L’importanza del Risk Management nella Sicurezza delle Informazioni

Data : 06/05/2025| Categoria: Glossario Best Practices|

In un mondo in continua evoluzione, il rischio è sempre presente, pertanto deve essere gestito. Un’efficace gestione del rischio non solo permette di prevenire eventi avversi, ma consente anche di proteggere il valore aziendale e cogliere nuove opportunità, con consapevolezza.

Il rischio può essere definito come l’effetto dell’incertezza sugli obiettivi, un concetto applicabile con diverse declinazioni, incluse quelle legate alla sicurezza delle informazioni ed alla cyber security. Il risk management rappresenta quindi il cuore dell’implementazione di un programma di sicurezza o di un sistema di gestione per la sicurezza delle informazioni.

Attraverso il risk management vengono stabiliti i controlli e le misure necessarie per mitigare i rischi che eccedono la soglia di accettazione, indirizzando gli sforzi verso le aree di maggiore impatto e consolidando le altre, con l’approccio costi-benefici. Per implementare efficacemente i controlli è fondamentale avere una visione chiara dei rischi a cui è esposta la propria azienda.

In questo articolo, analizzeremo alcune insidie comuni nel processo di gestione del rischio e forniremo suggerimenti utili per ottenere un quadro realistico e affidabile della sicurezza aziendale.

Scegli la metodologia più adatta

Per approcciarsi correttamente alla valutazione dei rischi per la sicurezza delle informazioni è importante individuare una metodologia che sia chiara e che fornisca risultati comprensibili e fruibili nella fase di trattamento.

Non esiste una metodologia “one size fits all”: ci sono diverse metodologie sul mercato, sia open che a pagamento. Una buona metodologia dovrebbe essere allineata alla ISO 31000:2018 e alla ISO/IEC 27005:2022 fornendo una tassonomia chiara, una filiera di gestione coerente ed un metodo di calcolo facilmente applicabile.

Non c’è una metodologia migliore di un’altra ma vi sono metodologie che si adattano meglio su alcune realtà, pertanto è importante sperimentare. Il punto focale è capire come si arriva al calcolo del rischio e come si gestisce la fase di trattamento.

Risk Management: Report efficaci

La documentazione è essenziale per presentare i risultati a tutte le parti interessate. La parola d’ordine è semplicità. Non importa quanto sia complessa un’azienda, la rappresentazione dello stato dell’arte deve essere comprensibile a tutti, soprattutto a coloro che dovranno trattare i rischi, ovvero i risk owners, e a coloro che dovranno mettere a disposizione il budget, se necessario.

È quindi fondamentale che il messaggio sia scritto in modo che tutte le parti interessate lo comprendano. Pertanto diventa necessario descrivere il rischio così come si presenta, senza inutili sovrastrutture e senza omettere nulla, ed allo stesso modo definire le azioni di trattamento così come sono implementate

Controllo: Riduzione del Rischio

I controlli sono, per definizione, le misure atte a modificare i rischi. Affidatevi a standard (es. ISO, NIST) che siano abbastanza esaustivi ma adattateli alla vostra situazione. Per ogni controllo aggiungete informazioni su come è stato implementato, fornendo dettagli utili anche ai trattamenti futuri.

Ad esempio, non è sufficiente scrivere sul piano di trattamento dei rischi (ovvero la pianificazione dettagliata delle azioni di gestione dei rischi) che sono state modificate le regole di robustezza delle password, ma è necessario specificare dove (es. Active Directory) e quali sono le modifiche apportate.

È uno sforzo importante ma necessario per non perdere traccia di ciò che è stato fatto.

Soft Skill in Risk Management

Comunicazione efficace: migliorare la sensibilità sui temi IS

Può accadere che non ci sia la giusta sensibilità sul risk management in azienda e che le attività di sicurezza siano solo necessarie ad ottenere e/o mantenere una certificazione. Fare formazione ed informazione è lo strumento principale per far comprendere a tutti, soprattutto al top management, l’importanza dei processi di Risk Management.

Senza il supporto del management potrebbe venire meno l’impegno di singoli e il budget, ove necessario, per mitigare i rischi.

Abbiate coraggio e siate chiari, a volte anche fatalisti, l’information security manager è un lavoro complesso, che prevede la conoscenza di diverse aree (HR, finance etc) e che può avere impatto emotivo sulle persone per poterle coinvolgere attivamente nel quotidiano.

La sensibilità sui temi di IS è un valore che va curato e accresciuto nel tempo.

Valutazione dei rischi: il falso mito del rischio “zero”
Nella scala cromatica il colore verde rappresenta zero pericoli. Non abbondante di ottimismo, anzi eliminatelo. Quando si valuta un rischio si deve ragionare secondo il principio “expect the unexpected”. Una griglia di semafori verdi vi servirà solamente ad affermare di aver eseguito la valutazione ma non fornirà alcun valore aggiunto alla vostra azienda. Al contrario, potrebbe creare un falso senso di sicurezza che potrebbe avere effetti deleteri nel lungo periodo.

Vuoi saperne sui ruoli relativi al risk Management? Leggi il nostro blog “Risk Manager: Chi è e cosa fa” e scopri le attività principali e le competenze richieste per diventare un Risk Manager!

Se sei interessato ad approfondire le tematiche di Information Security, visita il nostro sito o contattaci!

Salvatore D'Emilio trainer

Salvatore D’Emilio

Consulente Senior, Trainer e Auditor in Cybersecurity e Information Security

Salvatore è un consulente freelance, trainer e auditor specializzato in information security e IT service management, con oltre 15 anni di esperienza in cyber security, governance della sicurezza informatica, standard ISO, risk management, data protection, privacy, business continuity, audit e formazione.

Ha collaborato con aziende dei settori pubblico, militare e privato, operando in ambiti quali quello farmaceutico, dei servizi fiduciari, healthcare e IT. La sua specializzazione riguarda la Governance della sicurezza delle informazioni e cyber security, Risk management e Data protection, e Business continuity e Audit su standard ISO.

Salvatore è docente accreditato ISACA per i corsi: CISA, CISM, CRISC e CSX.

Condividi l'articolo, scegli la piattaforma!

Torna agli articoli

Categorie

Tag

Newsletter

Iscriviti alla newsletter di QRP International per ricevere in anteprima news, contenuti utili e inviti ai nostri prossimi eventi.

   
   

QRP International userà le informazioni che scriverai nel form per restare in contatto con te. Vorremmo continuare ad aggiornarti con le nostre ultime news e con contenuti esclusivi pensati per supportarti nel tuo ruolo.

       
       

Puoi cambiare idea in qualsiasi momento cliccando il link "unsubscribe" dal footer di una delle email che riceverai da noi o scrivendoci a marketing@qrpinternational.com. Tratteremo le tue informazioni con rispetto. Per maggiori informazioni sulle nostre privacy policy puoi visitare il nostro sito web. Cliccando in basso, accetti che potremo utilizzare le tue informazioni in conformità con questi Termini & Condizioni.

We use Mailchimp as our marketing platform. By clicking below to subscribe, you acknowledge that your information will be transferred to Mailchimp for processing. Learn more about Mailchimp's privacy practices here.