Tempo di lettura stimato | 4 minuti

Che cosa  è veramente l’inventario degli asset per la sicurezza delle informazioni?

Come realizzare l’inventario degli asset secondo quanto stabilisce la norma ISO 27001:2017?

A queste domande sono moltissimi i consulenti aziendali che tentano di dare una risposta che possa soddisfare i requisiti “funzionali” di un sistema ISO/IEC 27001:2017 per la gestione per la sicurezza delle informazioni.

Comprendere che cosa sia l’inventario degli asset previsto dalla ISO 27001 può da subito aiutare tantissime aziende a procedere speditamente nel realizzarlo.

Gli asset a cui si riferisce sonio veri e propri “beni” e talora “servizi” che sono individuati nell’organizzazione allo scopo di trattare le informazioni.

Una possibile classificazione degli asset, che sicuramente contribuisce a chiarire la vera natura dell’adempimento relativo alla costituzione di un inventario può essere la seguente:

  • Informazioni
  • Software
  • Rete e comunicazioni
  • Dispositivi di elaborazione
  • Sedi e archivi
  • Impianti e dispositivi di sicurezza per le informazioni

Come realizzarlo? Quali tipologie di documenti utilizzare?

Questo ed altro ancora potrai approfondire continuando la lettura dell’articolo che segue.

L’inventario degli asset (la strumentazione, i dispositivi e la del sistema 27001) è un semplice archivio in cui, gli asset aziendali che sono collegati alla sicurezza delle informazioni, vanno identificati e denominati. Tra questi asset ci sono quelli appartenenti proprio alla classe delle INFORMAZIONI (di solito in questa classe sono presenti i documenti ed i file aziendali divisi per categorie oppure processi di appartenenza).

Un inventario degli asset che permetta alle aziende di tenere sotto controllo la loro protezione, dunque, non si limita ad essere un semplice database identificativo di risorse presenti e rese disponibili per il business aziendale.

Logo-ISO-27001-WINPLE

Gli altri asset appartengono invece alla classe del software, alla classe di rete e comunicazioni, alla classe dei dispositivi di elaborazione, alla classe delle sedi e archivi oppure alla classe dei dispositivi di sicurezza.

L’inventario, in corrispondenza di ciascun asset identificato e classificato, riporta le regole di sicurezza che consistono nell’applicazione dei controlli, appropriati al livello di criticità delle informazioni innanzitutto definendo:

  • Il responsabile dell’asset
  • La data di assegnazione dell’asset al responsabile
  • Gli autorizzati all’impiego dell’asset (impiegati nei processi primari, di supporto, di sicurezza e le persone esterne)
  • L’indicazione se l’asset appartiene all’organizzazione oppure è utilizzato in regime di outsourcing
  • Ll’indicazione se l’asset è impiegato al di fuori delle sedi dell’organizzazione in regime di telelavoro

Quali altre utilità puoi cogliere? Come rendere più funzionale l’inventario degli asset?

A seguito di tali definizioni, che costituiscono già regole per l’utilizzo accettabile degli asset in condizioni di sicurezza, sempre in corrispondenza di ciascun asset, l’inventario riporta le regole per la protezione della riservatezza, dell’integrità e della disponibilità delle informazioni.

L’azienda stabilisce queste regole considerando il livello di rischio a cui ciascun asset è esposto.

Ulteriori passi possono essere compiuti per facilitare la supervisione di tutti i controlli di sicurezza attraverso la determinazione di regole la cui “severità” è proporzionale all’entità del rischio a cui l’asset è esposto.

Le regole per l’impiego sicuro degli asset, nei confronti del rischio di perdita della riservatezza delle informazioni trattate, sono stabilite per l’applicazione dei controlli di:

 

  • controllo di accesso
  • crittografia

Le regole per l’impiego sicuro degli asset, nei confronti del rischio di perdita dell’integrità (logica e fisica) delle informazioni trattate, sono stabilite per l’applicazione dei rispettivi controlli di:

 

Integrità logica

  • antivirus

 

Integrità fisica

  • videosorveglianza
  • allarme perimetrale della sede e allarmi interni
  • contratto per il servizio di vigilanza notturna con guardie giurate
  • determinazione e comunicazione di aree riservate negli uffici
  • dispositivi antiallagamento
  • condizionatori dell’aria (temperatura per server e computer)
  • alimentazione alternativa
  • manutenzione

Le regole per l’impiego sicuro degli asset, nei confronti del rischio di perdita della disponibilità delle informazioni trattate sono stabilite per l’applicazione dei rispettivi controlli di:

 

  • backup controllato delle informazioni
  • tecnologia Rfid per il controllo delle risorse fisiche che transitano nell’organizzazione

Resta inteso che, le regole “accettabili” per l’impiego sicuro degli asset sono anche quelle determinate in un altro ambito della ISO 27001, un altro capitolo in pratica, che è quello relativo alla gestione del personale che dovrà trattare le informazioni critiche.

Tali regole disciplinano la gestione delle risorse umane (selezione, formazione, aspetti disciplinari) in maniera tale che l’impiego degli asset ad esse “assegnate” avvenga in maniera sicura per le informazioni ad essi associate.

La ISO/IEC 27001:2017 è la norma internazionale che permette alle organizzazioni di proteggere le informazioni critiche attraverso l’attuazione di un sistema di gestione per la sicurezza delle informazioni.

Il sistema, perfettamente integrabile con il sistema qualità, è costituito da un manuale il cui compito illustrativo, a parere di chi scrive, produce più valore se impiegato all’esterno che all’interno dell’impresa.Confezione originale Procedure 27001 | Winple.it

Il motivo sta nel fatto che, nell’era tecnologica, tutti i partner vogliono e devono poter contare sulla sicurezza informatica degli altri partner. Finalmente siamo arrivati alla consapevolezza che il rischio che grava su un “nodo” di una rete di imprese collegate tra loro, incombe anche su tutti gli altri nodi e cioè su tutti gli altri partner.

Soltanto la definizione di un perimetro di sicurezza fisica e logica ed un piano ben strutturato grazie al quale i controlli di sicurezza sono integrati nei processi di business possono costituire talora delle condizioni valide ad assicurare un livello di “tranquillità” accettabile.

I rischi per le informazioni vanno dalla distruzione fisica a causa di eventi fisici alla cancellazione volontaria e passano per il trafugamento per fini impropri alla divulgazione commissionata da terzi mal intenzionati.

Grazie a tale norma, con il sistema ISO/IEC 27001, i responsabili dei sistemi di gestione aziendale devono misurarsi con l’applicazione di controlli quali:

  • Controlli di accesso
  • Processi di autenticazione
  • Procedure di log on
  • Identità digitale
  • Crittografia
  • Disaster Recovery
  • Sviluppo di applicazioni sicure
  • Gestione sicura dei sistemi informativi

I requisiti della norma ISO/IEC 27001:2017 sono accessoriati da una serie di controlli che l’organizzazione deve applicare per tenere sotto controllo la probabilità e le conseguenze di un attacco informatico o fisico. L’Annex A (appendice A) della norma stabilisce quanto deve essere compiuto per poter resistere e continuare ad essere operativi anche a seguito di un evento della sicurezza particolarmente grave.

Logo-ISO-27001-WINPLE

L’articolo Realizzare inventario degli asset | ISO 27001:2017 proviene da WINPLE.it.

Source: WINPLE