Il processo di gestione degli asset ha lo scopo di identificare e valutare gli asset aziendali rilevanti ai fini dei requisiti riguardanti la sicurezza delle informazioni (in termini di riservatezza, integrità e disponibilità) e per evidenziarne successivamente le possibili minacce e vulnerabilità, come fase propedeutica al processo di valutazione dei rischi.
Poiché gli asset possono essere di diversi tipi (risorse fisiche, risorse umane, processi), la metodologia di valutazione dei requisiti di sicurezza delle informazioni è differente per ogni tipo di asset.
Indice degli argomenti
Gestione degli asset: ecco come identificarli
Gli asset da considerare per la sicurezza delle informazioni possono essere classificati in due principali tipologie: asset primari e asset di supporto. Analizziamoli nel dettaglio.
Asset primari
- Processi di business e attività:
- processi la cui mancata operatività o degrado rende impossibile perseguire la mission dell’organizzazione;
- processi che includono trattamenti di informazioni particolari o che coinvolgono tecnologie proprietarie;
- processi che, se modificati, possono significativamente condizionare il compimento della mission aziendale;
- processi che sono necessari per soddisfare requisiti contrattuali, legali o regolamentari.
- Informazioni:
- informazioni vitali per la mission o il business aziendale;
- dati personali, come definiti nelle norme legali applicabili riguardanti la privacy;
- informazioni strategiche richieste per perseguire determinati obiettivi strategici;
- informazioni la cui raccolta, conservazione, trattamento e trasmissione richiedono tempi e costi rilevanti.
Asset di supporto
Per l’identificazione degli asset di supporto vengono considerati gli asset soggetti a vulnerabilità che possano danneggiare gli asset primari (processi e informazioni) compresi nel dominio di applicabilità del sistema di gestione per la sicurezza delle informazioni (ISMS).
Gestione degli asset: ecco come effettuare l’inventario
L’inventario degli asset fornisce una panoramica completa degli strumenti che compongono l’organizzazione e che sono coinvolti nei diversi trattamenti.
Tutti i beni aziendali rilevanti ai fini della sicurezza delle informazioni sono censiti e documentati in un inventario degli asset al fine di garantirne il controllo in termini di protezione del bene e per esigenze di manutenzione.
Ai fini della valutazione dei rischi, gli asset sono identificati per classi omogenee (tipologie di trattamenti, tipologie di apparati ecc.). Ai fini delle attività di manutenzione essi sono identificati per singolo elemento.
Ogni asset ha una funzione all’interno del processo aziendale che deve essere registrata in ogni sua variazione.
Per ogni asset deve essere definito un owner, identificato nella persona che ne assicura la protezione (ad esempio: per un server l’amministratore di sistema, per un file la persona che lo ha creato; per il personale il loro diretto superiore). Le macchine sono tutti i client e i server presenti in azienda. I software rappresentano un asset indipendente, il prodotto licenziato e utilizzato in azienda.
Per asset simili utilizzati da diverse persone (come laptop o telefoni cellulari), si definisce “owner” la persona che lo usa; per gli asset unici utilizzati da più persone, è il responsabile dell’unità organizzativa.
L’inventario viene aggiornato ad ogni intervenuta variazione di elementi dell’asset.
Se non si dispone di un software dedicato alla gestione degli asset e conseguente valutazione del rischio è possibile utilizzare la seguente check-list gestibile con un foglio Excel, le cui colonne potrebbero essere le seguenti (adattabili, ovviamente, alle varie realtà aziendali):
- ID dispositivo
- Descrizione dispositivo
- Categoria dispositivo (Categoria o Fisico)
- Ubicazione
- Indirizzo IP
- N° di serie
- Sicurezza delle informazioni (suddivisa in tre colonne: Riservatezza – Integrità – Disponibilità)
- Elenco trattamenti dei dati (che sono gestiti da ogni singolo dispositivo)
- Elenco minacce (in funzione dei trattamenti gestiti da ogni singolo dispositivo suddivise per Gravità e Probabilità).
- Elenco delle misure tecniche (che vengono adottate in funzione di ogni singola minaccia)
- Elenco degli utenti (che hanno in uso ogni singolo dispositivo).
Vediamo, quindi, alcune esempi non esaustivi della colonna Descrizione dispositivo:
- Server gestionale
- Server gestione paghe
- Server CRM
- Server gestione accessi
- Server posta elettronica
- Firewall e router
- Area cloud
- Sito Web
- Impianti Business Continuity
- Impianti fonia
- N°… PC Commerciali
- N°… PC Amministrazione
- N°… Notebook
- N°… Stampanti
- N°… Smartphone
- Software
- Virtual Machine
- Armadio
- Cassaforte
- Risorse Umane
La colonna Sicurezza delle informazioni, come abbiamo già detto, si suddivide in tre colonne con le seguenti possibili descrizioni:
- Riservatezza:
- Dati pubblicabili
- Dati riservati all’organizzazione
- Dati riservati ad un determinato gruppo di utenti, ufficio o reparto
- Dati riservati solo ad un determinato soggetto
- Integrità:
- Dati modificabili da tutti
- Modifica dei dati riservati all’organizzazione
- Modifica dei dati riservati ad un determinato gruppo di utenti, ufficio o reparto
- Modifica dei dati riservati solo ad un determinato soggetto
- Disponibilità:
- Non disponibili per una settimana
- Non disponibili da 1 a 2 giorni
- Non disponibili da 1 a 4 ore
- Sempre disponibili
Esempi non esaustivi della colonna Minacce:
- Minacce a sede e locali (allagamento, assenza corrente elettrica, calo di tensione, fulmini, incendio, terremoto, crollo edificio)
- Accessi digitali e fisici non autorizzati
- Furto di credenziali di autenticazione
- Malware – Ransomware
- Attacco DDoS
- Phishing
- Man in the middle e Man in the mail
- Software bug
- Guasto impianti di Business Continuity (UPS, gruppi elettrogeni)
- Perdita di dati accidentale o dolosa
- Software backdoor
- Data breach
- Mancata manutenzione digitale e fisica
Infine, vediamo alcuni esempi non esaustivi della colonna Misure tecniche:
- Antivirus
- Crittografia
- Firewall
- Anonimizzazione
- Pseudonimizzazione
- Disaster recovery
- Data loss prevention
- Sistema backup
- Sistema antispam
- Sistemi di identificazione e autentificazione
- Gestione accessi dipendenti
- Gestione accessi terze parti
- Sistemi antincendio, di allarme e antiallagamento
- Sistemi di videosorveglianza
- Sistemi di Business Continuity (UPS, gruppi elettrogeni)
- Sistemi di monitoraggio
- Serrature a chiave e/o a combinazione
- Manutenzioni programmate
Per ogni minaccia elencata deve essere indicata la gravità (bassa, moderata, importante, critica) e la probabilità che accada (bassa, media, alta).
Consigli finali
Si consiglia di predisporre l’elenco dei trattamenti, delle minacce, delle misure tecniche e degli utenti su diversi fogli di Excel e poi inserire gli elenchi in ogni colonna.
Quanto descritto è sicuramente uno schema operativo molto “basic” per costruire un inventario degli asset, ma può essere di aiuto a chi non ha la disponibilità di risorse/necessità di acquistare un software dedicato alla gestione della privacy.
