Costruire sistemi di asset management resilienti: modelli e processi

Definire i ruoli di Information Asset Owner (IAO) e Information Asset Manager (IAM) non basta. Per gestire davvero gli asset informativi in modo efficace, sicuro e conforme serve integrarli in una struttura organizzativa chiara, con regole precise, procedure operative e strumenti concreti.

Questo quinto e ultimo articolo della pentalogia, dedicata alla gestione degli asset, è una guida pratica, per costruire un sistema di asset management solido e resiliente, allineato agli standard ISO/IEC 27001:2022, alla NIS 2 (direttiva europea sulla cyber per aumentare la resilienza digitale delle infrastrutture critiche) e al GDPR (il Regolamento generale sulla protezione dei dati).

Dalla governance fino alle attività quotidiane, senza dimenticare le prospettive future. Ecco come intelligenza artificiale, machine learning e nuovi modelli di gestione diventano parte integrante di un asset management pensato per proteggere valore, dati e continuità operativa.

IAO e IAM, un modello operativo per asset management resilienti

La gestione degli asset informativi rappresenta una condizione necessaria per la sicurezza. Le responsabilità tra Information Asset Owner (IAO) e Information Asset Manager (IAM) si distribuiscono in modo preciso, con questo quinto e ultimo articolo entriamo finalmente nel cuore della costruzione organizzativa vera e propria.

Definire i ruoli è solo il punto di partenza. Se IAO e IAM restano funzioni teoriche, elencate solo nei documenti, il sistema non funziona. È invece indispensabile trasformare quelle funzioni in un modello operativo reale, vivo, integrato ogni giorno nei processi aziendali.

Questo significa:

• strutturare una governance chiara, in cui ogni persona sappia chi decide, chi esegue, chi controlla;
• definire processi formali, documentati, misurabili nel tempo e verificabili;
• integrare cultura, strumenti tecnologici e modelli operativi in modo coerente, senza lasciare spazi vuoti o ambiguità.

In questo articolo illustreremo, passo dopo passo:

• i modelli organizzativi più efficaci per integrare in modo concreto le funzioni di IAO e IAM, adattandoli alle diverse realtà aziendali;
• i processi chiave da implementare: dall’inventario degli asset alla gestione degli incidenti, fino alle attività quotidiane di monitoraggio;
• le regole operative indispensabili per mantenere il sistema funzionante giorno dopo giorno, senza interruzioni o improvvisazioni;
• le prospettive evolutive: come intelligenza artificiale, automazione e nuovi obblighi normativi stanno già trasformando il modo di gestire gli asset informativi, e perché oggi conviene prepararsi in anticipo.

Sistemi di asset management resilienti: quale modello organizzativo scegliere

Integrare davvero le funzioni di Information Asset Owner (IAO) e Information Asset Manager (IAM all’interno di un’organizzazione non significa solo nominarli formalmente. Occorre disegnare un modello organizzativo solido, coerente con la struttura aziendale, capace di vivere nel tempo.

La scelta del modello dipende da dimensioni, complessità e cultura interna. Ecco le tre configurazioni più diffuse:

• modello diretto: semplice, lineare, essenziale;
• matriciale: coordinamento e flessibilità;
• modello a comitato: la formula per i grandi gruppi.

Modello diretto: semplice, lineare, essenziale

In questo modello, l’IAO supervisiona direttamente uno o più IAM. È la soluzione naturale per organizzazioni medie, dove le linee di comando sono snelle e il numero di asset informativi è contenuto.

• punto di forza: decisioni rapide, comunicazione diretta tra chi decide e chi esegue;
• limite: quando l’organizzazione cresce, rischia di sovraccaricare l’IAO, che potrebbe perdere visione d’insieme.

Modello matriciale: coordinamento e flessibilità

Nel modello matriciale, gli IAM rispondono sia all’IAO sia ad altri manager funzionali, come il responsabile IT, il Compliance Officer o l’HR Manager. È la soluzione più adatta a grandi aziende con strutture articolate e multi-dipartimentali:

• vantaggio: integra la gestione degli asset con le altre funzioni strategiche dell’organizzazione, garantendo maggiore flessibilità;
• sfida: richiede processi di coordinamento e comunicazione più sofisticati. Senza regole chiare, può generare ambiguità e rallentamenti.

