LA GUIDA PRATICA

Asset management: ecco perché è importante avere piena contezza degli asset aziendali

Fino al secolo scorso gli asset aziendali erano allocati all’interno di un ben definito perimetro che rendeva agevole impostare una strategia di difesa e protezione, con un approccio Defense in Depth. Oggi quella “comfort zone” non esiste più. Ecco come svolgere efficacemente un asset management in un cotesto multiforme ed eterogeneo

01 Dic 2021
A
Giuseppe Alverone

DPO dell'Arma dei Carabinieri. Certificato UNI 11697:2017

Nell’attuale era digitale le organizzazioni pubbliche e private possono ritenersi sicure solo se hanno una strategia di sicurezza basata su un’efficace asset management ossia su una completa conoscenza e una gestione integrata dei loro asset : “conoscere rende liberi”, insegnava Socrate nel V secolo a.C., oggi in piena “quarta rivoluzione”[1] possiamo aggiungere, come complemento dell’insegnamento socratico, che “conoscere rende sicuri”.

Per comprendere l’importanza di questo insegnamento è utile ricordare che, fino al secolo scorso, quindi in anni non lontani, gli asset aziendali erano allocati all’interno di un ben definito perimetro che rendeva agevole impostare una strategia di difesa e protezione, facendo riferimento all’approccio Defense in Depth (Difesa in Profondità).

Oggi quella “comfort zone” purtroppo non esiste più. Il contesto in cui operano le aziende è diventato composito, multiforme ed eterogeneo, tanto da rendere molto difficile avere piena contezza e gestire gli asset che supportano i processi critici di business ed i relativi rischi associati.

Un’utilissima guida per svolgere efficacemente tale delicata funzione aziendale è offerta dal Framework Nazionale per la Cybersecurity e la Data Protection Edizione 2019, stilato dal CIS della Sapienza e dal CINI.

Inventario degli asset per la sicurezza delle informazioni: le linee guida

Asset management: dall’approccio Defence in Depth allo Zero Trust

Ricordiamo che “asset” è qualunque elemento materiale o immateriale che possa avere un valore economico per una persona o un’organizzazione.

Gli asset di un’organizzazione sono quindi:

  • le risorse umane e materiali necessarie allo sviluppo dei processi aziendali;
  • i dati e le informazioni, che sono il fondamento dei processi decisionali e costituiscono il patrimonio informativo aziendale;
  • i beni immateriali, quali ad esempio l’immagine e la reputazione.

Questo complesso e prezioso patrimonio aziendale, fino al secolo scorso, era allocato all’interno di un ben definito perimetro, che rendeva agevole impostare una strategia di difesa e protezione, facendo riferimento all’approccio Defense in Depth – DiD – (Difesa in Profondità), che prevede l’adozione di meccanismi di difesa e protezione dei dati e delle informazioni organizzati “a strati”, in modo che, se un meccanismo fallisce, un altro interviene immediatamente per contrastare un attacco.

WHITEPAPER
Comunicazioni professionali: le tue sono davvero protette?
Legal
Sicurezza

Questo approccio è noto anche come “approccio del castello”, perché rispecchia le difese “a strati” di un castello medievale dove, per entrare, bisognava superare diversi livelli di protezione (fossato, ponte levatoio ecc.). Si poteva quindi ottenere una buona postura di sicurezza adottando firewall di ultima generazione, sistemi di rilevamento delle intrusioni di rete, server proxy e via dicendo.

Oggi quella “comfort zone” non esiste più. Il contesto in cui operano le aziende è diventato composito, multiforme ed eterogeneo: infatti, il ricorso al cloud computing (IaaS, PaaS e SaaS), l’uso diffuso e massivo di dispositivi mobili, l’estensione delle supply chains e l’IoT hanno reso la struttura di tutte le aziende, anche quelle piccole e medie, molto complessa e quindi tanto vulnerabile e veramente difficile da proteggere.

Questo scenario così problematico postula la necessità di definire strategie difensive facendo riferimento all’approccio Zero Trust, introdotto circa 10 anni fa da John Kindervag, Vice Presidente e principale analista di Forrester. Tale strategia si basa sull’idea che nessuno dovrebbe essere automaticamente considerato attendibile, anche se si trova all’interno del perimetro aziendale o utilizza una rete attendibile. Tutte le entità devono essere autenticate prima di accedere a segmenti del Network aziendale i quali devono essere costantemente presidiati.

Asset management: presupposto e fondamento di un’efficace strategia di sicurezza

È evidente che in un contesto così complesso, è fondamentale avere piena contezza di tutti gli asset aziendali, soprattutto infrastrutture, devices e dati, che devono essere precisamente e sistematicamente:

  • inventariati, poiché, ovviamente, non si può proteggere quello che non si sa di possedere;
  • gestiti, poiché bisogna valutare e trattare tutti i rischi ai quali gli asset sono esposti. Infatti qualsiasi risorsa ICT potrebbe essere soggetta a rischi o vulnerabilità che possono comportare una violazione del sistema IT nel suo complesso, nel caso in cui eventuali attaccanti compromettano una singola risorsa, utilizzandola come testa di ponte per lanciare un attacco più ampio.

Elementi importanti da considerare quando si sviluppa una proficua attività di asset management sono:

  • L’inventario: quali risorse ICT e quali dati possiede l’impresa e dove sono collocati?
  • L’attribuzione di ruoli e responsabilità: “chi” e “come” utilizza queste risorse e questi dati?
  • La stima dell’importanza degli asset: quanto è importante ogni risorsa in relazione ad altre risorse?
  • La definizione e l’implementazione di procedure, i.e. regole di utilizzo accettabili per risorse e dati;
  • La protezione: sono adottate misure tecniche ed organizzative di protezione adeguate?

