KPI, KRI e Indicatori di Rischio: cosa monitorare e come

Le organizzazioni che non misurano i propri livelli di rischio cyber rischiano di navigare al buio. Regolamenti come NIS2, DORA, GDPR e ISO/IEC 27001:2022 impongono evidenze documentate sull’efficacia delle misure di sicurezza.

Definire e monitorare KPI (Key Performance Indicators) e KRI (Key Risk Indicators) diventa strategico, non solo per conformità, ma per instaurare una postura di sicurezza dinamica, trasparente e allineata al business e al Risk Appetite aziendale.

KPI vs KRI: definizione e differenze fondamentali

KPI:

• definizione: valuta performance operative
• obiettivo: misurare l’efficacia dei controlli
• esempio KPI / KRI: % patch critiche installate entro 7 giorni

KRI:

• definizione: misura esposizione a un rischio
• obiettivo: prevenire eventi indesiderati
• esempio KPI / KRI: accessi anomali settimanali rilevati dal SIEM

I KPI indicano come stiamo performando, mentre i KRI segnalano se stiamo entrando in una condizione rischiosa.

Come distinguere tra indicatori leading e lagging

Nel disegno di un framework di KPI/KRI efficace, è fondamentale differenziare tra:

• Indicatori leading (predittivi): segnalano situazioni che possono evolvere in un incidente.
  → Esempi: aumento di tentativi di accesso falliti, crescita delle vulnerabilità non mitigate.
  
• Indicatori lagging (storici): misurano eventi già accaduti.
  → Esempi: numero di incidenti gestiti, tempo di downtime causato da attacchi.

Una strategia completa include entrambi i tipi. I leading indicator sono più utili per prevenire, mentre i lagging servono per apprendere, migliorare e rendicontare.

Come progettare un sistema di indicatori efficace

Un sistema robusto di KPI/KRI richiede 5 elementi chiave:

1. Obiettivi strategici misurabili: collegare gli indicatori ai target di sicurezza e al Risk Appetite.
2. Allineamento ai domini di rischio: coprire rischio tecnologico, operativo, legale e reputazionale.
3. Dati disponibili e automatizzati: raccogliere metriche da SIEM, vulnerability scanner, IAM logs.
4. Soglie e alert predefiniti: stabilire trigger visivi (semplificati come semafori) per l’escalation.
5. Monitoraggio continuo in linea con ISMS: conformità ai requisiti ISO 27001 (Annex A.9, A.12, A.18), NIST CSF (“Measure”), e NIS2 Art. 21.

Best practice per il ciclo di revisione

Ogni framework di KPI/KRI dovrebbe includere una procedura di revisione trimestrale o semestrale. Alcuni punti critici:

• Coinvolgere i risk owner nei diversi domini (DevOps, Legal, IT, etc.).
• Eliminare indicatori ridondanti o non più utili;
• Ridefinire soglie in base a cambiamenti di contesto o business;
• Aggiornare fonti dati se i tool evolvono;

Esempi concreti di KPI e KRI

KPI (Misura delle performance)

• % patch critiche applicate entro 7 giorni
• numero di test phishing completati
• MTTR (tempo medio di risoluzione) delle vulnerabilità critiche
• % asset con antivirus aggiornato
• % compliance MFA su utenze con privilegi

KRI (Misura di esposizione)

• numero di brute-force attempt settimanali sopra soglia
• % accessi privilegiati da IP anomali
• numero di alert critici SIEM non gestiti più di 72h
• percentuale di attacchi targetizzati in aumento
• incidenti rilevati in fornitori terzi di Tier-1

KPI e KRI nei contratti con fornitori (TPRM)

Il 2025 vede una forte attenzione al rischio di terze parti (Third Party Risk Management – TPRM). Le organizzazioni devono includere KPI e KRI anche nei Service Level Agreement (SLA) con i fornitori. Ad esempio:

• KPI: tempo massimo per applicare patch critiche dopo disclosure pubblica.
• KRI: incidenti di sicurezza rilevati nel fornitore nei 12 mesi precedenti.

Integrare gli indicatori nella due diligence dei fornitori migliora la resilienza della supply chain e previene impatti derivanti da breach esterni (obbligo esplicitato nella NIS2 – Art. 21, par. 2).

KPI/KRI nella Governance del Rischio

In un contesto normativo sempre più esigente, la semplice adozione di controlli non basta. I CISO devono dimostrare in modo continuativo che le contromisure adottate sono proporzionate al rischio effettivo e coerenti con il livello di esposizione tollerato.