Modello a comitato: la formula per i grandi gruppi

Nelle organizzazioni più grandi, come gruppi aziendali o enti pubblici distribuiti su più sedi o business unit, si adotta spesso un modello a comitato. Qui più IAO coordinano le attività di diversi IAM, riunendosi periodicamente in organi collegiali.

• punto di forza: garantisce coerenza e uniformità delle policy tra unità diverse, mantenendo però una gestione locale operativa;
• rischio: senza una regolamentazione chiara del comitato, le decisioni strategiche possono rallentare, con impatti negativi sulla sicurezza e sulla compliance. Si rischia anche un eccesso di burocrazia laddove sono richieste decisioni veloci ed efficaci.

Indipendentemente dal modello scelto, ciò che conta è non lasciare mai spazi grigi. “Chi fa cosa” deve essere chiaro. Deve essere sempre documentato e tracciabile chi decide, chi implementa, chi controlla.

Il modello organizzativo non è un accessorio: è il telaio su cui si costruisce tutta la gestione degli asset.

I processi da integrare per asset management informativi resilienti

Indipendentemente dal modello organizzativo adottato – diretto, matriciale o a comitato – un sistema di gestione degli asset informativi funziona davvero solo se supportato da processi chiari, formalizzati e strutturati.

Non basta sapere chi fa cosa: bisogna sapere come farlo, quando farlo, con che strumenti e con quali verifiche. Ogni processo deve essere documentabile, misurabile e sottoponibile ad audit, con indicatori precisi (KPI) a garantirne l’efficacia e la continuità.

Inventario continuo e aggiornamento degli asset

Il primo pilastro è la costruzione e il mantenimento di un inventario degli asset completo e sempre aggiornato.

Non parliamo solo di server e computer: devono essere mappati hardware, software, dati, account utente, servizi cloud, sistemi gestiti da terze parti.

• Riferimenti normativi: ISO/IEC 27001:2022 (controllo 5.9), ISO/IEC 19770-1:2017, NIS 2 art. 21 (art. 24 del D-Lgs.138/2024).
• Frequenza di aggiornamento: almeno mensile, meglio se continua tramite strumenti di monitoraggio automatico.
• Responsabilità: l’IAM cura l’aggiornamento operativo, l’IAO supervisiona e convalida i dati, approvando eventuali modifiche strategiche.
• KPI suggeriti: livello di completezza degli inventari, rispetto della frequenza di aggiornamento degli inventari.

Valutazione periodica dei rischi sugli asset

Ogni asset, una volta inventariato, va valutato rispetto al rischio che rappresenta per l’organizzazione. Questo significa classificarlo per valore, criticità, esposizione a minacce interne ed esterne:

• frequenza: almeno semestrale, ma obbligatoria ogni volta che interviene una modifica significativa o si verifica un incidente;
• ruoli: lo IAM raccoglie i dati tecnici e operativi, l’IAO li esamina, approva e aggiorna le politiche di rischio aziendali;
• KPI suggeriti: rispetto della pianificazione della valutazione periodica corretta valutazione del rischio associato ad ogni asset, tempo di presa in carico delle misure di mitigazione, efficacia delle misure di mitigazione.

Incident response integrato con la gestione degli asset

Tutti gli asset, nessuno escluso, devono essere inclusi nei piani di gestione degli incidenti informatici.

Non esistono asset “minori” che possano essere trascurati. Il processo deve prevedere escalation ben definite tra IAM e IAO e una reportistica strutturata che consenta di documentare ogni passaggio;

• fonti di riferimento: Enisa Cybersecurity Incident Response Guide, NIS 2 Allegato I.
• punti chiave: procedure operative chiare, flussi informativi continui tra IAM e IAO, capacità di isolare e gestire rapidamente asset compromessi.
• KPI suggeriti: numero di incidenti gestiti correttamente, tempi medi e massimi di risposta.

Audit interni e verifiche di compliance

Per garantire che il sistema resti sempre efficace, è necessario prevedere almeno un audit interno annuale dedicato esclusivamente alla gestione degli asset informativi.

Si tratta di una verifica indipendente, strutturata, con obiettivi chiari e indicatori precisi:

• KPI suggeriti: rispetto della pianificazione di audit, tempo di presa in carico degli eventuali rilievi, efficacia della presa in carico dei rilievi;
• responsabilità: la funzione audit interna o il dipartimento compliance, con il coinvolgimento diretto di IAO e IAM per l’esecuzione e la revisione dei risultati.

Le regole operative quotidiane: come devono lavorare IAO e IAM

Avere processi strutturati è fondamentale. Ma da soli non bastano.

La vera sicurezza si costruisce infatti nella routine quotidiana: nelle azioni ripetute giorno dopo giorno, nei dettagli che non fanno notizia, ma garantiscono continuità e protezione reale.

Ecco perché, oltre ai grandi processi, ogni organizzazione deve definire regole pratiche e chiare che guidino il lavoro quotidiano di IAO e IAM.

Reporting e comunicazioni: dialogo continuo, senza vuoti

La relazione tra Information Asset Owner e Information Asset Manager vive di scambio continuo.
Nulla può essere lasciato all’improvvisazione.
Di seguito la descrizione della relazione:

• IAM all’IAO: ogni settimana, lo IAM deve inviare un report aggiornato che comprenda: stato degli inventari; log degli accessi agli asset critici; eventuali anomalie riscontrate; proposte operative e suggerimenti di miglioramento.

In caso di incidente critico, il principio è ancora più chiaro: lo IAM deve comunicare immediatamente con l’IAO, senza superare i 30 minuti dall’identificazione del problema:

• IAO allo IAM: almeno una volta al mese, l’IAO deve aggiornare formalmente lo IAM su: decisioni strategiche che impattano la gestione degli asset; approvazioni o variazioni nei piani di investimento e nelle priorità operative; introduzione di nuovi asset; eventuali nuove potenziali criticità e conseguentemente modifiche alle politiche aziendali di sicurezza degli asset.

Procedure standardizzate: ogni azione deve seguire regole scritte

Ogni modifica sugli asset deve avvenire seguendo procedure documentate, mai in modo estemporaneo. Questo garantisce sicurezza, tracciabilità, accountability.

Le principali procedure da formalizzare riguardano:

• l’introduzione di nuove famiglie di asset (che prevede l’individuazione dei rischi associati alla famiglia);
• l’aggiunta, modifica o eliminazione di un asset dall’inventario;
• l’aggiornamento dei livelli di classificazione degli asset in base a valore e criticità;
• la revisione periodica delle misure di sicurezza applicate agli asset, almeno ogni sei mesi o dopo un incidente.

Formazione continua: nessuno è mai “a posto”

Sicurezza e gestione degli asset non sono materie statiche. Tecnologie, normative, minacce evolvono costantemente. Ecco perché sia l’IAO sia lo IAM devono essere coinvolti in percorsi di aggiornamento formale e strutturato:

• obiettivo minimo: almeno una sessione di formazione specifica ogni anno, documentata e inserita nei piani formativi aziendali;
• contenuti da coprire: aggiornamenti ISO/IEC 27001, evoluzioni della NIS 2, Gdpr, nuovi standard internazionali, nuove tecnologie (AI, machine learning).

Prospettive future delle funzioni IAO – IAM: un’evoluzione già iniziata

Oggi le figure di Information Asset Owner (IAO) e Information Asset Manager (IAM) stanno guadagnando spazio e riconoscimento nei modelli organizzativi più maturi, soprattutto laddove si lavora in conformità con ISO/IEC 27001, NIS 2 e GDPR.

Ma la vera trasformazione è appena cominciata. Il loro valore operativo e strategico è destinato ad aumentare sensibilmente nei prossimi anni, spinto da almeno tre grandi forze in movimento.

La prima riguarda l’integrazione sempre più profonda tra gestione degli asset e intelligenza artificiale. Strumenti di asset management avanzati stanno già adottando logiche di AI per monitorare automaticamente configurazioni, identificare anomalie e prevedere rischi prima ancora che si manifestino. Questo condizionerà il lavoro quotidiano dell’IAM, che dovrà acquisire nuove competenze legate all’AI Operations (AIOps).

Parallelamente, l’IAO sarà chiamato a governare queste innovazioni con lucidità strategica: non si tratterà solo di integrare nuovi strumenti, ma di valutarne l’impatto reale su sicurezza, privacy e conformità etica, decidendo dove e quando sia opportuno utilizzarli.

Evoluzione normativa, il secondo motore di cambiamento

Il quadro già complesso delineato da GDPR, NIS 2 e AI Act è destinato ad arricchirsi ulteriormente. Sono già in discussione nuove direttive europee e regolamenti nazionali, in particolare su temi come il cloud pubblico, la crittografia avanzata e la cosiddetta quantum resilience.

Questo significa che IAO e IAM dovranno non solo mantenersi aggiornati, ma rivedere ciclicamente processi, policy e strumenti per garantire la piena conformità ai nuovi obblighi.

Asset managenent informativi resilienti

La gestione degli asset informativi diventerà sempre meno un ambito “tecnico” e sempre più una funzione di governance strategica e legale.

Infine, la tendenza più chiara a livello internazionale è il consolidamento definitivo di questi modelli nei sistemi di gestione formali.

È ragionevole pensare che ISO/IEC 27001 e più in generale altri standard della famiglia ISO/IEC 27001 continueranno a rafforzare i propri requisiti sull’asset management, introducendo richieste sempre più specifiche e verificabili.

Lo stesso vale per il NIST Cybersecurity Framework, che già nella sua versione 2.0 ha codificato in modo esplicito la funzione “Govern” – una funzione che presuppone, di fatto, la distinzione tra chi comanda e chi esegue, tra chi definisce le regole e chi le applica.

La direzione è chiara: si va verso modelli sempre più dettagliati, formalizzati e certificabili, nei quali la presenza di ruoli distinti come IAO e IAM non sarà più solo una buona pratica, ma un requisito oggettivo di compliance. E le organizzazioni che non si adegueranno rischieranno non solo sotto il profilo normativo, ma anche in termini di competitività e capacità di proteggere davvero il proprio patrimonio informativo.

Il modello IAO – IAM per affrontare la sfida

In qualunque settore si operi, non esiste sicurezza digitale, protezione dei dati o reale conformità normativa senza una gestione seria e strutturata degli asset informativi.

Non è un argomento per specialisti o per tecnici: è una questione di governo aziendale, di responsabilità strategica, di sopravvivenza sul mercato.

Il modello IAO- IAM rappresenta oggi la soluzione più concreta, efficace e praticabile per affrontare questa sfida.

Da un lato c’è l’Information Asset Owner, che fissa la rotta e si assume la
responsabilità delle decisioni; dall’altro, l’Information Asset Manager, che ogni giorno, con metodo, monitora, aggiorna, controlla. Strategia e comando da una parte, operatività quotidiana dall’altra.

Due funzioni diverse ma indissolubilmente connesse.

E non si tratta di teorie. Infatti ISO/IEC 27001:2022, ISO/IEC 19770-1:2017, NIST CSF 2.0 e la NIS 2 recepita con il D.lgs. 138/2024 già lo prevedono.

Chi prende sul serio la sicurezza e la compliance oggi non può più permettersi di ignorare queste figure o di trattarle come semplici etichette su un organigramma.

Le domande giuste da porsi

Una volta concluso questo percorso, ecco le domande, semplici e concrete, che bisognerebbe porsi:

• nella propria organizzazione, questi ruoli esistono davvero?
• esiste un responsabile formale, riconosciuto, che guida le politiche sugli asset informativi?
• i ruoli gerarchici sono definiti e noti?
• sono definiti modelli e procedure a supporto delle attività?
• esiste un referente operativo, con compiti chiari, processi documentati, responsabilità definite?
• sono previsti percorsi di aggiornamento, formazione continua, verifica interna?

Se anche solo una di queste risposte è negativa, forse è il momento di intervenire.