Se dovessi identificare il punto in cui la maggior parte delle implementazioni di ISMS fallisce, non esiterei: è il risk assessment. Non per mancanza di buona volontà, ma perché valutare i rischi cyber in modo rigoroso e utile per le decisioni aziendali è genuinamente difficile. Richiede metodo, disciplina e comprensione simultanea del contesto tecnologico e di business. La ISO/IEC 27005 è la norma che fornisce questo metodo.
Cos'è ISO/IEC 27005 e la sua relazione con ISO 27001
La ISO/IEC 27001 è costruita attorno alla gestione del rischio. Non prescrive controlli specifici da implementare: richiede di applicare quelli pertinenti rispetto ai rischi identificati nella tua specifica organizzazione. Questo approccio "risk-based" è insieme la forza e la complessità della norma.
Il requisito formale è nel punto 6.1.2: l'organizzazione deve definire e applicare un processo di valutazione del rischio che identifichi i rischi, li analizzi, li valuti rispetto ai criteri di accettazione e produca risultati documentati e riproducibili. Il punto 6.1.3 richiede poi di decidere per ogni rischio: applicare controlli, accettarlo, trasferirlo o evitarlo eliminando l'attività che lo genera.
La ISO/IEC 27005 è la norma complementare che fornisce le linee guida per eseguire questo processo in modo corretto. Non è certificabile — la certificazione è sulla 27001, non sulla 27005 — ma è la guida tecnica indispensabile per chi deve implementare il risk assessment nella pratica. L'edizione 2022, che ha sostituito quella del 2018, ha introdotto cambiamenti significativi che vedremo in dettaglio.
Il processo di risk management: contesto, assessment, treatment
La ISO/IEC 27005:2022 descrive il processo di gestione del rischio come ciclico, con fasi che si ripetono nel tempo:
- Definizione del contesto: stabilire il perimetro dell'analisi, i criteri di valutazione del rischio, le soglie di accettabilità.
- Identificazione del rischio: identificare asset, minacce, vulnerabilità e potenziali conseguenze.
- Analisi del rischio: stimare probabilità di occorrenza e impatto potenziale di ciascun rischio.
- Valutazione del rischio: confrontare i risultati con i criteri di accettazione per decidere se il rischio è accettabile o richiede trattamento.
- Trattamento del rischio: selezionare e implementare le misure di controllo appropriate.
- Accettazione del rischio residuo: dopo il trattamento, valutare se il rischio residuo è accettabile.
- Comunicazione e consultazione: condividere le informazioni sui rischi con gli stakeholder appropriati.
- Monitoraggio e revisione: verificare nel tempo che il processo rimanga efficace e aggiornare l'analisi quando cambiano le condizioni.
Una novità significativa nell'edizione 2022 è l'enfasi sulla gestione del rischio come processo continuo, non come esercizio periodico. Il panorama delle minacce cyber cambia rapidamente: nuove vulnerabilità ogni giorno, il perimetro tecnologico si espande con cloud e lavoro remoto. Un risk assessment fatto una volta all'anno e messo in un cassetto non ha più senso.
Metodologie di risk assessment: qualitative, quantitative, semi-quantitative
Una volta identificati asset, minacce e vulnerabilità, bisogna analizzare i rischi stimando probabilità e impatto. Qui si apre il confronto fondamentale tra approcci diversi.
Analisi qualitativa. Probabilità e impatto vengono espressi con scale ordinali: bassa/media/alta, o 1-5. Il rischio viene calcolato combinando i due fattori, tipicamente con una matrice. È l'approccio più diffuso: richiede meno dati ed è più comprensibile per il management non tecnico. Il limite è la soggettività: due analisti possono valutare diversamente la "probabilità alta" di un ransomware. Una buona analisi qualitativa richiede di documentare chiaramente le assunzioni e i criteri usati, in modo che i risultati siano riproducibili e difendibili.
Analisi quantitativa. La probabilità viene espressa come frequenza attesa (es. 30% di probabilità di un attacco ransomware in un anno) e l'impatto come perdita economica (es. 500.000 euro). Il rischio diventa un valore economico atteso — ALE (Annualized Loss Expectancy). Il vantaggio è che permette confronti diretti tra costo del controllo e riduzione del rischio attesa. Il limite è che richiede dati statistici affidabili, spesso non disponibili.
Approcci semi-quantitativi. La maggior parte delle organizzazioni usa approcci ibridi: qualitativo per lo screening iniziale di molti rischi, semi-quantitativo o quantitativo per l'analisi approfondita dei rischi più significativi. L'edizione 2022 della ISO 27005 riconosce esplicitamente questa flessibilità: non esiste un'unica soluzione adatta a tutte le organizzazioni.
Asset, minacce, vulnerabilità: l'approccio tradizionale e i suoi limiti
L'approccio tradizionale al risk assessment parte dall'identificazione di asset, minacce e vulnerabilità.
Asset. Si distinguono asset primari (le informazioni stesse: dati dei clienti, segreti industriali, dati finanziari) e asset di supporto (l'infrastruttura che le gestisce: server, reti, applicazioni, cloud, persone). Identificare gli asset non significa fare un inventario tecnico di tutto l'hardware: significa capire quali informazioni e processi sono critici per il business e costruire il risk assessment a partire da lì.
