LE SOLUZIONI

Inventario degli asset per la sicurezza delle informazioni: le linee guida

L’inventario degli asset serve a conoscere e controllare gli elementi che compongono un sistema di gestione per la sicurezza delle informazioni: solo così è possibile determinare cosa è necessario proteggere e come. Ecco le linee guida su come usarlo e come mantenerlo

30 Mag 2019
G
Cesare Gallotti

Consulente su sicurezza delle informazioni, qualità e privacy

Mantenere un inventario degli asset da proteggere o coinvolti nella gestione dei servizi è richiesto da tutte le migliori pratiche in materia di sicurezza delle informazioni e di gestione dei servizi, nonché di qualità.

La ragione del requisito è ovvia: non è possibile proteggere e controllare cose che non si conoscono. Purtroppo, però, anche l’eccesso di dati può portare ad avere informazioni non utili.

Inventario degli asset, CMDB e CMS: le differenze

Nell’ambito della sicurezza delle informazioni si è sempre parlato di “inventario degli asset”.

Esso, in origine (negli anni Ottanta e all’inizio degli anni Novanta del secolo scorso), permetteva di determinare cosa era necessario proteggere e come. Era sensato, considerando l’informatica dell’epoca, immaginare dei fogli di carta in cui erano scritti i sistemi hardware e le loro applicazioni.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Nell’ambito della gestione dei servizi informatici, in particolare in ITIL (Information Technology Infrastructure Library), è usato il termine Configuration management database o CMDB. Questo database deve raccogliere gli elementi che costituiscono il servizio erogato.

In ambito informatico, questi elementi possono essere: PC e altri dispositivi di informatica individuale, server, applicazioni informatiche, middleware, utenti e impianti.

La differenza fondamentale tra un inventario degli asset e un CMDB è che gli elementi di un CMDB devono essere tutti correlati ad uno o più servizi.

Nel 2007, la terza edizione di ITIL introdusse un nuovo termine: Configuration management system o CMS. Gli autori si resero conto, infatti, dell’impossibilità di poter disporre di un unico database, soprattutto in realtà grandi e complesse.

Inoltre, l’esperienza pratica li mise a confronto con le esigenze delle diverse aree di un’azienda e con la necessità di disporre di sistemi dedicati.

Ad esempio, è facile accorgersi che in un’azienda possono esserci un BMS (Building management system), uno di registrazione degli utenti (Directory), uno di gestione dell’informatica individuale (con la gestione degli assegnatari dei dispositivi) e uno per l’hardware e il software dei server e che questi sistemi hanno funzionalità specifiche e che non è efficiente (e neanche efficace) richiedere di duplicare le informazioni in un altro database.

Per questi motivi, ITILv3 proponeva l’esistenza di un CMS, ossia di un sistema federatore dei CMDB in uso presso le diverse aree aziendali. È facile immaginare la difficoltà di realizzazione anche di questo sistema e infatti nella realtà non è stato adottato, almeno nella sua interezza, da alcuna organizzazione.

In ambito qualità si è sempre preferito usare un altro termine: “tracciamento”. Esso può richiedere la realizzazione di diversi strumenti, come per esempio il fascicolo tecnico di un prodotto, la distinta base di ogni esemplare, il database degli esemplari prodotti (con i loro numeri seriali), eccetera.

Il livello di dettaglio nell’inventario degli asset

Nell’ambito della gestione dei servizi e della qualità, l’esperienza nell’uso di inventari e database ha portato a promuovere pratiche sempre più attente alla loro fattibilità.

Nell’ambito della sicurezza delle informazioni, invece, le esigenze di sicurezza hanno portato anche a suggerire elenchi molto dettagliati e statici. Purtroppo questo atteggiamento porta solo a sprecare risorse.

