Il punto di vista di Cyber Academy
ISO 31000 è lo standard internazionale di linee guida per la gestione del rischio: principi, framework, processo, applicabile a qualsiasi organizzazione e a qualsiasi tipo di rischio. Non è certificabile; il percorso PECB è Foundation, Risk Manager, poi Lead Risk Manager. Non esiste un ISO 31000 Lead Auditor: ISO 31000 è una linea guida, non uno standard di sistema di gestione, quindi non c'è nulla rispetto a cui condurre un audit.
TL;DR
- 1ISO 31000 è una linea guida, non un sistema di gestione certificabile. Non esiste alcun Lead Auditor.
- 2Percorso PECB: Foundation (2 giorni), Risk Manager (5 giorni), Lead Risk Manager (5 giorni). La credenziale senior è Lead Risk Manager.
- 3Foundation fornisce il vocabolario, i principi e il modello di processo. Prerequisito obbligatorio per le credenziali senior.
- 4Risk Manager applica ISO 31000 a un ambito specifico. Lead Risk Manager guida il programma di rischio aziendale trasversalmente alle funzioni.
- 5Si integra con ISO 27005 (rischio specifico per la sicurezza delle informazioni) ed EBIOS RM (scenari cyber strategici): prospettive diverse sulla stessa disciplina del rischio.
Come funziona davvero il percorso ISO 31000 in un'organizzazione
ISO 31000 non è qualcosa che si implementa come si implementa un sistema di gestione. Non esiste uno Statement of Applicability, non ci sono clausole obbligatorie da soddisfare, non c'è un ciclo di audit di sorveglianza. Ciò che si costruisce invece è un framework di gestione del rischio: un modo per identificare, analizzare, trattare, monitorare e riportare il rischio in modo coerente in tutta l'organizzazione, e un processo che le persone nei ruoli operativi seguono effettivamente. Lo standard fornisce i principi e il vocabolario; il lavoro consiste nel renderli concreti nella vostra governance, nei vostri comitati e nei vostri punti decisionali.
È per questo che il percorso si sviluppa nel modo in cui si sviluppa. Foundation fornisce il linguaggio condiviso affinché "probabilità", "criteri di rischio", "risk appetite" e "rischio residuo" significhino la stessa cosa per tutti i presenti. Risk Manager insegna a gestire il processo all'interno di un ambito definito: un dipartimento, un programma, una linea di prodotto. Lead Risk Manager insegna a progettare e governare il framework stesso trasversalmente alle funzioni, che è un lavoro di governance tanto quanto tecnico.
Il percorso è sequenziale per progettazione. Foundation è il prerequisito per le credenziali senior, quindi la maggior parte dei professionisti inizia con il corso ISO 31000 Foundation prima di decidere se ha bisogno del livello Risk Manager o Lead Risk Manager.
Scegliere il proprio livello: Risk Manager o Lead Risk Manager
La decisione non riguarda l'anzianità sulla carta, riguarda ciò di cui sarete responsabili. Risk Manager è per chi gestisce il processo di rischio all'interno di un ambito e possiede un registro dei rischi: facilitate i workshop, valutate i rischi rispetto a criteri concordati, proponete il trattamento e mantenete il registro affidabile nel tempo. Lead Risk Manager è per chi deve rendere il tutto coerente in tutta l'organizzazione: definire i criteri di rischio e il risk appetite, progettare il framework, integrarlo con la strategia e con le altre funzioni di assurance, e riportare al consiglio di amministrazione.
Un test utile: se il vostro compito è rispondere a "quali sono i nostri rischi principali in quest'area e cosa stiamo facendo al riguardo", Risk Manager è il livello giusto. Se il vostro compito è rispondere a "il nostro framework di gestione del rischio è idoneo allo scopo, e la leadership può affidarvisi per prendere decisioni", avete bisogno di Lead Risk Manager. Molte persone seguono prima Risk Manager, gestiscono un programma per uno o due anni, poi seguono Lead Risk Manager quando passano a un ruolo aziendale o adiacente a quello del CISO.
