26 maggio 2026 • Sicurezza informatica
L'analisi dei rischi non è un elemento facoltativo della norma ISO 27001: è il fondamento su cui si basa l'intero standard. Senza una comprensione strutturata di ciò che può andare storto, nonché della probabilità e dell'impatto di tali eventi, ogni misura di sicurezza adottata dalla vostra organizzazione si basa su supposizioni piuttosto che su dati concreti. Questo articolo spiega in cosa consiste l'analisi dei rischi ISO 27001, come affrontarla passo dopo passo e come si presenta un esempio pratico.
Che cos'è un'analisi dei rischi secondo la norma ISO 27001?
L'analisi dei rischi secondo la norma ISO 27001 è un processo strutturato attraverso il quale un'organizzazione identifica i rischi per la sicurezza delle informazioni, ne valuta la probabilità e il potenziale impatto e decide come gestirli. Il risultato è un registro dei rischi, ovvero una panoramica documentata di tutti i rischi identificati e delle decisioni prese in merito a ciascuno di essi.
La norma ISO 27001 non prescrive un unico metodo per condurre un'analisi dei rischi. La norma richiede che il metodo sia coerente, riproducibile e in grado di produrre risultati comparabili. Nella pratica, la maggior parte delle organizzazioni utilizza una matrice probabilità-impatto, un sistema di valutazione qualitativa o una combinazione di entrambi.
L'analisi dei rischi non è un'operazione da svolgere una tantum. La norma ISO 27001 richiede che venga rivista regolarmente, a intervalli prestabiliti e ogni volta che si verificano cambiamenti significativi all'interno dell'organizzazione o nel suo contesto. Ciò la rende un documento in continua evoluzione, non un semplice rapporto archiviato.
Perché l'analisi dei rischi è fondamentale per la norma ISO 27001
La norma ISO 27001 è una norma basata sul rischio. Ciò significa che i controlli che un'organizzazione mette in atto devono essere determinati dal rischio, non da convenzioni o da ciò che fanno i concorrenti. La clausola 6.1.2 della norma ISO 27001 richiede specificatamente alle organizzazioni di definire un processo di valutazione del rischio, di applicarlo in modo coerente e di conservare le informazioni documentate a titolo di prova.
Questo approccio basato sul rischio ha un'implicazione pratica: due organizzazioni dello stesso settore possono avere sistemi di controllo molto diversi tra loro, poiché i loro profili di rischio differiscono. Un operatore sanitario che gestisce dati sensibili dei pazienti deve affrontare minacce diverse e presenta un'esposizione diversa rispetto a un'azienda di logistica. È l'analisi dei rischi a determinare l'adeguatezza del SGSI all'organizzazione, e non il contrario.
La norma ISO 27001 non indica quali rischi debbano essere considerati prioritari. Indica piuttosto di dotarsi di un processo sufficientemente rigoroso per individuarli autonomamente e di documentare tale procedura.
Le quattro fasi dell'analisi dei rischi secondo la norma ISO 27001
Sebbene la norma ISO 27001 consenta una certa flessibilità nella metodologia, le analisi dei rischi efficaci seguono sistematicamente quattro fasi fondamentali:
- Identificate le risorse e le minacce. Iniziate catalogando le risorse informative rilevanti per la vostra organizzazione: dati, sistemi, processi, persone. Per ciascuna risorsa, individuate le minacce a cui è esposta — accesso non autorizzato, perdita di dati, guasti di sistema, errore umano — e le vulnerabilità che rendono tali minacce sfruttabili.
- Valutare la probabilità e l'impatto. Per ogni rischio individuato, attribuire un punteggio alla probabilità che si verifichi e all'impatto che avrebbe qualora si verificasse. Una semplice scala da 1 a 3 o da 1 a 5 è adeguata per la maggior parte delle organizzazioni. La combinazione dei due punteggi determina il livello di rischio.
- Stabilire la strategia di gestione del rischio. Per ciascun rischio, scegliere una delle seguenti opzioni: mitigare (attuare una misura di controllo per ridurre il rischio), accettare (documentare che il livello di rischio è accettabile), trasferire (ad esempio tramite un'assicurazione o l'esternalizzazione) o evitare (modificare l'attività che genera il rischio).
- Documentare e riesaminare. Registrare tutti i risultati, le decisioni relative al trattamento e i rischi residui in un registro dei rischi. Collegare ciascuna decisione alle misure di controllo applicabili di cui all'Allegato A della norma ISO 27001. Fissare una data per il riesame.
Esempio di analisi dei rischi: come funziona nella pratica
Di seguito è riportato un esempio semplificato di analisi dei rischi per un'organizzazione con un piccolo team IT e una combinazione di dipendenti in sede e in remoto. I punteggi sono espressi su una scala da 1 a 3 (1 = basso, 3 = alto).
| Rischio | Probabilità | Impatto | Livello di rischio | Trattamento |
|---|---|---|---|---|
| Un dipendente clicca su un link di phishing e le sue credenziali vengono rubate | 3 | 3 | Alto | Mitigazione — Simulazione di phishing + formazione sulla sensibilizzazione |
| Software non aggiornato sfruttato dal malware | 2 | 3 | Alto | Mitigazione — politica di gestione delle patch |
| Portatile smarrito o rubato con dati non crittografati | 2 | 2 | Medio | Mitigazione — crittografia completa del disco + MDM |
| Un membro chiave dello staff se ne va, e con lui va persa una parte di sapere | 2 | 2 | Medio | Mitigazione — documentazione + processo di trasferimento delle conoscenze |
| L'ufficio è allagato, la sala server è inaccessibile | 1 | 3 | Medio | Trasferimento — assicurazione sulla continuità operativa + backup su cloud |
| Account sui social media compromesso | 1 | 1 | Basso | Accetta — monitoraggio, non sono necessari ulteriori controlli |
Questo esempio di analisi dei rischi mostra come il comportamento umano — in particolare la vulnerabilità al phishing — risulti costantemente un rischio di alta priorità. Si tratta inoltre di uno dei rischi più facilmente gestibili attraverso una formazione strutturata sulla sicurezza informatica.
La formazione sulla sicurezza come misura di gestione del rischio
In quasi tutte le analisi dei rischi ISO 27001, il rischio umano rientra nella categoria ad alta priorità. Il phishing, l'ingegneria sociale, le password deboli e la divulgazione accidentale dei dati sono rischi prevedibili e ricorrenti — e sono causati dalle persone, non dai sistemi.
Il controllo 6.3 dell'Allegato A della norma ISO 27001 richiede esplicitamente alle organizzazioni di garantire la sensibilizzazione, l'istruzione e la formazione in materia di sicurezza delle informazioni a tutto il personale. Non si tratta semplicemente di seguire un corso una volta all'anno. Il controllo richiede una sensibilizzazione continua, in grado di stare al passo con l'evoluzione delle minacce.
Il corso di sensibilizzazione alla sicurezza ISO 27001 di Guardey si basa proprio su questo: brevi sessioni formative ricorrenti, abbinate a simulazioni di phishing, che forniscono alle organizzazioni sia la copertura formativa che la documentazione necessaria per soddisfare i requisiti dei revisori. La voce relativa all’errore umano nel registro dei rischi passa da «rischio elevato, parzialmente mitigato» a «rischio elevato, gestito attivamente» — una distinzione che fa la differenza in sede di audit.
Eliminare i rischi legati al fattore umano per la conformità alla norma ISO 27001
Creare una cultura della sicurezza prima che arrivino i revisori.
