali? Nessuno lo sa.Tenere un registro dei rischi dei fornitori. Partire dai 10 principali vendor. Fare loro una domanda: "Chi vi audita?"7Formazione = PowerPoint delle Risorse UmaneLa sensibilizzazione è trattata come teatro della conformità. Non rimane nulla.Sostituire le slide statiche con sessioni di aggiornamento di 10 minuti basate su casi reali. Far percepire il rischio alle persone.8Gli asset sono "gestiti" (sulla carta)Gli inventari esistono solo per il report di audit. In realtà, nessuno sa cosa è in esecuzione in produzione.Automatizzare la discovery. Etichettare gli asset critici. Revisionare trimestralmente. Se non lo si sa nominare, non lo si può proteggere.9I sistemi di rilevamento sono una finzioneI dashboard del SIEM lampeggiano, ma nessuno analizza gli alert. "Monitoraggio" = presenza, non azione.Misurare la risposta, non la visibilità. Tracciare il tempo da alert → triage → chiusura.10Nessuna visione olistica del rischioOgni rischio "basso" è trattato isolatamente, finché tre rischi bassi si combinano in una crisi di business.Correlare i rischi per dominio. Mostrare l'esposizione cumulativa. Insegnare al management che "basso + basso + basso = critico".

Le policy, le responsabilità e l'allineamento cedono molto prima dei firewall.

Correggere prima la governance, e la conformità diventa una prova, non un peso.

Vuole smettere di comparire in questo elenco?

Partecipi a uno dei nostri programmi Lead Implementer/Manager presso Cyber Academy.

Perché nel 2026, il principale gap di audit non sono i controlli, ma la disciplina.

Vuoi la prossima nota dal campo nella tua casella di posta?

La newsletter The GRC Brief. Cinque link e un breve commento, ogni lunedì alle 8:00 CET. Tre minuti di lettura.