L’Asset Security non è un concetto astratto che riguarda solo i file: è una disciplina fisica che lega indissolubilmente il dato al supporto che lo ospita.
Un principio fondamentale stabilisce che le classificazioni degli asset fisici devono ereditare la classificazione più alta dei dati che elaborano. In altre parole: se un laptop da 500 euro elabora un singolo file “Top Secret”, quel laptop diventa un asset “Top Secret”. Deve essere protetto, tracciato e smaltito come se fosse un’arma, non come se fosse un pezzo di plastica.
Eppure, durante i miei anni di servizio operativo mi è capitato spesso di vedere server ultra-protetti da firewall di nuova generazione, con uno stack di sicurezza a prova di hacker, lasciati fisicamente accessibili in stanze con la porta aperta. Oppure hard disk dismessi gettati in scatoloni non sorvegliati.
C’è un paradosso nella sicurezza moderna: ci concentriamo sui bit, ma poi ci dimentichiamo gli atomi.
L’insegnamento che si può trarre è sull’importanza critica dei controlli fisici e della gestione del ciclo di vita dell’hardware, dimostrando come procedure apparentemente semplici come l’etichettatura corretta siano ancora oggi il fondamento della protezione delle informazioni classificate[1].
Indice degli argomenti
Asset Security: il potere dell’adesivo
Sembra banale, quasi infantile, ma una delle misure di sicurezza più efficaci in ambito governativo e militare è l’uso di etichette adesive colorate applicate sull’hardware. Un adesivo rosso con scritto “SEGRETO” appiccicato sul frontale di un server o sulla scocca di un hard disk esterno comunica immediatamente a chiunque lo maneggi qual è il livello di attenzione richiesto per quell’asset.
Questa tecnica sfrutta la psicologia cognitiva: un amministratore di sistema stanco, alle 3 di notte, potrebbe sbagliare una configurazione logica, ma difficilmente ignorerà un segnale visivo fisico che urla “ATTENZIONE!!!”.
Inoltre, l’etichettatura fisica previene l’errore più comune: collegare un dispositivo classificato a una rete pubblica. Se vedo un adesivo rosso, so che quel cavo di rete non deve andare nello switch connesso a Internet. È una forma di “air gap psicologico” che funziona.
Il ciclo di vita: dalla culla alla tomba (ed eventuale resurrezione)
L’Asset Security non è una fotografia statica, ma un film. Le informazioni nascono, vivono, invecchiano e muoiono. Gestire questo ciclo è vitale per ottimizzare i costi:
- Creazione e Classificazione: Appena il dato nasce, deve ricevere un’etichetta. Se non lo facciamo subito, diventerà un “dato orfano” ingovernabile.
- Gestione e Archiviazione: I dati attivi stanno su dischi veloci e costosi; i dati storici devono migrare su storage economici. Senza Data Lifecycle Management, i costi dello storage esplodono inutilmente.
- Declassificazione: Un dato “Segreto” lo è per sempre? Spesso no. Piani strategici di 5 anni fa oggi sono storia. Declassificare (downgrading) è fondamentale per ridurre i costi di protezione. Proteggere tutto al massimo livello significa, in realtà, non proteggere nulla.
- Distruzione: Come abbiamo visto parlando di Asset Disposal, la fine vita è il momento più critico. Il ciclo si chiude solo quando abbiamo la certezza matematica che il dato non sia più recuperabile.
Gestione dinamica in un mondo che cambia
Le classificazioni non possono essere scolpite nella pietra. Informazioni apparentemente innocue possono diventare critiche a seguito di cambiamenti geopolitici o normativi.
Le organizzazioni mature implementano processi di revisione periodica che considerano l’evoluzione del contesto. Infatti, il valore di un asset non è intrinseco, è contestuale. Una lista clienti in un mercato monopolista vale poco: la stessa lista in un mercato aggressivo vale milioni.
Costruire una sicurezza sostenibile significa evitare sia la sotto-protezione degli asset critici (che porta al disastro), sia la sovra-protezione delle informazioni di routine (che porta alla paralisi operativa e allo spreco di budget).
L’adesivo sul server non è solo burocrazia: è l’ultimo baluardo fisico che ancora oggi, nell’era dell’IA e del cloud, può fare la differenza tra un incidente gestito e una catastrofe nazionale.
[1] Per approfondire le metodologie di gestione del ciclo di vita delle informazioni e gli standard fisici di protezione degli asset, il Manuale CISO Security Manager fornisce i framework operativi per implementare una sicurezza a 360 gradi, che copre dal bit al bullone.