Un’utilissima guida su come è possibile identificare e gestire dinamicamente in modo completo, efficiente ed efficace risorse ICT e dati, è offerta dal Framework Nazionale per la Cybersecurity e la Data Protection”- Edizione 2019.

Il Digital Asset Management per la gestione strategica dei contenuti aziendali: profili giuridici

Il Framework Nazionale per la Cybersecurity e la Data Protection

Il Framework Nazionale per la Cybersecurity e la Data Protection”, Edizione 2019 è stato realizzato dal Centro di ricerca di cyber intelligence and information security (CIS) dell’Università Sapienza di Roma e dal Cybersecurity national lab del Consorzio interuniversitario nazionale per l’informatica (CINI), con il supporto del Garante per la protezione dei dati personali e del Dipartimento delle informazioni per la sicurezza (DIS), quale strumento di supporto per le organizzazioni pubbliche e private in materia di strategie e processi volti alla protezione dei dati personali, con specifico riferimento alla sicurezza degli stessi, a fronte di possibili attacchi informatici, e alla sicurezza cyber, nonché per il loro continuo monitoraggio[2].

Tale Framework si fonda sul “Framework for Improving Critical Infrastructure Cybersecurity”, sviluppato dal National Institute for Standards and Technology (NIST) statunitense che, essendo stato già adottato da numerosi altri Paesi, è garanzia di uniformità e di facilità di utilizzo. Dal NIST ha ereditato la ripartizione nei seguenti 3 componenti:

“Framework Core”: è l’insieme di attività di cyber security, risultati desiderati e riferimenti applicabili a tutti i settori delle infrastrutture critiche aziendali;

“Livelli di implementazione”: che forniscono un contesto su come un’organizzazione considera il rischio di sicurezza informatica e i processi in atto per gestire tale rischio;

“Profili”: che rappresentano il risultato della selezione, da parte di un’organizzazione, di specifiche raccomandazioni (Subcategory) del Framework.

La componente da considerare in fase di design dei processi volti a garantire la sicurezza e la protezione degli asset è quindi il “Framework Core”, che rappresenta un’area di raccomandazioni che l’organizzazione può decidere di implementare, se necessario, riferendosi a standard o norme specifiche di settore.

Il “Framework Core” e la funzione “Identifica”

Il Framework Core definisce misure volte a garantire elevati livelli di sicurezza degli asset, organizzate in cinque funzioni simultanee e continue (Function):

  1. Identifica
  2. Proteggi
  3. Rileva
  4. Rispondi
  5. Recupera

Considerate insieme, queste “Function” forniscono una visione strategica di alto livello del ciclo di vita della gestione del rischio di cybersecurity da parte di un’organizzazione. Il “Framework Core” identifica quindi le Categorie (Category) e le sottocategorie chiave (Subcategory), – i.e. delle raccomandazioni – sottostanti per ciascuna funzione e le abbina a standard, linee guida e pratiche esistenti per ciascuna sottocategoria[3].

La “Function” che qui interessa ai fini della strutturazione di sistema di catalogazione e gestione degli asset è “IDENTIFICA”.

Questa funzione è legata alla comprensione del contesto aziendale, degli asset che supportano i processi critici di business e dei relativi rischi associati. Tale comprensione permette a un’organizzazione di definire risorse e investimenti in linea con la strategia di gestione del rischio e con gli obiettivi aziendali.

All’interno di questa “Function”, con le integrazioni introdotte nella versione del 2019, sono previste 8 Category che rappresentano un riferimento completo per disegnare un processo di identificazione, su base continuativa e in tempo reale, degli asset aziendali e dei potenziali rischi o lacune per la sicurezza che interessano ciascuno di essi.

Ovviamente l’identificazione e la gestione dinamica degli asset è solo il primo passo nella costruzione di una postura di sicurezza robusta che necessita comunque dell’implementazione delle altre 4 “Function”: Proteggi, Rileva, Rispondi, Recupera.

Attualità e validità del Framework Nazionale

L’attualità e validità del Framework in esame è confermata dal D.P.C.M. 14 aprile 2021, n. 81 che, nel regolamentare le notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici all’interno del perimetro di sicurezza nazionale cibernetica, ha introdotto[4] misure di sicurezza, rivolte agli operatori di servizi essenziali, organizzate in “Funzioni”, “Categorie” e “Sottocategorie” ognuna identificata da un codice univoco alfanumerico corrispondente alle analoghe misure del Framework Nazionale per la Cybersecurity e la Data Protection.

 

NOTE

  1. Luciano Floridi, La quarta rivoluzione. Come l’infosfera sta trasformando il mondo. 2017, Raffaello Cortina Editore.

  2. Vds. premessa del D.P.C.M. 14 aprile 2021 n.81.

  3. I riferimenti, per ogni Subcategory, a Standard e Framework esistenti costituiscono una mappatura parziale, che comunque copre la quasi totalità dei riferimenti già adottati dalle organizzazioni internazionali, quali Standard NIST, Standard ISO/IEC e COBIT.

  4. Con l’art. 7 e l’allegato “B”.

dal 14 al 17 giugno 2022
FORUM PA 2022. Cybersecurity: rafforzare la difesa della PA e del paese
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4