L’inventario degli asset è un elenco costituito dai seguenti campi: id, asset, classe dell’asset, livello di criticità delle informazioni, etc. Nell’elenco della tabella Excel vengono indicati l’Asset Manager e gli autorizzati all’impiego dell’asset
Cosa sono esattamente gli asset della sicurezza di cui parla la ISO 27001? Quanto deve essere dettagliato l’inventario e quali informazioni deve riportare? A queste domande la Norma non dà una risposta precisa e l’azienda è libera di creare l’inventario delle risorse di cui dispone per elaborare e proteggere le informazioni, nella maniera più funzionale agli obiettivi di sistema.
Se pensiamo agli asset come dei “beni” o delle “risorse” con i quali elaboriamo e proteggiamo le informazioni allora possiamo includere nell’inventario degli asset la rete, i server, i dispositivi di rete, i computer, gli archivi cartacei, i software antivirus, etc. Talora, nell’inventario degli asset sono inserite anche le informazioni stesse da proteggere.
L’inventario degli asset previsto dal controllo 8 della Annex A della ISO 27001 può essere realizzato in maniera semplice tenendo presente le tre seguenti necessità:
- L’asset deve essere identificato
- L’asset deve essere calato nel contesto funzionale dell’azienda
- L’asset deve essere gestito e cioè protetto dai rischi relativi alla riservatezza, all’integrità e alla disponibilità delle informazioni
Nell’esempio riportato in basso, l’asset è facilmente identificato attraverso l’attribuzione di un numero identificativo.
Nell’inventario, tutti gli asset di sicurezza sono stati raggruppati per classi in maniera tale che le policy di sicurezza potessero essere rivolte alla protezione di asset con specifiche caratteristiche in comune.
Le classi degli asset che suggeriamo di adottare sono le seguenti:
- Informazioni
- Rete e comunicazioni
- Software
- Dispositivi per l’elaborazione
- Sedi e archivi
- Impianti e dispositivi di sicurezza
Dal punto di vista funzionale, l’inventario permette di inquadrare l’asset all’interno dell’organizzazione stabilendo:
- Il livello di criticità delle informazioni ad esso inerenti
- L’etichetta di sicurezza delle informazioni
- Se si tratta o meno di un asset removibile (rem)
- A chi è stata affidata la responsabilità dell’asset
- Chi sono coloro che sono autorizzati al suo utilizzo (personale impegnato in processi primari, di supporto, di sicurezza o persone esterne)
- Se l’asset appartiene all’azienda oppure è fornito dall’esterno (outsourcing)
- Se l’asset è impiegato anche in regime di telelavoro
Un buon inventario degli asset, in cui ciascun asset è ben definito nella sua collocazione funzionale in azienda, permette di organizzare in maniera più oculata la protezione delle informazioni.
Nell’esempio riportato in alto, in corrispondenza di ciascun asset sono indicati anche i controlli di sicurezza applicati per tenere sotto controllo i rischi per la riservatezza, l’integrità logica, l’integrità fisica e la disponibilità.
