Vai al contenuto principale

ISO 31000.

ISO 31000 è lo standard generico per la gestione del rischio. Principi, framework e processo iterativo. NON è un sistema di gestione certificabile: non esiste un ISO 31000 Lead Auditor, nonostante quanto affermato da alcuni cataloghi. Il percorso PECB è Foundation → Risk Manager → Lead Risk Manager. Da utilizzare quando il rischio va oltre la sola sicurezza delle informazioni.

Di Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyGestione del rischioTutte le voci

Il punto di vista di Cyber Academy

ISO 31000 è lo standard generico per la gestione del rischio. Principi, framework e processo iterativo. NON è un sistema di gestione certificabile: non esiste un ISO 31000 Lead Auditor, nonostante quanto affermato da alcuni cataloghi. Il percorso PECB è Foundation → Risk Manager → Lead Risk Manager. Da utilizzare quando il rischio va oltre la sola sicurezza delle informazioni.

Una norma generica, non un sistema di gestione

ISO 31000 è il riferimento internazionale per gestire il rischio di qualsiasi natura, in qualsiasi organizzazione. È volutamente generica. Gli stessi principi, lo stesso quadro di riferimento e lo stesso processo si applicano sia che il rischio in questione sia finanziario, operativo, strategico, legato alla sicurezza, ambientale o cyber. Questa ampiezza è proprio l'obiettivo. Una decisione di acquisto, l'ingresso in un nuovo mercato e un'esposizione a un ransomware possono essere valutati tutti con lo stesso vocabolario e la stessa logica, il che consente a un consiglio di amministrazione di confrontare rischi che altrimenti resterebbero in silos separati con valutazioni incompatibili.

L'equivoco più diffuso è trattare ISO 31000 come ISO 27001 o ISO 22301. Non è una norma di requisiti e non è certificabile. Non esiste alcun sistema di gestione ISO 31000 da sottoporre ad audit né alcuna qualifica di Lead Auditor ISO 31000, qualunque cosa pubblicizzino alcuni cataloghi di formazione. La norma offre linee guida da adattare, non requisiti a cui conformarsi. Le organizzazioni la integrano nel modo in cui già operano, anziché aggiungere un sistema certificato separato.

Principi, quadro di riferimento e processo

ISO 31000 si fonda su tre parti collegate che i professionisti imparano a tenere distinte. I principi enunciano come si presenta una buona gestione del rischio: è integrata nell'organizzazione, strutturata, adattata al contesto, inclusiva verso le parti interessate, dinamica, basata sulle migliori informazioni disponibili e orientata a creare e proteggere valore. Il quadro di riferimento riguarda la leadership e la governance, il modo in cui la gestione del rischio viene disposta, progettata, attuata, valutata e migliorata nel tempo affinché si radichi davvero. Il processo è il motore operativo che si esegue ripetutamente.

  1. Stabilire il contesto. Definire l'ambito, gli obiettivi e l'ambiente interno ed esterno in cui vive il rischio.
  2. L'identificazione, l'analisi e la ponderazione del rischio, che insieme formano la valutazione del rischio.
  3. Il trattamento del rischio. Scegliere come modificare il rischio, quindi attuare e verificare i controlli.
  4. La comunicazione, la consultazione, il monitoraggio e il riesame, che avvolgono l'intero ciclo e lo mantengono aggiornato.

Come si rapporta alle norme vicine

ISO 31000 è la norma madre. ISO 27005 applica la stessa logica di processo al rischio di sicurezza delle informazioni e si allinea a un sistema di gestione della sicurezza delle informazioni ISO 27001. EBIOS Risk Manager, il metodo francese pubblicato dall'ANSSI, è un modo concreto e basato su scenari di condurre una valutazione del rischio di sicurezza che si mappa sulle stesse fasi. Nessuna di queste contraddice ISO 31000; la specializzano. Un risk manager che comprende il processo generico può passare dall'una all'altra senza riapprendere i fondamenti, ed è per questo che la norma viene insegnata per prima.

Il vocabolario è condiviso tramite la Guida ISO 73, il documento complementare che definisce i termini della gestione del rischio affinché «probabilità», «conseguenza» e «trattamento del rischio» significhino la stessa cosa in tutti i documenti e in tutti i team. Concordare presto su tali definizioni evita le dispute sulle valutazioni che fanno deragliare molti workshop sul rischio.

Cosa ne fanno davvero i professionisti

In pratica, ISO 31000 plasma il registro dei rischi, i workshop di valutazione e la linea di reporting verso la direzione. Un risk manager la usa per giustificare perché un rischio viene assegnato, valutato e trattato in un certo modo, e per dimostrare che l'approccio è coerente anziché improvvisato caso per caso. Poiché la norma non è certificabile, il modo riconosciuto per dimostrare la competenza è attraverso una credenziale personale. Il percorso PECB si articola in Foundation, poi Risk Manager, poi Lead Risk Manager, partendo dalla conoscenza dei concetti fino alla guida di un programma di gestione del rischio in tutta un'organizzazione.

Domande frequenti

01Si può ottenere una certificazione ISO 31000?

No. ISO 31000 è una guida, non una norma di requisiti, quindi non esiste alcuna certificazione organizzativa rispetto a essa. La competenza si dimostra tramite credenziali personali come le certificazioni PECB Risk Manager o Lead Risk Manager, non tramite un sistema di gestione sottoposto ad audit.

02Esiste una qualifica di Lead Auditor ISO 31000?

No, nonostante alcuni cataloghi ne riportino una. Gli schemi di Lead Auditor esistono per le norme di sistemi di gestione certificabili come ISO 27001. ISO 31000 non è certificabile, quindi la progressione riconosciuta è Foundation, poi Risk Manager, poi Lead Risk Manager.

03Qual è la differenza tra ISO 31000 e ISO 27005?

ISO 31000 è la norma generica di gestione del rischio a livello di intera organizzazione, che copre qualsiasi tipo di rischio. ISO 27005 applica lo stesso processo specificamente al rischio di sicurezza delle informazioni e si allinea a un sistema di gestione ISO 27001. ISO 27005 specializza ISO 31000 anziché competere con essa.

04Quando un'organizzazione dovrebbe usare ISO 31000 anziché un metodo specifico per la sicurezza?

Usa ISO 31000 quando il rischio è più ampio della sicurezza delle informazioni, per esempio rischio aziendale, strategico, finanziario o operativo che necessita di un unico quadro condiviso. Per il rischio di sicurezza delle informazioni in particolare, colloca ISO 27005 o EBIOS Risk Manager al di sotto.

05Quali sono i tre componenti principali di ISO 31000?

I principi, che descrivono come si presenta una gestione del rischio efficace; il quadro di riferimento, che governa il modo in cui la gestione del rischio è guidata e integrata; e il processo, il ciclo iterativo di contesto, valutazione, trattamento e comunicazione e riesame continui.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.