Risk Management

Cos’è la gestione del rischio e perché è importante?

La gestione del rischio è probabilmente la parte più complessa dell’implementazione della ISO 27001, ma allo stesso tempo è la fase più importante all’inizio del vostro progetto di sicurezza delle informazioni, in quanto pone le basi per la sicurezza delle informazioni nella vostra azienda.

La gestione del rischio si compone di due elementi principali: la valutazione del rischio (spesso chiamata analisi del rischio) e il trattamento del rischio.

Fondamenti di ISO 27001 - Mentibus Academy

Che cosa sono in realtà la valutazione e il trattamento del rischio e qual è il loro scopo? La valutazione del rischio è un processo durante il quale un’organizzazione deve identificare i rischi per la sicurezza delle informazioni e determinarne la probabilità e l’impatto. In parole povere, l’organizzazione deve riconoscere tutti i potenziali problemi con le proprie informazioni, la probabilità che si verifichino e le possibili conseguenze.

Lo scopo del trattamento del rischio è quello di individuare i controlli di sicurezza (cioè le salvaguardie) necessari per evitare questi potenziali incidenti – la selezione dei controlli è chiamata processo di trattamento del rischio e nella ISO 27001 sono scelti dall’Allegato A, che specifica 93 controlli.

Valutazione e trattamento del rischio ISO 27001 – sei fasi principali

Sebbene la gestione del rischio nella norma ISO 27001 sia un lavoro complesso, molto spesso viene inutilmente mistificata. Queste sei fasi fondamentali faranno luce su ciò che è necessario fare:

1) Metodologia di valutazione del rischio ISO 27001

Questa è la prima tappa del viaggio nella gestione del rischio nella ISO 27001. È necessario definire le regole per l’esecuzione della gestione del rischio, perché si vuole che tutta l’organizzazione la esegua allo stesso modo: il problema maggiore della valutazione del rischio si verifica se le diverse parti dell’organizzazione la eseguono in modi diversi. Pertanto, è necessario definire se si vuole una valutazione qualitativa o quantitativa del rischio, quali scale utilizzare per la valutazione qualitativa, quale sarà il livello di rischio accettabile, ecc.

2) Implementazione della valutazione del rischio

Una volta conosciute le regole, si può iniziare a scoprire quali problemi potenziali potrebbero accadere: è necessario elencare tutti gli asset, quindi le minacce e le vulnerabilità relative a tali asset, valutare l’impatto e la probabilità per ogni combinazione di asset/minacce/vulnerabilità e infine calcolare il livello di rischio.

In base alla mia esperienza, di solito le aziende sono consapevoli solo del 30% dei loro rischi. Pertanto, è probabile che questo tipo di esercizio sia piuttosto rivelatore e che, una volta terminato, inizierete ad apprezzare lo sforzo che avete fatto.

3) Attuazione del trattamento dei rischi

Naturalmente, non tutti i rischi sono uguali: bisogna concentrarsi su quelli più importanti, i cosiddetti “rischi inaccettabili”.

Quando si implementa il trattamento del rischio nella norma ISO 27001, si possono scegliere quattro opzioni per gestire (cioè mitigare) ogni rischio inaccettabile, come spiegato più avanti in questo articolo.

4) Relazione sulla valutazione del rischio e sul trattamento

A differenza delle fasi precedenti, questa è piuttosto noiosa: dovete documentare tutto ciò che avete fatto finora. Questo non è solo per i revisori, perché potreste voler controllare voi stessi questi risultati tra un anno o due.

5) Dichiarazione di applicabilità

Questo documento mostra il profilo di sicurezza della vostra azienda: in base ai risultati del trattamento dei rischi della ISO 27001, dovete elencare tutti i controlli che avete implementato, perché li avete implementati e come. Questo documento è molto importante anche perché il revisore della certificazione lo utilizzerà come linea guida principale per l’audit.

Per maggiori dettagli su questo documento, consultate questo articolo: Dichiarazione di applicabilità nella ISO 27001 – Cos’è e perché è importante?

6) Piano di trattamento del rischio

Questa è la fase in cui bisogna passare dalla teoria alla pratica ed è il momento di mostrare qualche risultato concreto.

Questo è lo scopo del Piano di trattamento dei rischi: definire esattamente chi dovrà implementare ogni controllo, in quali tempi, con quale budget, ecc. Preferirei chiamare questo documento “Piano di implementazione” o “Piano d’azione”, ma atteniamoci alla terminologia utilizzata nella ISO 27001.

La ISO 27001 vi obbliga a compiere questo percorso in modo sistematico.

In che modo la ISO 27005 contribuisce alla gestione del rischio?

La ISO/IEC 27005 è una norma dedicata esclusivamente alla gestione del rischio per la sicurezza delle informazioni. È molto utile se volete approfondire la valutazione e il trattamento dei rischi per la sicurezza delle informazioni.

Proietta le tue competenze verso il futuro.

Rendi compliance la tua organizzazione e acquisisci le informazioni importanti per la tua sicurezza e le persone a te vicine.

Copyright © 2025 Divi. All Rights Reserved.