| Livello | Durata | Ambito | A chi si adatta |
|---|---|---|---|
| Foundation | 2 giorni | Principi, framework e modello di processo; solo vocabolario, nessuna responsabilità di implementazione | Chiunque abbia bisogno del linguaggio condiviso: analisti, project manager, auditor di altri domini, neofiti del rischio |
| Risk Manager | 5 giorni | Applicare il processo ISO 31000 all'interno di un ambito definito; possedere e gestire un registro dei rischi | Professionisti che facilitano le valutazioni e gestiscono il rischio per un dipartimento, un programma o un prodotto |
| Lead Risk Manager | 5 giorni | Progettare e guidare il framework di rischio aziendale; definire criteri e risk appetite; riportare alla leadership | Head of risk, CISO e ruoli GRC senior responsabili dell'intero programma |
Perché non esiste un ISO 31000 Lead Auditor
Questa domanda emerge di continuo perché la maggior parte delle altre credenziali ISO arriva in coppia: Lead Implementer e Lead Auditor, a specchio dello standard certificabile che le sostiene. ISO 31000 non ha un Lead Auditor perché non c'è nulla rispetto a cui condurre un audit. Un audit verifica la conformità ai requisiti, le affermazioni "shall" di uno standard di sistema di gestione come ISO 27001 o ISO 9001. ISO 31000 contiene linee guida, i "should" della buona pratica, non requisiti. Non si può certificare un'organizzazione a ISO 31000, quindi non si può condurre un audit di certificazione rispetto ad esso, quindi non esiste una credenziale di auditor.
Questo non significa che la gestione del rischio sfugga all'assurance. Viene valutata indirettamente. Quando un auditor ISO 27001 esamina il vostro processo di valutazione e trattamento del rischio, sta verificando la conformità alle clausole 6.1 e 8.2/8.3 di ISO 27001, e ISO 31000 (spesso tramite ISO 27005) è il riferimento riconosciuto per come quel processo dovrebbe presentarsi. Quindi il Lead Risk Manager costruisce il framework, e l'auditor del sistema di gestione verifica se il framework viene applicato dove uno standard certificabile lo richiede. Sono due lavori diversi, e confonderli è il malinteso più comune che le persone portano in aula.
Come ISO 31000 si integra con ISO 27005 ed EBIOS RM
Non sono standard in concorrenza; sono prospettive diverse sulla stessa disciplina, e i professionisti senior li usano insieme. ISO 31000 è il quadro generico che si applica a qualsiasi rischio in qualsiasi organizzazione. ISO 27005 restringe quel quadro al rischio di sicurezza delle informazioni, con il dettaglio su asset, minacce e vulnerabilità di cui un ISMS ha bisogno. EBIOS Risk Manager, il metodo francese (ANSSI), affronta il problema a partire dagli scenari di attacco strategici e dall'ecosistema di attaccanti e stakeholder, il che è efficace per i rischi cyber ad alta posta in gioco ed è sempre più atteso nei settori pubblici e regolamentati dell'UE.
Il modello pratico è a strati: ISO 31000 definisce i principi, il framework e il processo condivisi dall'intera organizzazione; ISO 27005 Risk Manager fornisce il metodo specifico per la sicurezza delle informazioni che si innesta in un ISMS conforme a ISO 27001; ed EBIOS Risk Manager fornisce la visione basata su scenari e incentrata sull'attaccante per i rischi cyber che contano di più. Non si contraddicono a vicenda, e il vocabolario di ISO 31000 è ciò che permette a un team di passare dall'uno all'altro senza confusione.
| ISO 31000 | ISO 27005 | EBIOS RM | |
|---|---|---|---|
| Ambito | Qualsiasi rischio, qualsiasi organizzazione | Rischio di sicurezza delle informazioni | Scenari di rischio cyber strategici |
| Ruolo | Principi, framework, processo | Metodo di rischio specifico per l'IS in un ISMS | Analisi guidata da attaccanti ed ecosistema |
| Si abbina a | Governance aziendale | Certificazione ISO 27001 | ANSSI / settore regolamentato e pubblico |
| Approccio | Generico e top-down | Asset, minaccia, vulnerabilità | Guidato da scenari e stakeholder |
Rilevanza oltre il cyber, e gli errori comuni
Poiché ISO 31000 è agnostico rispetto al tipo di rischio, lo stesso framework copre il rischio operativo, finanziario, di supply chain, di progetto, di sicurezza, di conformità e strategico. È questo il suo vero valore per un CISO che vuole un posto al tavolo aziendale: parlare ISO 31000 significa parlare il linguaggio che il consiglio di amministrazione e la più ampia funzione di rischio già usano, non un dialetto cyber che devono tradurre. La credenziale viaggia bene anche al di fuori della sicurezza, ed è in parte per questo che si colloca al centro di una carriera GRC seria anziché ai suoi margini.
