Registro dei rischi.

Il registro dei rischi è l'elenco canonico e dinamico dei rischi identificati, con relativa analisi, valutazione, trattamento e titolarità. Non è un foglio di calcolo una tantum. Gli auditor si aspettano voci datate, responsabili nominati, modifiche tracciabili e cicli di revisione collegati al riesame della direzione. La versione per il board è più sintetica; quella operativa contiene tutto.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

Il punto di vista di Cyber Academy

Il registro dei rischi è l'elenco canonico e dinamico dei rischi identificati, con relativa analisi, valutazione, trattamento e titolarità. Non è un foglio di calcolo una tantum. Gli auditor si aspettano voci datate, responsabili nominati, modifiche tracciabili e cicli di revisione collegati al riesame della direzione. La versione per il board è più sintetica; quella operativa contiene tutto.

Cos'è realmente il registro

Il registro dei rischi è l'unico luogo in cui l'organizzazione tiene traccia di ciò che la preoccupa e di ciò che sta facendo al riguardo. Le persone immaginano un foglio di calcolo, e spesso inizia proprio così, ma l'artefatto che conta è la disciplina che lo sostiene : ogni rischio identificato, analizzato, valutato rispetto alla propensione, assegnato a un responsabile, dotato di una decisione di trattamento e riesaminato secondo un ciclo. Un registro compilato una sola volta per una certificazione e mai più toccato non è un registro dei rischi, è un pezzo da museo. La prova consiste nel verificare se puoi guardare una qualsiasi riga e vedere quando è stata riesaminata l'ultima volta, chi ne è responsabile e cosa è cambiato da allora.

Ogni voce riporta in genere una descrizione del rischio, l'asset o l'obiettivo che minaccia, l'analisi (probabilità e impatto, comunque tu li valuti), la valutazione rispetto ai tuoi criteri, il trattamento scelto, il responsabile designato, il rischio residuo dopo il trattamento e una data di riesame. Il livello di dettaglio è deliberato : quando un auditor o un incidente tira un filo, la voce deve reggere. Le voci vaghe, senza responsabile e senza data, sono la prima cosa che un auditor competente individua, e minano la credibilità dell'intero programma.

Come si collega a tutto il resto

Il registro non è un documento a sé stante, è il fulcro a cui si aggancia il resto del programma di gestione dei rischi. L'identificazione e l'analisi seguono una metodologia come ISO 27005 o EBIOS RM, e il loro risultato confluisce qui. La colonna del trattamento è il punto in cui ogni rischio incontra la decisione di evitare, ridurre, trasferire o accettare, e in un contesto ISO 27001 quella decisione prosegue fino alla Dichiarazione di Applicabilità e ai controlli che la attuano.

La colonna della valutazione ha senso solo se esiste una propensione al rischio scritta rispetto alla quale valutare, altrimenti ogni giudizio è soltanto l'opinione di un analista. Il registro si colloca quindi a valle della metodologia e della propensione, e a monte del trattamento e dell'evidenza dei controlli.

È anche per questo che il registro è un documento vivo legato al riesame della direzione e non un deliverable una tantum. Compaiono nuovi rischi, i rischi trattati cambiano la loro valutazione residua, i responsabili cambiano ruolo, e la propensione stessa può mutare. Un programma maturo riesamina il registro con una cadenza definita e fa confluire i movimenti significativi nel riesame della direzione, così che il vertice prenda decisioni su un'immagine attuale e non su quella dell'anno scorso.

Cosa mantengono realmente i professionisti

In pratica il registro è il punto in cui le buone intenzioni incontrano la manutenzione. La parte difficile non è il primo passaggio, è mantenerlo onesto negli anni. Le voci datate contano perché un auditor si aspetta di vedere un cambiamento tracciabile : quando un rischio è stato sollevato, quando la sua valutazione si è spostata, quando il trattamento si è concluso. I responsabili designati contano perché un rischio senza responsabile è un rischio che in realtà nessuno gestisce.

I cicli di riesame contano perché le tolleranze e le dipendenze si spostano, e un registro vecchio di due riorganizzazioni darà priorità alle cose sbagliate. I campi sono facili da elencare e difficili da sostenere, ed è esattamente per questo che il registro, e non la politica, è il punto in cui si vede se un programma di gestione dei rischi è vivo.

Una confusione frequente è tra il registro e il piano di trattamento. Il registro è l'inventario dei rischi e del loro stato attuale. Il piano di trattamento è l'insieme delle azioni a cui ti sei impegnato, con scadenze e responsabilità, per portare i rischi verso livelli accettabili. Si rimandano a vicenda ma non sono lo stesso documento, e quando divergono l'audit se ne accorge. Tieni il registro come fonte di verità per lo stato, e lascia che il piano di trattamento sia la fonte di verità per il lavoro in corso.

Frequently asked questions

01Un registro dei rischi è la stessa cosa di una valutazione dei rischi?

No. La valutazione dei rischi è l'attività di identificare, analizzare e valutare i rischi. Il registro è la registrazione viva che conserva il risultato di quell'attività e ne segue l'andamento nel tempo, inclusi la responsabilità, il trattamento e le date di riesame.

02ISO 27001 richiede un registro dei rischi?

ISO 27001 non impone per nome un documento chiamato «registro dei rischi», ma richiede risultati documentati della valutazione e del trattamento dei rischi per la sicurezza delle informazioni. In pratica, il registro è il modo in cui le organizzazioni soddisfano tale requisito e lo dimostrano agli auditor.

03Cosa dovrebbe contenere ogni voce?

Come minimo : una chiara descrizione del rischio, l'analisi (probabilità e impatto), la valutazione rispetto ai tuoi criteri, un responsabile designato, la decisione di trattamento, il rischio residuo dopo il trattamento e una data di riesame. Le voci datate e tracciabili sono la prima cosa che gli auditor cercano.

04Con quale frequenza dovrebbe essere riesaminato il registro?

Secondo un ciclo definito e dopo qualsiasi cambiamento significativo, con i movimenti rilevanti che alimentano il riesame della direzione. I rischi, le valutazioni, i responsabili e la propensione stessa si spostano tutti, così un registro non riesaminato smette rapidamente di rispecchiare la realtà.

05Perché mantenere una versione separata per il consiglio?

Il registro operativo porta ogni dettaglio di cui il team rischi ha bisogno per svolgere il proprio lavoro. Il consiglio ha bisogno di una sintesi mirata dei rischi che contano al suo livello per poter prendere decisioni. Allinea i due, ma non costringere un unico documento a servire entrambi i destinatari.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.