Il livello di dettaglio deve essere quello necessario agli obiettivi stabiliti. Dire che “è necessario alla loro sicurezza” non è sufficiente, in quanto si tratta di un obiettivo troppo generico. Obiettivi più significativi riguardano la rintracciabilità in caso di perdita o furto, il controllo degli aggiornamenti o il controllo degli accessi. Obiettivi generici rispondono ad esigenze di controllo senza fondamenta nella realtà e vanno quindi evitati, in quanto conducono alla distrazione di tempo e risorse da attività più utili.

L’esperienza insegna che, per proteggere realmente i beni, è necessario disporre di elenchi dinamici, in alcuni casi collegati a strumenti di discovery di quanto collegato alle reti.

È quindi possibile individuare:

  • l’elenco dei dispositivi di informatica individuale assegnati al personale, in modo da gestirne l’assegnazione e il ritiro; solitamente questi elenchi sono su tabelle;
  • l’elenco dei dispositivi di informatica individuale che possono avere accesso alla rete dell’organizzazione, in modo da assicurarne l’aggiornamento e la presenza di meccanismi di sicurezza (controllo accessi, antimalware, cancellazione in caso di perdita o furto, eccetera); per i dispositivi portatili, questi strumenti sono chiamati MDM o Mobile device management;
  • l’elenco dei server fisici e virtuali e degli apparati di rete, in modo da assicurarne l’aggiornamento e la presenza di meccanismi di sicurezza; solitamente questo elenco è oggi disponibile tramite strumenti di monitoraggio della rete, di gestione delle macchine virtuali e di distribuzione degli aggiornamenti (patches);
  • l’elenco del personale, sui sistemi di directory e su quelli di gestione dei ruoli, delle competenze e delle presenze (necessari per quadrare quanto presente sui sistemi di directory);
  • l’elenco degli impianti, o su tabelle o su BMS.

Alcune organizzazioni possono avere ulteriori inventari, a seconda delle proprie esigenze.

È necessario verificare periodicamente la correttezza di tali inventari, soprattutto quelli statici, in modo da identificare possibili disallineamenti rispetto alla realtà. Spesso è infatti possibile trovare nelle directory persone uscite da tempo dall’organizzazione o dispositivi per cui non è stata registrata la dismissione.

La valutazione del rischio

Nell’ambito della sicurezza delle informazioni alcuni (sempre meno, per la verità) promuovono una valutazione del rischio per ogni asset.

Questo è un approccio che andava bene agli albori dell’informatica, quando i sistemi informatici erano pochi; oggi è ovviamente inapplicabile se non in pochissimi casi.

Quando si valuta il rischio relativo alla sicurezza delle informazioni di un’organizzazione è necessario ricordare che molti sistemi informatici sono controllati in modo tra loro omogeneo e sono sottoposti a minacce identiche, anche se tecnicamente diverse.

Infatti gli attacchi da esterni o interni malintenzionati, gli errori, il malware e gli eventi naturali non dipendono dallo specifico sistema informatico, ma da altri fattori quali l’immagine dell’organizzazione, la sua organizzazione, eccetera.

La valutazione del rischio, almeno in una fase iniziale, deve considerare il fatto che i sistemi informatici vanno controllati in modo tra loro simile. La mancanza stessa di omogeneità dovrebbe essere considerata un elemento da trattare.

Un’analisi del rischio “generale” è auspicabile agli inizi, in modo da avere elementi da cui partire per ridurre il rischio. Un’analisi di dettaglio a livello di singolo asset ha l’effetto di rallentare le attività (“blocco per eccesso di analisi”) o di fornire talmente tanti dati da essere inutili.

In un secondo tempo è possibile identificare i sistemi più esposti (ricordando che un sistema di bassa importanza, ma esposto agli attacchi, può essere usato da malintenzionati come punto di ingresso per attaccare sistemi più importanti) e valutarne le vulnerabilità. In questo caso, ovviamente, è necessario un livello di dettaglio maggiore, ma non per una valutazione del rischio, bensì per un’analisi delle vulnerabilità.

Infografica - Sicurezza dei dati in azienda la vulnerabilita da proteggere

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr