Non puoi proteggere ciò che non sai di avere: l’asset management traccia e gestisce tutti gli asset fisici e software attraverso acquisizione, inventario, manutenzione, aggiornamento e dismissione.
La classificazione va da “Pubblico” a “Top Secret” con aspettative stringenti su ubicazione, protezione e accesso all’asset. Prima serve categorizzare (raggruppare in categorie) e successivamente classificare (assegnare livello di riservatezza).
Ma chi dovrebbe essere l’asset owner? Spesso vengono assegnati a team IT o sicurezza per default: un bias tanto comodo quanto inefficace. I team tecnici gestiscono il contenitore, non il contenuto – hanno una prospettiva limitata di quell’asset e non ne colgono il valore di business.
Il modo più efficace è nominare come asset owners i business leader che influenzano processi, tecnologie e informazioni, comprendendo il valore e il contesto dove l’informazione crea valore. Ad esempio, i Top Managers per i sistemi revenue-generating e i middle managers per sistemi meno critici.
Ma come è possibile disturbare un direttore o un alto funzionario per informarlo del fatto che gli stiamo assegnando centinaia di asset?
Lo vedremo tra poco, analizzando le metodologie efficaci di asset management che identifichino gli owner corretti e implementino processi di classificazione che trasformino l’inventario da adempimento tecnico a vantaggio strategico[1].
Indice degli argomenti
Asset management: dal ciclo di vita alla governance
Come dicevamo, l’asset management si riferisce al processo di tracciamento e gestione di tutti gli asset fisici e software all’interno dell’organizzazione. Include l’acquisizione, l’inventario, la manutenzione, l’aggiornamento e la dismissione di qualsiasi asset: tutte fasi che richiedono attenzione particolare, perché ognuna presenta rischi e opportunità specifiche.
Una gestione formalizzata degli asset è resa critica dal fatto che qualsiasi cosa che porti valore può essere considerata un asset, richiedendo approcci strutturati per identificazione, valutazione e protezione.
La domanda fondamentale è: “Sai dove si trovano le tue informazioni/i tuoi dati?” È un dubbio che non esisterebbe se ci fossero asset owner davvero attivi nel ruolo – persone responsabili dell’immagazzinamento, gestione e protezione dell’informazione con competenze e autorità adeguate.
Il bias dell’assegnazione di default all’IT
Spesso gli asset owner sono persone tecniche dei team IT o della sicurezza: questa assegnazione di default è un bias comodo e inefficace. I team tecnici lavorano a supporto dei processi di business (gestiscono e presidiano il contenitore), non sono impegnati nelle vere operazioni di business legate a quei processi (coloro che gestiscono il contenuto).
I team tecnici hanno prospettiva limitata e non colgono pienamente il valore degli asset/informazioni assegnati loro. Sanno come funziona la tecnologia, ma non comprendono come questa crei valore di business.
Il modo più efficace per assegnare un asset è nominare come owner un business leader – persona che influenza i processi di business, le tecnologie, le informazioni e interagisce con questi asset. Questo tipo di persone non solo capisce il valore dell’informazione, ma conosce anche il contesto in cui l’informazione crea quel valore.
Spesso hanno anche approvato l’acquisto di un asset fisico, l’assunzione di una persona o la raccolta di tali dati, avendo quindi ownership naturale e comprensione del valore strategico. Ma come è possibile disturbare un direttore o un alto funzionario per informarlo del fatto che gli stiamo assegnando centinaia di asset? Semplice, lo si comunica e il business leader delegherà la gestione di quell’asset a qualcuno dei suoi riporti.
Criteri per la selezione degli asset owner
I business leader devono influenzare i processi, ma non devono essere così in alto nell’organigramma da avere troppe responsabilità a cui pensare. I Top Managers possono essere asset owners per tutti i sistemi che generano ricavi, mentre i middle managers (quelli appena sotto i Top Managers) possono esserlo per i sistemi meno critici.
Ognuno può delegare un proprio riporto in modo consapevole, distribuendo le responsabilità più operative a livelli appropriati, pur mantenendo l’accountability.
L’asset owner deve avere:
- Comprensione del valore business dell’asset
- Capacità di valutare l’impatto sul business se danneggiato o compromesso
- Autorità per definire la strategia di protezione più appropriata
- Accesso alle risorse necessarie per implementare le protezioni
Categorizzazione vs classificazione
Prima è necessario effettuare la categorizzazione, cioè gli asset vanno raggruppati in categorie. Una volta raggruppati, è più semplice associare a ogni gruppo un profilo di rischio (cioè classificarli) e le relative policy.
In questo modo, la categorizzazione abilita l’economia di scala nella gestione: invece di trattare ogni asset individualmente, si definiscono approcci standardizzati per categorie omogenee.
