Un asset è qualunque risorsa materiale o immateriale che porti valore – dal computer al brevetto, dal piano strategico alla persona chiave, dal marchio alla reputazione. E se porta valore, va protetto.
Ma come è possibile quantificare il valore di dati intangibili come la proprietà intellettuale o la reputazione?
La differenza tra quantitativo (valori misurabili numericamente) e qualitativo (descrizioni e percezioni) è fondamentale: i dati quantitativi sono oggettivi e automatizzabili, mentre quelli qualitativi utilizzano etichette come “Alto/Medio/Basso” o colori “Rosso/Giallo/Verde” per esprimere classificazioni.
Il tempo influenza la classificazione: quando sei andato dal parrucchiere la prima volta? Per il parrucchiere è un dato irrilevante che è meglio cancellare per non incorrere nelle sanzioni del GDPR, mentre per un social network è un dato storico fondamentale per profilare i gusti e la loro evoluzione.
La classificazione varia da “Pubblico” a “Segreto”, passando per “Sensibile” e “Confidenziale”, perché il costo della protezione potrebbe superare il valore dell’asset stesso e, quindi, essere irrazionale.
Proviamo, quindi, ad analizzare le metodologie efficaci di asset management e classificazione, trasformando la complessità della valutazione in sistema strutturato che ottimizza investimenti di protezione[1].
Indice degli argomenti
Asset management: definire ciò che porta valore
Come dicevamo, possiamo definire “asset” come qualunque risorsa materiale o immateriale che porta valore – a te personalmente o alla tua organizzazione.
Può essere il computer di casa tua, un brevetto, un piano strategico, una persona chiave, il tuo marchio: se ti porta valore, va da sé che devi proteggerlo.
Tangibile VS intangibile
L’asset può essere tangibile (quantificabile in termini numerici) oppure intangibile (non quantificabile). In quest’ultimo caso, il valore va comunque quantificato attraverso strategie alternative che trasformino percezioni in misurazioni.
Tangibile – Quantificabile:
- Computer e hardware IT
- Strutture fisiche e immobili
- Reti e infrastrutture
Intangibile – Non Quantificabile:
- Dati e informazioni
- Proprietà intellettuale e brevetti
- Reputazione e brand value
Quantitativo VS qualitativo
Quantitativo si riferisce a ciò che può essere misurato ed espresso numericamente, basato su numeri e valori economici, anche se non sempre è facile assegnare un numero preciso a una situazione o concetto.
Il vantaggio dei dati quantitativi è che sono oggettivi e possono essere facilmente automatizzati o analizzati utilizzando fogli di calcolo e strumenti statistici.
Ad esempio, le vendite possono essere rappresentate con il numero esatto di prodotti venduti o l’importo esatto dei ricavi generati – misurazioni precise che permettono analisi costi/benefici dettagliate.
Qualitativo è qualcosa che non si basa su numeri ma ricorre a descrizioni, percezioni, opinioni e altre informazioni non numeriche, soggettive e contestabili.
Ad esempio, se stiamo valutando la soddisfazione del cliente, un approccio qualitativo considera le recensioni dei clienti o le loro risposte a domande aperte in sondaggi.
Purtroppo, l’approccio qualitativo non consente facilmente di fare analisi costi/benefici, rendendo complessa la giustificazione degli investimenti in sicurezza presso il management.
Allora, per rendere i giudizi quantificabili, questo tipo di valutazione utilizza etichette come “Alto”, “Medio”, “Basso” o colori come “Rosso”, “Giallo”, “Verde” (la Matrice RAG – red, amber, green) che esprimono giudizi o classificazioni riconducibili a valori quantitativi (es. Rosso = 3).
L’importanza della classificazione strategica
È importante classificare asset e dati per poterli ordinare per valore quando si definiscono le priorità, ma anche per calcolare se vale la pena proteggerli: il costo della protezione dell’asset potrebbe superare il valore dell’asset stesso e quindi non sempre è conveniente investire in protezione.
