Trattamento del rischio.

Il trattamento del rischio è ciò che si fa una volta che il rischio è noto: evitarlo, ridurlo, trasferirlo, accettarlo. Ogni decisione è documentata, giustificata dalla propensione al rischio e tracciata attraverso il SoA fino ai controlli e alle evidenze operative. La maggior parte degli audit falliti si riduce a un unico problema: il piano di trattamento e la realtà si sono discostati, e nessuno ha aggiornato il SoA.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

Il punto di vista di Cyber Academy

Il trattamento del rischio è ciò che si fa una volta che il rischio è noto: evitarlo, ridurlo, trasferirlo, accettarlo. Ogni decisione è documentata, giustificata dalla propensione al rischio e tracciata attraverso il SoA fino ai controlli e alle evidenze operative. La maggior parte degli audit falliti si riduce a un unico problema: il piano di trattamento e la realtà si sono discostati, e nessuno ha aggiornato il SoA.

Le quattro opzioni di trattamento

Il trattamento del rischio è la fase in cui la valutazione si traduce in azione. Una volta che un rischio è stato identificato, analizzato e valutato rispetto ai tuoi criteri, devi decidere come affrontarlo. Il vocabolario convenzionale, condiviso da ISO 31000 e ISO/IEC 27005, ti offre quattro famiglie di risposta. Non sono ordinate dalla migliore alla peggiore; la scelta giusta dipende dal rischio, dal costo del controllo e dalla propensione approvata dai vertici.

  • Evitare: interrompere l'attività che genera il rischio, oppure svolgerla in modo diverso. Dismetti il servizio esposto, elimini la funzionalità o esci dal mercato che innesca l'esposizione.
  • Ridurre (modificare): applicare controlli che abbassino la probabilità, l'impatto, o entrambi. È la via più comune e quella che si collega direttamente al tuo insieme di controlli.
  • Trasferire (condividere): spostare parte della conseguenza finanziaria o operativa verso una terza parte, di norma tramite un'assicurazione o una clausola contrattuale. Il trasferimento sposta raramente l'intero rischio; ti resta il residuo reputazionale e regolamentare.
  • Accettare (mantenere): decidere che il rischio residuo è tollerabile e conviverci, mettendolo agli atti. L'accettazione è una decisione legittima, non un'omissione, purché la firmi l'autorità competente.

Dalla decisione alla prova: la catena che gli auditor seguono

La parte difficile del trattamento del rischio non è scegliere un'opzione, è mantenere coerente la tracciabilità documentale. Ogni decisione dovrebbe essere giustificata con riferimento alla propensione al rischio documentata, registrata in un piano di trattamento del rischio e poi tracciata fino ai controlli che la attuano e alle prove che essi operano. In un sistema di gestione della sicurezza delle informazioni ISO/IEC 27001 è qui che risiede la Dichiarazione di Applicabilità (SoA): registra quali controlli dell'Annex A si applicano, perché, e dove si trovano le prove.

Il rilievo di audit più frequente in quest'area è lo scostamento. Il piano di trattamento diceva una cosa, la SoA ne diceva un'altra, e l'operatività sul campo era andata oltre entrambe. Un controllo viene dismesso, un progetto cambia ambito, un fornitore viene sostituito, e nessuno aggiorna i documenti. Le decisioni possono essere state tutte ragionevoli prese singolarmente, ma la catena non si riconcilia più, e quell'incoerenza è ciò che produce una non conformità.

Rischio residuo e rivalutazione

Il trattamento non fa sparire un rischio. Ciò che resta dopo l'applicazione dei controlli è il rischio residuo, ed è il valore che il proprietario del rischio accetta effettivamente. La buona pratica consiste nel rieseguire l'analisi sul rischio trattato in modo che il livello residuo sia esplicito, per poi reindirizzarlo alla stessa autorità di accettazione. ISO/IEC 27005, allineata fin dalla revisione del 2022 ai principi di ISO 31000, lo inquadra come un ciclo iterativo anziché un esercizio una tantum: tratti, misuri ciò che resta, accetti o tratti di nuovo.

Ciò che i professionisti fanno davvero

Nel lavoro GRC quotidiano, il trattamento del rischio viene gestito come un piano vivo anziché come un deliverable di progetto. Un ritmo praticabile assomiglia a questo:

  1. Collega ogni decisione di trattamento a un rischio denominato nel registro e all'enunciato di propensione che la giustifica, così che la motivazione sopravviva al ricambio del personale.
  2. Assegna un unico responsabile rendicontabile e una data obiettivo a ogni azione di «ridurre», e monitorali come qualsiasi altro impegno.
  3. Mantieni riconciliati la SoA, il piano di trattamento e le prove dei controlli con una cadenza fissa, non solo prima di un audit.
  4. Registra il rischio residuo e la firma di accettazione per tutto ciò che non mitighi completamente, compresi i rischi che trasferisci.

Fatto così, il piano di trattamento smette di essere teatro per l'audit e diventa il luogo in cui l'organizzazione può dire onestamente a cosa è esposta e chi ha deciso che ciò fosse accettabile.

Frequently asked questions

01Quali sono le quattro opzioni di trattamento del rischio?

Evitare, ridurre (modificare), trasferire (condividere) e accettare (mantenere). ISO 31000 e ISO/IEC 27005 condividono questo vocabolario. Nessuna è intrinsecamente superiore; la scelta dipende dal rischio, dal costo del trattamento e dalla tua propensione al rischio.

02Accettare un rischio equivale a ignorarlo?

No. L'accettazione è una decisione deliberata e documentata, firmata da qualcuno con l'autorità adeguata. Ignorare un rischio lo lascia non trattato e non registrato, che è proprio ciò che un auditor segnala come lacuna.

03Come si collega il trattamento del rischio alla Dichiarazione di Applicabilità?

In un SGSI ISO/IEC 27001, le decisioni di trattamento volte a ridurre il rischio determinano i controlli che selezioni, e la SoA registra quali controlli si applicano, perché, e dove risiedono le prove. Il piano di trattamento e la SoA devono restare coerenti tra loro e con la realtà.

04Che cos'è il rischio residuo in questo contesto?

Il rischio residuo è ciò che resta dopo aver applicato i controlli scelti. È il livello che il proprietario del rischio accetta effettivamente, perciò la buona pratica è rivalutarlo esplicitamente e reindirizzarlo alla tua autorità di accettazione.

05Trasferire un rischio elimina la tua responsabilità?

Raramente. Un'assicurazione o una clausola contrattuale possono spostare la conseguenza finanziaria o operativa verso una terza parte, ma di norma mantieni l'esposizione reputazionale e regolamentare, e la rendicontabilità del rischio resta tua.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.