Gli indicatori diventano strumenti decisionali per:

• misurare l’efficacia delle misure di sicurezza;
• validare il livello di rischio residuo;
• pianificare investimenti futuri;
• strutturare report periodici ai vertici aziendali.

Per essere davvero utili, KPI e KRI devono:

• Essere aggregati per dominio nel Risk Register
• Visualizzati periodicamente nei report al board
• Collegati al Risk Appetite (es. threshold <10% breach annuo)

→ Se un KRI supera la soglia, si attivano azioni correttive o escalation automatizzate.

Questa capacità di misurazione si traduce in maggiore trasparenza verso audit, stakeholder e autorità di vigilanza. È anche una richiesta esplicita nei framework di resilienza ICT, come DORA per il settore finanziario.

Relazione con Risk Assessment e Risk Register

KPI e KRI sono componenti fondamentali del ciclo continuo di risk assessment (Plan–Do–Check–Act). Dopo aver valutato i rischi:

• si definiscono KPI per monitorare le contromisure adottate (fase “Do”),
• si usano KRI per verificare se la situazione peggiora (“Check”),
• si aggiornano soglie o controlli (“Act”).

Inoltre, i principali KRI devono essere collegati al Risk Register, con update automatici dove possibile. Questo consente di visualizzare la variazione del rischio nel tempo e reagire prima che superi le soglie di accettabilità.

Collegamento a ROI e pianificazione budget

Molti CISO devono giustificare il budget per tool, audit e controlli. Avere KPI e KRI solidi consente di costruire business case credibili.

Esempio:

• KRI: rischio stimato di attacco ransomware = €800.000 annui.
• KPI: implementazione EDR riduce impatto stimato a €300.000.
• Costo soluzione: €100.000 → ROI: 5x.

Dashboard e Reporting

Una dashboard efficace include:

• Sezione KPI: % obiettivi raggiunti (es. patch, test)
• Sezione KRI: alert early warning visivi
• Trend temporali: andamento settimanale/mensile
• Risk Score sintetico: indicatori codificati visivamente

Strumenti consigliati: Power BI, Grafana, Tableau, Kibana, moduli GRC.

Esempi settoriali applicati

Finanza

• KPI: MTTR per asset core; % patch per sistemi critici
• KRI: accessi sospetti su online banking, incidenti su fornitori fidati
• Compliance a DORA, NIS2 e standard ISO 27001

Sanità

• KPI: % test privacy/penetration completati; aggiornamento HIPAA
• KRI: accessi non autorizzati a dati clinici
• Adeguamento GDPR, NIS2 sanitario

Manifattura

• KPI: % firmware aggiornati su PLC; numero patch OT
• KRI: downtime non pianificato; incidenti IT/OT
• Compliance a standard NIST, CIS Controls v8

Mini checklist operativa

• Definiti KPI e KRI collegati al Risk Appetite
• Raccolta automatica da SIEM, scanner, IAM
• Threshold configurati con alert e escalation
• Dashboard operative per stakeholder (CISO, CFO…)
• Integrazione con Risk Register e comitato di rischio
• Documentazione e audit proof (ISO, NIS2, DORA…)

❓ FAQ

• Che differenza c’è tra KPI e KRI?
• I KPI misurano l’efficacia dei controlli, i KRI segnalano condizioni di rischio emergente.
• Quanti KPI e KRI servono?
• Consigliati 5–10 KPI e 5–10 KRI per coprire i principali domini di rischio senza sovraccaricare.
• Come supportano la compliance ISO 27001 e NIS2?
• ISO/IEC 27001 richiede misurazione continua (Clausola 9.1), NIS2 impone monitoraggio KPI su eventi critici (Art. 21).

Glossario tecnico

• KPI: metrica di performance di sicurezza
• KRI: metrica di esposizione al rischio, segnali di early warning
• Risk Appetite: livello strategico di rischio accettato
• Risk Tolerance: soglia operativa di rischio accettabile
• Risk Register: documento di monitoraggio rischi, KRI, blank
• Expected Loss: impatto economico stimato del rischio
• Residual Risk: rischio rimanente dopo i controlli

📥 Scarica il foglio Excel KPI/KRI

Modello gratuito con +30 indicatori già predefiniti, soglie operative e grafici pronti.

👉🏻 Scarica ora (nessuna mail richiesta)