Prima di cominciare una qualsiasi attività, bisognerà pur capire da che punto si parte. Pesarsi prima della dieta, fare il test d'ingresso prima delle lezioni, fare l'inventario degli asset prima di un sistema di gestione della sicurezza informatica.
Oggi ti voglio parlare dell’inventario degli asset, dichiarato da auditor e consulenti come importantissimo ma spesso visto come compito inutile e faticoso da parte dei tecnici.
Analizzare il punto di partenza ci permette di capire quali rischi informatici corre la tua azienda.
La nuova normativa del regolamento informatico, prevedere la stesura di una analisi dei rischi, per fare questo perciò è necessario creare un invertario degli asset coinvolti dalla analisi.
Purtroppo non è facile capire come organizzare un inventario di tutti questi elementi in modo che sia utile e non eccessivamente faticoso da mantenere.
L’inventario degli asset serve a conoscere e controllare gli elementi di un sistema di gestione per la sicurezza delle informazioni.
Tra questi elementi ci sono i server, i pc, i dispositivi di uso personale, i dispositivi di rete, le sedi, gli impianti di sicurezza, gli archivi fisici, le informazioni stesse e il personale.
L’inventario degli asset non deve essere visto come unica entità: non sarebbe una soluzione intelligente elencare sistemi informatici, impianti di sicurezza e persone in un unico documento. Infatti i sistemi informatici sono governati dagli informatici, gli impianti di sicurezza da chi si occupa di sicurezza fisica e le persone da altre funzioni.
Un esempio di asset come consigliato dal Libro di Cesare Gallotti “Sicurezza delle informazioni: valutazione del rischio”.
- Le applicazioni, i server e i dispositivi di rete sono facilmente monitorabili con sistemi di controllo della rete, il loro inventario è consultabile in base al nome ; è opportuno fare in modo che i sistemi siano denominati e raggruppati in modo da avere velocemente chiaro il loro utilizzo (per esempio, è meglio non nominare il file server solo con una sigla C10-192-44, ma anche con un suffisso “file-server”) e i loro utilizzatori.
- Devono essere raccolti i dati necessari all’assistenza (per esempio, ubicazione, sistema operativo, indirizzo IP o sottorete).
- Dispositivi in uso al personale dovrebbero essere elencati con marca e numero di serie, sistemi operativi, indirizzi IP se fissi, nome del sistema e assegnatario; nelle PMI è sufficiente un file, mentre in quelle più grandi dovrebbe essere usato un database.
- Le sedi e gli archivi fisici dovrebbero essere elencati insieme alle chiavi in uso; si dovrebbero quindi elencare le chiavi e i loro assegnatari (per ogni chiave, almeno una copia dovrebbe essere assegnata al responsabile della sicurezza fisica della sede).
- Gli impianti di sicurezza dovrebbero essere elencati da chi si occupa di manutenzione; solitamente questi archivia in un faldone i manuali e i rapporti di installazione e manutenzione di ciascun impianto.
- Va mantenuto un elenco degli stessi impianti insieme ai riferimenti delle ditte specializzate da contattare in caso di necessità e le scadenze delle manutenzioni programmate.
- Le persone sono solitamente elencate dall’ufficio Personale o dall’ufficio Acquisti (nel caso di consulenti); sono anche censite dagli informatici quando utenti dei sistemi IT;
- Le informazioni possono essere tracciate in una tabella con indicate, per ciascuna area aziendale, le tipologie di informazioni trattate; questo compito può essere svolto insieme alla redazione del “Registro dei trattamenti” richiesto dal GDPR.
Per quanto riguarda i sistemi informatici, è possibile usare un inventario da interfacciare ad un sistema di monitoraggio della rete in modo da rilevare nuovi dispositivi collegati.
Attenzione a ciò che è Necessario e ciò che è Superfluo
Un’altra finalità di un inventario degli asset è l’attribuzione di un livello di criticità ai sistemi informatici e agli archivi, in modo da stabilire diversi livelli di sicurezza da garantire. Si intuisce sin da subito che un inventario usato per queste finalità deve essere di un livello di dettaglio molto inferiore a quello usato per finalità operative: può essere sufficiente uno schema di rete e un elenco dei servizi informatici presenti in ciascuna sottorete.
Infine un inventario degli asset può essere usato per la valutazione del rischio relativo alla sicurezza delle informazioni. In questo caso si dovrebbe usare un elenco poco dettagliato.
È noto infatti che un aumento del dettaglio non migliora i risultati dell’analisi; ne allunga solo i tempi e richiede un maggiore impegno da parte dei partecipanti, con conseguente dispersione di energie in attività non necessarie e perdita di vista dell’obiettivo.
La valutazione del rischio si basa su considerazioni soggettive e con prospettiva al medio-lungo termine e quindi non necessita di un elevato livello di dettaglio.
È necessario, in fase di progettazione di un inventario degli asset, considerarne la finalità e le risorse necessarie per mantenerlo. Spesso quindi è opportuno evitare di prevedere l’inserimento di dettagli che idealmente sono utili ma difficili da aggiornare, oppure prevedere degli inventari troppo dettagliati per le loro finalità.
Un inventario degli asset non deve rispondere alle necessità di un auditor o di un consulente, ma dell’organizzazione che deve mantenerlo e agli obiettivi che si è fissata.
Si ricorda che un meccanismo di sicurezza inefficiente, poi viene mantenuto male e diventa inefficace. Questo poi può essere dannoso, in quanto un uso scorretto di un meccanismo di sicurezza può introdurre delle vulnerabilità.