Il termine “classificazione” si riferisce all’azione di associare a un asset un livello di riservatezza, come “pubblico” o “top secret”.
La classificazione “top secret” contiene aspettative stringenti riguardo l’informazione, dove risiede, come viene protetta e chi vi può accedere. Quando una persona si imbatte nell’informazione, deve poter già conoscere (o reperire agevolmente) policy, procedure e comportamenti attesi banalmente leggendo l’etichetta.
Standard di classificazione internazionali
| COMMERCIALE | SICUREZZA NAZIONALE (USA) | NIST (USA) |
| C4 Segreto | TOP Secret (danni gravi) | Alto |
| C3 Confidenziale / Riservato | Segreto (danni seri) | Moderato |
| C2 Sensibile | Confidenziale (danni) | Basso |
| C1 Pubblico | Non classificato | – |
Framework di protezione a livelli
Un sistema strutturato definisce requisiti crescenti:
- STANDARD: livello minimo di fiducia nell’informazione.
- OWNER: controllo base con data governance.
- DIRECTED: protezione media con requisiti operazionali.
- PROTECTED: protezione alta con ambiente di produzione.
- CONTROLLED: protezione massima con monitoraggio automatizzato.
| STANDARD | OWNER | DIRECTED | PROTECTED | CONTROLLED |
| Livello minimo di fiducia nell’informazione | Data Governance (DG) | BASSO | MEDIO | ALTO |
| Requisiti minimi dell’ambiente | IT | Nessuno | Operazionale | Produzione |
| Processi minimi di monitoraggio della qualità dell’informazione | DG / IT | Nessuno | Manuale | Automatizzato |
| Requisiti minimi di presidio | DG | Essere owner | Essere owner, definire, mantenere mensilmente | Essere owner, definire, mantenere settimanalmente |
| Frequenza degli audit di governance | DG | Annuale | Annuale o semestrale | Trimestrale |
| Classificazioni di rischio | Risk & Security | Solo uso interno | Solo uso interno | PII, confidenziali |
Il valore economico degli asset e delle violazioni
Il valore degli asset da inserire nell’inventario è semplice da calcolare quando l’organizzazione può stabilire quanto ha pagato per ogni asset. Nel caso delle informazioni, il valore può essere desunto dal valore di qualcos’altro che l’informazione produce.
La perdita di un’informazione a seguito di violazione dei dati è calcolata da Ponemon Institute in circa 150 euro per singolo record, ma il costo non tiene conto di alcuni effetti collaterali causati dalla violazione, come la perdita del cliente o del contratto associato all’informazione.
Il vero impatto include perdita di reputazione, sanzioni legali, costi di remediation e opportunità mancate – spesso superiori al costo diretto della violazione.
Limitazioni del CISO nel processo di classificazione
Il CISO ha conoscenze e competenze limitate nel classificare le informazioni e altri asset che non gli appartengono: è un compito degli asset owner ed è una componente della Corporate Governance.
Il CISO fornisce framework e strumenti, ma la classificazione deve essere fatta da chi comprende il valore business.
In questo ambito, il ruolo del CISO si limita a fornire:
- Framework di classificazione standardizzati
- Tool e processi per l’inventario
- Training per gli asset owner
- Audit e compliance dei processi di classificazione
L’Inventory Process: fondamenta della protezione
L’Inventory Process è un insieme di policy, procedure e linee guida per creare e mantenere l’inventario degli asset e dei cambiamenti. È necessario avere almeno un inventario per gestire gli asset fisici e le informazioni: non puoi proteggere ciò che non sai di avere.
La protezione degli asset richiede che l’organizzazione definisca in anticipo le aspettative e i requisiti di protezione dei propri asset, basandosi sulla strategia di classificazione e sulla sensibilità dei dati.
Verso un asset management strategico
L’asset management efficace trasforma l’inventario da semplice adempimento tecnico a strumento strategico che ottimizza investimenti di protezione e massimizza il valore degli asset organizzativi.
Solo distribuendo la responsabilità di asset ownership ai business leader appropriati, con il supporto metodologico del CISO, si può costruire un sistema di protezione che rifletta realmente il valore e i rischi degli asset aziendali.
La lezione è chiara: l’asset management efficace richiede che chi comprende il valore business sia responsabile della protezione, supportato da framework tecnici e metodologici appropriati.
[1] Per approfondire le metodologie di selezione degli asset owner, i framework di classificazione e categorizzazione e gli strumenti per implementare inventory process efficaci, il Manuale CISO Security Manager fornisce guide operative per trasformare l’asset management da funzione tecnica a vantaggio strategico distribuito.
