Gestione degli asset, identificarli e valutarli per la compliance GDPR: la check-list

Il processo di gestione degli asset ha lo scopo di identificare e valutare gli asset aziendali rilevanti ai fini dei requisiti riguardanti la sicurezza delle informazioni (in termini di riservatezza, integrità e disponibilità) e per evidenziarne successivamente le possibili minacce e vulnerabilità, come fase propedeutica al processo di valutazione dei rischi.

Poiché gli asset possono essere di diversi tipi (risorse fisiche, risorse umane, processi), la metodologia di valutazione dei requisiti di sicurezza delle informazioni è differente per ogni tipo di asset.

Gestione degli asset: ecco come identificarli

Gli asset da considerare per la sicurezza delle informazioni possono essere classificati in due principali tipologie: asset primari e asset di supporto. Analizziamoli nel dettaglio.

Asset primari

• Processi di business e attività:

1. processi la cui mancata operatività o degrado rende impossibile perseguire la mission dell’organizzazione;
2. processi che includono trattamenti di informazioni particolari o che coinvolgono tecnologie proprietarie;
3. processi che, se modificati, possono significativamente condizionare il compimento della mission aziendale;
4. processi che sono necessari per soddisfare requisiti contrattuali, legali o regolamentari.

• Informazioni:

1. informazioni vitali per la mission o il business aziendale;
2. dati personali, come definiti nelle norme legali applicabili riguardanti la privacy;
3. informazioni strategiche richieste per perseguire determinati obiettivi strategici;
4. informazioni la cui raccolta, conservazione, trattamento e trasmissione richiedono tempi e costi rilevanti.

Asset di supporto

Per l’identificazione degli asset di supporto vengono considerati gli asset soggetti a vulnerabilità che possano danneggiare gli asset primari (processi e informazioni) compresi nel dominio di applicabilità del sistema di gestione per la sicurezza delle informazioni (ISMS).

Gestione degli asset: ecco come effettuare l’inventario

L’inventario degli asset fornisce una panoramica completa degli strumenti che compongono l’organizzazione e che sono coinvolti nei diversi trattamenti.

Tutti i beni aziendali rilevanti ai fini della sicurezza delle informazioni sono censiti e documentati in un inventario degli asset al fine di garantirne il controllo in termini di protezione del bene e per esigenze di manutenzione.

Ai fini della valutazione dei rischi, gli asset sono identificati per classi omogenee (tipologie di trattamenti, tipologie di apparati ecc.). Ai fini delle attività di manutenzione essi sono identificati per singolo elemento.

Ogni asset ha una funzione all’interno del processo aziendale che deve essere registrata in ogni sua variazione.

Per ogni asset deve essere definito un owner, identificato nella persona che ne assicura la protezione (ad esempio: per un server l’amministratore di sistema, per un file la persona che lo ha creato; per il personale il loro diretto superiore). Le macchine sono tutti i client e i server presenti in azienda. I software rappresentano un asset indipendente, il prodotto licenziato e utilizzato in azienda.

Per asset simili utilizzati da diverse persone (come laptop o telefoni cellulari), si definisce “owner” la persona che lo usa; per gli asset unici utilizzati da più persone, è il responsabile dell’unità organizzativa.

L’inventario viene aggiornato ad ogni intervenuta variazione di elementi dell’asset.

Se non si dispone di un software dedicato alla gestione degli asset e conseguente valutazione del rischio è possibile utilizzare la seguente check-list gestibile con un foglio Excel, le cui colonne potrebbero essere le seguenti (adattabili, ovviamente, alle varie realtà aziendali):

1. ID dispositivo
2. Descrizione dispositivo
3. Categoria dispositivo (Categoria o Fisico)
4. Ubicazione
5. Indirizzo IP
6. N° di serie
7. Sicurezza delle informazioni (suddivisa in tre colonne: Riservatezza – Integrità – Disponibilità)
8. Elenco trattamenti dei dati (che sono gestiti da ogni singolo dispositivo)
9. Elenco minacce (in funzione dei trattamenti gestiti da ogni singolo dispositivo suddivise per Gravità e Probabilità).
10. Elenco delle misure tecniche (che vengono adottate in funzione di ogni singola minaccia)
11. Elenco degli utenti (che hanno in uso ogni singolo dispositivo).

Vediamo, quindi, alcune esempi non esaustivi della colonna Descrizione dispositivo:

1. Server gestionale
2. Server gestione paghe
3. Server CRM
4. Server gestione accessi
5. Server posta elettronica
6. Firewall e router
7. Area cloud
8. Sito Web
9. Impianti Business Continuity
10. Impianti fonia
11. N°… PC Commerciali
12. N°… PC Amministrazione
13. N°… Notebook
14. N°… Stampanti
15. N°… Smartphone
16. Software
17. Virtual Machine
18. Armadio
19. Cassaforte
20. Risorse Umane

La colonna Sicurezza delle informazioni, come abbiamo già detto, si suddivide in tre colonne con le seguenti possibili descrizioni:

• Riservatezza:

1. Dati pubblicabili
2. Dati riservati all’organizzazione
3. Dati riservati ad un determinato gruppo di utenti, ufficio o reparto
4. Dati riservati solo ad un determinato soggetto

• Integrità:

1. Dati modificabili da tutti
2. Modifica dei dati riservati all’organizzazione
3. Modifica dei dati riservati ad un determinato gruppo di utenti, ufficio o reparto
4. Modifica dei dati riservati solo ad un determinato soggetto

• Disponibilità:

1. Non disponibili per una settimana
2. Non disponibili da 1 a 2 giorni
3. Non disponibili da 1 a 4 ore
4. Sempre disponibili

Esempi non esaustivi della colonna Minacce:

1. Minacce a sede e locali (allagamento, assenza corrente elettrica, calo di tensione, fulmini, incendio, terremoto, crollo edificio)
2. Accessi digitali e fisici non autorizzati
3. Furto di credenziali di autenticazione
4. Malware – Ransomware
5. Attacco DDoS
6. Phishing
7. Man in the middle e Man in the mail
8. Software bug
9. Guasto impianti di Business Continuity (UPS, gruppi elettrogeni)
10. Perdita di dati accidentale o dolosa
11. Software backdoor
12. Data breach
13. Mancata manutenzione digitale e fisica

Infine, vediamo alcuni esempi non esaustivi della colonna Misure tecniche:

1. Antivirus
2. Crittografia
3. Firewall
4. Anonimizzazione
5. Pseudonimizzazione
6. Disaster recovery
7. Data loss prevention
8. Sistema backup
9. Sistema antispam
10. Sistemi di identificazione e autentificazione
11. Gestione accessi dipendenti
12. Gestione accessi terze parti
13. Sistemi antincendio, di allarme e antiallagamento
14. Sistemi di videosorveglianza
15. Sistemi di Business Continuity (UPS, gruppi elettrogeni)
16. Sistemi di monitoraggio
17. Serrature a chiave e/o a combinazione
18. Manutenzioni programmate

Per ogni minaccia elencata deve essere indicata la gravità (bassa, moderata, importante, critica) e la probabilità che accada (bassa, media, alta).

Consigli finali

Si consiglia di predisporre l’elenco dei trattamenti, delle minacce, delle misure tecniche e degli utenti su diversi fogli di Excel e poi inserire gli elenchi in ogni colonna.

Quanto descritto è sicuramente uno schema operativo molto “basic” per costruire un inventario degli asset, ma può essere di aiuto a chi non ha la disponibilità di risorse/necessità di acquistare un software dedicato alla gestione della privacy.