Minacce. Si classificano in deliberate (attacchi cyber, spionaggio, sabotaggio), accidentali (errori umani, guasti hardware) e ambientali (incendi, allagamenti, interruzioni di corrente). La valutazione delle minacce cyber si avvale oggi di framework come il MITRE ATT&CK, una base di conoscenza liberamente accessibile delle tecniche di attacco osservate in scenari reali.
Vulnerabilità. Possono essere tecniche (software non aggiornato, configurazioni non sicure), organizzative (procedure assenti o non seguite, mancanza di formazione) o fisiche. L'identificazione di vulnerabilità tecniche si avvale di vulnerability scanner e penetration test. Ma le vulnerabilità organizzative e umane sono spesso più difficili da identificare e più impattanti: il miglior firewall del mondo non protegge un'organizzazione i cui dipendenti aprono allegati malevoli.
Il limite dell'approccio asset-based è la complessità: in organizzazioni con infrastrutture elaborate, il numero di combinazioni asset-minaccia-vulnerabilità può diventare ingestibile. Qui entra in gioco l'innovazione dell'edizione 2022.
ISO 27005:2022 - le novità e l'approccio event-based
L'edizione 2022 della ISO/IEC 27005 ha introdotto cambiamenti significativi rispetto alla versione 2018.
La modifica strutturale più importante è l'eliminazione dei cataloghi di minacce e vulnerabilità presenti come appendici nelle versioni precedenti. Queste liste erano ritenute obsolete rispetto alla velocità di evoluzione del panorama delle minacce. Al loro posto, la norma incoraggia l'uso di fonti aggiornate: report di threat intelligence, database CVE, framework MITRE ATT&CK.
La novità più rilevante è l'approccio basato sugli scenari (scenario-based approach), proposto come alternativa o complemento all'approccio asset-based. Invece di analizzare ogni combinazione asset-minaccia-vulnerabilità, si parte da scenari di rischio realistici: "un attore malevolo esterno esfiltra dati dei clienti tramite phishing seguito da escalation dei privilegi". Si valuta la probabilità e l'impatto di ciascuno scenario. Questo approccio è più vicino alla realtà degli attacchi reali e più comprensibile per il management non tecnico.
L'edizione 2022 integra anche più esplicitamente i requisiti aggiornati della ISO 27001:2022, in particolare per il trattamento del rischio. La ISO 27001:2022 ha riorganizzato l'Annex A in quattro categorie (organizzativi, persone, fisici, tecnologici) introducendo undici nuovi controlli. La ISO 27005 aggiornata fornisce indicazioni più precise su come mappare i risultati del risk assessment ai controlli nella loro versione attuale. Il rischio residuo deve essere esplicitamente valutato e accettato dal management: in quel momento il risk assessment diventa un documento di governance, non solo tecnico.
Strumenti e tool di supporto
La ISO 27005 è un framework metodologico, ma vale la pena conoscere gli altri principali strumenti disponibili.
NIST CSF 2.0 (2024) è organizzato in sei funzioni: Govern, Identify, Protect, Detect, Respond, Recover. Molte organizzazioni lo usano come framework di governance di alto livello e la ISO 27005 per il risk assessment dettagliato.
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), sviluppato dal CERT/CC della Carnegie Mellon University, è una metodologia orientata al business progettata per essere condotta internamente, con un approccio partecipativo che coinvolge i responsabili di business nel processo.
FAIR (Factor Analysis of Information Risk) è un framework quantitativo dell'Open Group che esprime il rischio in termini economici: utile per comunicare al board in termini finanziari comprensibili e per confrontare costo dei controlli e riduzione del rischio attesa.
Sul mercato esistono anche strumenti software GRC (ServiceNow, Archer, OneTrust) e soluzioni specifiche per la sicurezza delle informazioni. Il software aiuta a strutturare il processo, ma non sostituisce il giudizio umano.
FAQ
Con quale frequenza aggiornare il risk assessment? La ISO 27001 richiede aggiornamenti a intervalli pianificati e quando si verificano cambiamenti significativi. Un ciclo annuale è il minimo, integrato da aggiornamenti in risposta a eventi specifici: un incidente di sicurezza, un nuovo sistema IT, una vulnerabilità critica scoperta.
Il risk assessment può essere fatto da una sola persona? Non dovrebbe mai essere il lavoro solitario del responsabile IT. Richiede il coinvolgimento dei responsabili dei processi di business e dell'alta direzione. In una piccola organizzazione, un team di 3-5 persone è sufficiente.
La ISO 27005 soddisfa i requisiti NIS2? La ISO 27005, applicata nell'ambito di un ISMS conforme alla ISO 27001, fornisce un approccio metodologico solido e riconosciuto internazionalmente per soddisfare i requisiti di risk assessment previsti dalla Direttiva NIS2.
Quanto tempo richiede un risk assessment iniziale? Per una PMI con 50-100 dipendenti, da 4 a 8 settimane di lavoro. Le revisioni successive richiedono molto meno tempo, partendo dalla baseline già costruita.
Il risk assessment cyber non è un documento da produrre per soddisfare un requisito di audit: è lo strumento attraverso cui l'organizzazione capisce dove sono i suoi rischi reali e decide consapevolmente come gestirli. Fatto bene, trasforma la sicurezza informatica da costo burocratico a investimento strategico misurabile.