La matrice di rischio 5x5 sopravvive agli audit, non al controllo
ISO 27001 non chiede mai una heat map. Ciò che richiede (risultati coerenti, validi e comparabili) è il test che la maggior parte delle matrici di rischio non supera.

Chiedere a un team di implementazione perché la loro valutazione del rischio ISO 27001 sia una griglia 5x5 di verde, ambra e rosso, e la risposta, dalla nostra esperienza, è di solito una versione di "è ciò che l'auditor si aspetta". Entrambe le parti di questa frase meritano un controllo più approfondito di quello che ricevono. Nulla nelle clausole sul rischio dello standard chiede una matrice, e la matrice è un metodo scadente per soddisfare ciò che quelle clausole richiedono. La griglia persiste perché è leggibile in una revisione documentale, non perché sia efficace nel descrivere il rischio, e trattare queste due proprietà come se fossero la stessa cosa rappresenta, a nostro avviso, l'errore metodologico silenzioso alla base di molti ISMS certificati.
Cosa richiede effettivamente la clausola 6.1.2
ISO/IEC 27001:2022 (terza edizione, pubblicata il 2022-10-25; l'emendamento per l'azione climatica Amd 1:2024, pubblicato il 2024-02-23, non altera la clausola 6.1.2) dedica una sola clausola, la 6.1.2, al processo di valutazione del rischio. Essa richiede che l'organizzazione definisca ed applichi un processo che stabilisca criteri di rischio, inclusi i criteri di accettazione del rischio; che garantisca che valutazioni ripetute "producano risultati coerenti, validi e comparabili"; e che identifichi i rischi, li analizzi valutando le conseguenze e la probabilità per determinare i livelli di rischio, e li valuti in base ai criteri (ISO/IEC 27001:2022, clausola 6.1.2).
Notare ciò che la clausola 6.1.2 non specifica. Nessuna matrice. Nessuna heat map. Nessuna scala a cinque punti, nessuna moltiplicazione "probabilità per impatto", nessun schema cromatico. Persino l'espressione "livelli di rischio", la frase che i team leggono più spesso come un'autorizzazione a utilizzare bucket ordinali, non indica come questi livelli debbano essere espressi. La norma di guida di supporto, ISO/IEC 27005:2022 (quarta edizione, pubblicata il 2022-10-25), accoglie sia approcci qualitativi che quantitativi, e le sue scale di conseguenza e probabilità e gli esempi di matrici si trovano nell'Allegato A, un allegato informativo di tecniche esemplificative. Si tratta di una guida; non impone nulla.
Quindi, per gli output di qualsiasi metodo scelto, il testo certificabile richiede tre proprietà: coerenza, validità, comparabilità. Lo standard non definisce queste parole, quindi ciò che segue è la nostra argomentazione, basata sul loro significato letterale: la domanda ragionevole successiva è come il metodo predefinito si posizioni su ciascuna di esse, e la risposta è disponibile nella letteratura sottoposta a revisione paritaria da quasi due decenni.
La matrice rispetto alle tre parole dello standard
L'esame più citato del metodo è quello di Tony Cox, "What's Wrong with Risk Matrices?" (Risk Analysis, vol. 28, n. 2, aprile 2008), e i suoi risultati si allineano scomodamente bene con le tre parole della clausola 6.1.2.
Comparabile. Cox ha dimostrato che le matrici di rischio hanno una risoluzione limitata: tipicamente possono confrontare correttamente e senza ambiguità solo una piccola frazione di coppie di pericoli selezionati casualmente, e possono assegnare valutazioni identiche a rischi quantitativamente molto diversi. Due rischi che differiscono di un ordine di grandezza in termini di perdita attesa finiscono spesso nella stessa cella "alta". Un metodo i cui output non riescono a distinguere tra loro non produce risultati comparabili; produce un'etichetta condivisa che nasconde il confronto di cui avevate bisogno.
Valido. Lo stesso articolo ha mostrato che le matrici possono fare di peggio che non discriminare: possono assegnare erroneamente una valutazione qualitativa più alta a un rischio quantitativamente minore, e in condizioni realistiche, come quando frequenza e gravità sono negativamente correlate, la prioritarizzazione guidata dalla matrice può performare peggio del caso. La validità significa che gli output del metodo rispecchiano ciò che si sta misurando. Un metodo che può invertire la graduatoria di due rischi non lo fa.
Coerente. Le etichette ordinali sembrano oggettive perché tutti nella stanza usano le stesse parole. La realtà è che queste parole non trasmettono gli stessi numeri tra le diverse persone. Quando i ricercatori hanno testato come i lettori interpretano il linguaggio di incertezza calibrato dell'IPCC, le probabilità assegnate variavano ampiamente e spesso cadevano al di fuori degli intervalli che i termini erano stati definiti per rappresentare (Budescu, Broomell e Por, "Improving communication of uncertainty in the reports of the Intergovernmental Panel on Climate Change", Psychological Science, vol. 20, n. 3, pp. 299-308, 2009). Il termine "probabile" nella vostra scala sta facendo la stessa cosa: due valutatori competenti, lo stesso rischio, celle diverse, e il processo non ha modo di accorgersene, perché la discrepanza è nascosta all'interno dell'etichetta condivisa.
Messi insieme, questi punti rappresentano un'inversione scomoda. Il metodo scelto dai team perché sembra sicuro per l'audit è quello più difficile da difendere alla lettera della clausola che dovrebbe soddisfare. Dalla nostra esperienza, raramente attira una non conformità, e questo è esattamente il punto: la matrice è ottimizzata per essere riconoscibile in una revisione documentale, non per la decisione che il documento dovrebbe supportare.
Perché sopravvive comunque