I motivi e criteri per classificare gli asset possono variare secondo l’organizzazione e le circostanze. Uno dei fattori che influenzano la determinazione della classificazione è il tempo, che può trasformare radicalmente il valore di un dato.
Inoltre, lo stesso dato può essere completamente irrilevante per un business model e strategicamente cruciale per un altro.
La classificazione deve riflettere non solo la natura del dato, ma anche il contesto in cui viene utilizzato. Ad esempio, quando sei andato dal parrucchiere la prima volta nella tua vita? Per il tuo parrucchiere è un dato irrilevante e anzi, se è molto vecchio, dovrà cancellarlo ai sensi del GDPR.
Al contrario, per un social network è un dato fondamentale per profilare i tuoi gusti, come si evolvono nel tempo, nonché effettuare o validare previsioni sui gusti futuri.
Sistema di classificazione pratico
Dopo aver classificato gli asset, per conservare questa informazione basta un foglio di calcolo.
In modo quantitativo possiamo scrivere il valore economico, ma è anche importante determinarne qualitativamente la priorità attraverso etichette standard come quelle che seguono:
Ambito commerciale:
- C4: Segreto
- C3: Confidenziale/Riservato
- C2: Sensibile
- C1: Pubblico
Ambito militare:
- TOP Secret
- Segreto
- Confidenziale
- Sensibile/Non classificato
- Non classificato
Definizioni operative delle classificazioni
È utile, a questo punto, definire anche i differenti livello di accesso e divulgazione agli asset aziendali.
Livelli di accesso e divulgazione
- Segreto: indirizzato a una persona o specifico gruppo, non divulgabile oltre i destinatari. Ad esempio, un piano strategico aziendale.
- Confidenziale o Riservato: privato ma divulgabile previo accordo. Ad esempio, un’email di lavoro tra colleghi.
- Sensibile: può essere un dato personale oppure messaggio interno ai colleghi di tutta l’organizzazione. Richiede attenzione nella gestione ma non massima segretezza.
- Pubblico: tutto quello che può essere divulgato liberamente, come il contenuto del sito Internet dell’organizzazione.
Analisi costi-benefici della protezione
Il Return on Investment della sicurezza non è sempre immediato da calcolare, ma la classificazione accurata degli asset fornisce la base per valutazioni economiche fondate che giustifichino investimenti presso il management.
La classificazione deve supportare decisioni economiche informate: investire in protezione solo quando il valore dell’asset giustifica il costo della sua protezione.
È un approccio che richiede quantificazione anche degli asset intangibili attraverso metodologie appropriate.
L’asset management maturo
L’asset management efficace va oltre il semplice inventario di risorse per diventare strumento strategico che ottimizza investimenti di protezione basandosi sul valore reale degli asset organizzativi.
Inoltre, la classificazione deve essere dinamica, in modo da riflettere l’evoluzione del valore degli asset nel tempo e nei diversi contesti business, permettendo la riallocazione efficiente delle risorse di protezione.
Implementazione pratica
È possibile iniziare con foglio di calcolo per classificazione base, per poi evolvere verso sistemi più sofisticati quando il volume e la complessità degli asset lo richiedano. L’importante è iniziare a classificare sistematicamente piuttosto che cercare la perfezione immediatamente.
La classificazione degli asset deve integrarsi con i processi di risk management esistenti, in modo da fornire un input fondamentale per le valutazioni di rischio e le decisioni di investimento in sicurezza.
La lezione dell’asset management è chiara: non tutti gli asset sono uguali e non tutti meritano lo stesso livello di protezione.
La classificazione intelligente ottimizza investimenti di sicurezza concentrando risorse dove creano maggior valore.
[1] Per approfondire le metodologie di asset management, le tecniche di quantificazione degli asset intangibili e gli strumenti per implementare sistemi di classificazione dinamica, il Manuale CISO Security Manager fornisce framework operativi per trasformare la gestione degli asset da inventario statico a vantaggio competitivo dinamico.
