CRISC Certified in Risk and Information Systems Control.

CRISC è la certificazione ISACA dedicata ai professionisti del rischio IT. Copre identificazione, valutazione, risposta e monitoraggio del rischio legato ai sistemi informativi. Collega il rischio di business a quello IT. È il complemento naturale al CISA per gli auditor che si spostano verso la gestione del rischio, e a ISO 27005 / 31000 per i professionisti con formazione ISO che integrano il vocabolario ISACA.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCertifications & credentialsAll entries

Il punto di vista di Cyber Academy

CRISC è la certificazione ISACA dedicata ai professionisti del rischio IT. Copre identificazione, valutazione, risposta e monitoraggio del rischio legato ai sistemi informativi. Collega il rischio di business a quello IT. È il complemento naturale al CISA per gli auditor che si spostano verso la gestione del rischio, e a ISO 27005 / 31000 per i professionisti con formazione ISO che integrano il vocabolario ISACA.

Cosa certifica CRISC

CRISC è la credenziale di ISACA per i professionisti che gestiscono il rischio IT e dei sistemi informativi, anziché auditarlo a posteriori. Attesta che il titolare sa condurre l'intero ciclo di vita del rischio sugli asset tecnologici: identificare l'esposizione, valutare probabilità e impatto, progettare e raccomandare una risposta, e monitorare la posizione residua nel tempo. L'aspetto distintivo di CRISC è il livello di traduzione. Si attende che il titolare esprima una vulnerabilità di database o una configurazione errata del cloud nei termini che il registro dei rischi del business e il consiglio di amministrazione utilizzano realmente, così che il rischio IT diventi un input del rischio aziendale, e non una conversazione parallela in un linguaggio distinto.

Laddove molte certificazioni tecniche si fermano ai controlli, CRISC presenta i controlli come la conseguenza di una decisione sul rischio. Ci si attende che il titolare parta dallo scenario di rischio, dalla propensione e dalla tolleranza fissate dall'organizzazione, e dal costo del trattamento, e poi giustifichi perché esiste un dato controllo e cosa lascia non affrontato. Questo filo rischio-risposta-controllo è la spina dorsale della credenziale e la ragione per cui si colloca accanto al lavoro di governance anziché alla sicurezza puramente operativa.

Dove si colloca CRISC tra le credenziali affini

CRISC è il più delle volte interpretata come il passo naturale successivo per un titolare CISA. CISA dimostra che sai auditare i sistemi informativi e giudicare se i controlli sono progettati e operano in modo efficace; CRISC dimostra che sai gestire il rischio a cui quei controlli rispondono e decidere cosa farne. Gli auditor che passano dall'emettere rilievi al definire la strategia di rischio usano CRISC per rendere leggibile questo passaggio agli occhi dei datori di lavoro. Le due condividono il vocabolario e il quadro di governance di ISACA, ed è per questo che vengono abitualmente abbinate.

Per i professionisti formati sull'ISO, CRISC aggiunge il dialetto ISACA a una metodologia che già applicano. Chi padroneggia ISO 27005 o ISO 31000 esegue già identificazione, analisi, valutazione, trattamento e accettazione. CRISC non sostituisce quel processo; fornisce alla stessa persona i termini di ISACA, l'inquadramento del rischio IT aziendale e una credenziale riconosciuta dai datori di lavoro che si standardizzano su ISACA anziché sull'ISO. Le metodologie sono compatibili, e possederle entrambe segnala che sai muoverti tra i due mondi di riferimento.

Come si confronta CRISC con le credenziali affini
CredenzialeDomanda principaleTitolare tipico
CRISCQual è il rischio IT e cosa facciamo al riguardo?Risk manager IT, responsabile dei rischi
CISAI controlli sono progettati e operano in modo efficace?Auditor IT, audit interno
ISO 27005Come conduciamo il processo di rischio per la sicurezza delle informazioni?Professionista SGSI, analista dei rischi

Cosa fanno realmente i titolari di CRISC

In pratica, un titolare di CRISC lavora vicino al punto in cui si incontrano il rischio tecnologico e il processo decisionale del business. Le attività ricorrenti includono le seguenti.

  • Costruire e mantenere scenari di rischio IT e un registro dei rischi che la funzione di rischio aziendale nel suo complesso possa utilizzare.
  • Valutare probabilità e impatto, quindi confrontare il risultato con la propensione e la tolleranza dichiarate dall'organizzazione.
  • Raccomandare una risposta (accettare, mitigare, trasferire o evitare) e giustificare la scelta in base al costo e al rischio residuo, non a una mera preferenza tecnica.
  • Progettare o specificare i controlli dei sistemi informativi che attuano una risposta scelta, e definire gli indicatori che mostrano se reggono.
  • Monitorare gli indicatori chiave di rischio e riferire la posizione residua agli organi di governance in termini di business.

Il filo che attraversa tutto questo è la responsabilità e la comunicazione. CRISC riguarda meno lo scoprire una nuova vulnerabilità e più il decidere cosa dovrebbe fare l'organizzazione, l'assicurarsi che qualcuno sia responsabile di quella decisione e il dimostrare nel tempo che il rischio residuo è rimasto entro il limite concordato.

Frequently asked questions

01In cosa CRISC è diversa da CISA?

CISA è una credenziale di audit IT: dimostra che sai valutare se i controlli sono progettati e operano in modo efficace. CRISC è una credenziale di rischio: dimostra che sai identificare, valutare, rispondere a e monitorare il rischio IT e decidere cosa dovrebbe fare l'organizzazione. Molti professionisti conseguono prima CISA, poi aggiungono CRISC quando passano dall'auditare i controlli al gestire il rischio.

02Ho bisogno di CRISC se conosco già ISO 27005 o ISO 31000?

Non strettamente, perché il processo di rischio sottostante è lo stesso. CRISC aggiunge il vocabolario di ISACA, un inquadramento del rischio IT aziendale e il riconoscimento presso datori di lavoro che si standardizzano su ISACA anziché sull'ISO. Possederle entrambe ti consente di muoverti con scioltezza tra i due mondi di riferimento.

03Chi rilascia CRISC?

CRISC è rilasciata e mantenuta da ISACA, lo stesso ente professionale dietro CISA e CISM. Come le altre credenziali ISACA, comporta un requisito di esperienza e obblighi continui di formazione continua per mantenere la certificazione.

04CRISC è una certificazione tecnica o manageriale?

Si colloca tra le due. Presuppone che tu comprenda i sistemi informativi e i loro controlli, ma il lavoro che attesta è la gestione del rischio e il processo decisionale: inquadrare scenari, soppesare il trattamento rispetto alla propensione e riferire il rischio residuo al business.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.