Sarebbe troppo semplice liquidare tutto come pigrizia. La matrice sopravvive perché svolge un lavoro reale, solo non quello di misurare il rischio. È economica da produrre. Comprime il disaccordo, permettendo a un workshop di rischio di concludersi in tempo: due persone che discuterebbero per un'ora se una probabilità sia del 5% o del 25% accetteranno entrambe un "medio". Fornisce alla direzione una rappresentazione visiva in una pagina. Ed è familiare a qualsiasi revisore che ne abbia viste centinaia, il che, sospettiamo, è ciò che la maggior parte dei professionisti intende davvero con "l'auditor se lo aspetta".
Questi sono benefici sociali, e sono reali. L'errore è considerarli benefici analitici. La compressione che conclude il workshop anticipatamente è la stessa che cancella le informazioni che la clausola 6.1.2 vi chiede di preservare. Quando la matrice è l'analisi invece che una sintesi di essa, il registro dei rischi diventa un resoconto di quali discussioni sono state evitate.
Per quanto riguarda specificamente la paura dell'audit: dalla nostra interpretazione, l'audit di certificazione valuta la conformità allo standard e al processo che avete documentato voi stessi. Nulla nel testo certificabile nomina una tecnica, quindi se una matrice è attesa da qualche parte, questa aspettativa deriva dalla convenzione o dal vostro metodo documentato, non da ISO/IEC 27001 stessa. Ciò che un auditor può legittimamente chiedere è se i vostri criteri siano definiti, se il vostro metodo sia applicato come documentato, e se le esecuzioni ripetute siano comparabili. Queste domande sono indipendenti dal metodo, e un metodo migliore risponde loro in modo più convincente, non meno.
La decisione reale
Inquadrata onestamente, un team che sceglie una metodologia di rischio sotto ISO 27001 si trova di fronte a tre opzioni.
La prima è mantenere la matrice e rafforzarla: ancorare ogni etichetta a un intervallo quantitativo esplicito, definire la conseguenza in termini monetari o di downtime piuttosto che con aggettivi, e accettare le patologie documentate come il prezzo della leggibilità. Questo è difendibile, ma solo se l'ancoraggio è reale. Una matrice il cui "probabile" è legato a un intervallo numerico dichiarato è uno strumento diverso da una il cui "probabile" significa ciò che la stanza ha sentito quel giorno.
La seconda è la quantificazione completa nello stile di FAIR, l'approccio di analisi dei fattori pubblicato da The Open Group come gli standard Open FAIR: distribuzioni, simulazioni, curve di superamento delle perdite. Per molte organizzazioni di piccole e medie dimensioni, a nostro avviso, si tratta di un apparato eccessivo per le decisioni che devono prendere, e le competenze di calibrazione e modellazione che presuppone sono, dalla nostra esperienza, raramente disponibili internamente. Adottarlo male riproduce il problema della falsa precisione con più cifre decimali.
La terza opzione, e quella che sosteniamo, è la via di mezzo poco appariscente: dichiarare i criteri di accettazione del rischio in termini operativi (denaro, downtime, record esposti), stimare probabilità e impatto come intervalli calibrati piuttosto che come punti ordinali, e mantenere la griglia colorata, se la si mantiene, rigorosamente come livello di presentazione su un'analisi avvenuta altrove. Questo soddisfa le tre parole della 6.1.2 in modo più letterale del metodo predefinito, costa molto meno della quantificazione completa, e non cambia nulla di ciò che l'auditor vede se non che i numeri dietro l'immagine ora esistono.
Una doverosa precisazione vale per qualsiasi cambiamento: la clausola 6.1.2 chiede che le valutazioni ripetute siano comparabili, e un cambio di metodologia a metà ciclo vi fa perdere la comparabilità anno su anno. Cambiate in un momento naturale e documentate il motivo. Si tratta di un costo di transizione da gestire, non di una ragione per mantenere un metodo in cui non credete più.
La regola che vale la pena mantenere
Se l'argomento più forte a favore del vostro metodo di rischio è che assomiglia a quello di tutti gli altri, avete imparato qualcosa sugli audit e nulla sui vostri rischi. ISO 27001 è più permissiva, e più esigente, di quanto le si attribuisca: la sua clausola sui rischi non chiede mai la griglia, e chiede invece coerenza, validità e comparabilità, che sono esattamente le proprietà che la griglia è documentata per non possedere. I team che leggono la clausola invece di copiare l'artificio finiscono con un metodo che possono difendere in entrambe le aule, quella dell'audit e quella della revisione dell'incidente.
Capire cosa richiede effettivamente una clausola, invece di ciò che l'ecosistema dei template ha deciso che richieda, è gran parte del lavoro quotidiano di costruzione di un ISMS, ed è il tipo di domanda per cui ISMS Copilot è stato progettato per rispondere con il testo stesso dello standard. La matrice è opzionale. Le tre parole non lo sono.
Articoli correlati

Il ritardo sulle applicazioni ad alto rischio dell'AI Act non è una tregua
L'UE ha posticipato le scadenze per i sistemi ad alto rischio all'ottobre 2027 e agosto 2028. Il motivo di questa decisione dovrebbe cambiare il modo in cui lo interpretate: è un avvertimento sulla vostra portata operativa, non una proroga per la vostra roadmap.

AI per il GDPR: Automazione dei trasferimenti di dati transfrontalieri
Automatizza la mappatura, il monitoraggio e la documentazione dei trasferimenti di dati transfrontalieri dell'UE con l'AI: le decisioni finali spettano alle squadre legali.

Best Practice per la Preparazione degli Audit Multi-Framework
Centralizza i controlli, mappa i requisiti sovrapposti e automatizza le prove per ridurre i tempi e i costi degli audit su più framework di conformità.