Gli errori sono ricorrenti tra le organizzazioni. Le persone trattano il registro dei rischi come un artefatto di conformità da produrre una volta all'anno invece che come uno strumento decisionale vivo. Definiscono criteri di rischio su cui nessuno è d'accordo, così la valutazione diventa una messa in scena. Confondono il risk appetite (una decisione della leadership) con la risk tolerance (l'intervallo operativo), e non lasciano che nessuno dei due venga definito esplicitamente, il che significa che le decisioni di trattamento non hanno un ancoraggio. E saltano Foundation, gettando un intero team in un corso Risk Manager dove metà dell'aula sta ancora discutendo su cosa significhi "probabilità".
Se state costruendo un programma anziché limitarvi a sostenere un esame, l'ordine che funziona è: far seguire al team ISO 31000 Foundation per il vocabolario condiviso, far seguire ai responsabili di ambito ISO 31000 Risk Manager, e far seguire a chi possiede il framework aziendale ISO 31000 Lead Risk Manager. Quella sequenza evita la modalità di fallimento più costosa, ovvero un framework che una sola persona comprende.
Frequently asked questions
01Perché non esiste un ISO 31000 Lead Auditor?
ISO 31000 è una linea guida, non uno standard di sistema di gestione. Non esiste un sistema certificabile rispetto a cui condurre un audit. Alcuni cataloghi di formazione pubblicizzano un ISO 31000 Lead Auditor; questa credenziale non esiste all'interno del programma PECB. Chi la cerca di solito intende ISO 27001 Lead Auditor (che verifica l'ISMS utilizzando la metodologia di rischio ISO 27005) oppure ISO/IEC 27005 Risk Manager (che applica la metodologia alla sicurezza delle informazioni).
Se il vostro auditor si aspetta un audit ISO 31000, opponetevi: non esiste un criterio di conformità certificabile. Probabilmente intende una valutazione di maturità del framework di gestione del rischio, che è un esercizio diverso.
02Risk Manager o Lead Risk Manager, qual è quello giusto per me?
Risk Manager (5 giorni) è destinato ai professionisti che gestiscono un ambito di rischio definito: un dipartimento, un programma, una controllata. Il corso insegna a far funzionare ISO 31000 all'interno di quell'ambito. La maggior parte degli analisti GRC e dei risk officer si ferma qui.
Lead Risk Manager (5 giorni) è destinato ai professionisti senior che gestiscono il programma di rischio aziendale: definizione del risk appetite, progettazione del framework, integrazione del rischio tra le unità di business, reporting al consiglio di amministrazione. Obbligatorio quando il titolo del ruolo è Head of Risk, Chief Risk Officer o equivalente.
03Come si colloca ISO 31000 rispetto a ISO 27005?
Ambiti diversi. ISO 31000 è la linea guida generica per la gestione del rischio: si applica al rischio finanziario, operativo, strategico, di conformità, di sicurezza delle informazioni, a qualsiasi cosa. ISO 27005 è l'applicazione dei principi di ISO 31000 specificamente al rischio di sicurezza delle informazioni in un contesto ISMS conforme a ISO 27001.
Un professionista del rischio con credenziali ISO 31000 opera a livello dell'intera organizzazione. Uno specialista del rischio di sicurezza delle informazioni con credenziali ISO 27005 opera all'interno dell'ambito dell'ISMS. I professionisti senior spesso possiedono entrambe.
04ISO 31000 è rilevante al di fuori della cybersecurity?
Sì, molto. ISO 31000 è agnostico rispetto al settore. Viene utilizzato nella gestione del rischio finanziario (insieme ai framework Basel e Solvency), nella gestione del rischio aziendale (insieme a COSO ERM), nel rischio della supply chain, nel rischio ambientale, nel rischio di progetto e nel rischio operativo. I principi e il modello di processo sono identici in tutti i domini; cambiano solo le categorie di asset e di minacce.




