Cosa fa#
Il risk management gestisce i rischi di un'organizzazione. Ogni termine descrive uno strumento, un concetto o un processo diverso — confonderli è il trabocchetto classico dell'esame.
TL;DR#
Risk register → DOCUMENTO che elenca i rischi
Risk tolerance → CONCETTO: quanto rischio accettiamo
Risk transfer → STRATEGIA: sposto il rischio a terzi
Risk analysis → PROCESSO: valuto e misuro i rischiI quattro termini#
| Termine | Cos'è | Cosa contiene/fa | Exam trap |
|---|---|---|---|
| Risk register | Documento | Lista rischi, owner, likelihood, impact, soglie | È un documento, non un processo |
| Risk tolerance | Concetto | Livello massimo di rischio accettabile dall'org | È una soglia, non un documento |
| Risk transfer | Strategia | Spostare il rischio a terzi — assicurazione, outsourcing | È una strategia, non un documento |
| Risk analysis | Processo | Valutare probabilità e impatto dei rischi | È un processo, non un documento |
Important
Quando la domanda dice "document", "track", "list", "responsible parties" → risk register. Quando dice "how much risk the org accepts" → risk tolerance. Quando dice "insurance" o "third party" → risk transfer. Quando dice "evaluate" o "assess" → risk analysis.
Risk register — dettaglio#
Il risk register è l'artefatto centrale del risk management. Ogni riga è un rischio:
| Campo | Contenuto |
|---|---|
| Risk | Descrizione del rischio |
| Owner | Chi è responsabile di gestirlo |
| Likelihood | Probabilità che accada |
| Impact | Danno se accade |
| Threshold | Soglia oltre cui bisogna agire |
| Mitigation | Controllo in atto |
Strategie di risposta al rischio#
| Strategia | Cosa fa | Esempio |
|---|---|---|
| Accept | Accetta il rischio consapevolmente | Rischio basso, costo mitigazione troppo alto |
| Transfer | Sposta il rischio a terzi | Cyber insurance, outsourcing |
| Mitigate | Riduce probabilità o impatto | Patch, firewall, MFA |
| Avoid | Elimina l'attività rischiosa | Non raccogliere dati che non servono |
Collegato a#
- system — governance e risk come fondamenta della security
- security-controls-types — i controlli come strumento di mitigazione
- incident-response-lifecycle — il risk register informa le priorità IR
