42020Nov

Realizzare inventario degli asset | ISO 27001:2017

Tempo di lettura stimato | 4 minuti

Che cosa  è veramente l’inventario degli asset per la sicurezza delle informazioni?

Come realizzare l’inventario degli asset secondo quanto stabilisce la norma ISO 27001:2017?

A queste domande sono moltissimi i consulenti aziendali che tentano di dare una risposta che possa soddisfare i requisiti “funzionali” di un sistema ISO/IEC 27001:2017 per la gestione per la sicurezza delle informazioni.

L’inventario degli asset è un requisito contenuto in diversi standard, testi e normative relativi al governo dell’Information Technology e dell’Information Security.

La norma ISO 27001:2017 prevede l’adozione di un inventario degli asset come identificazione di tutti gli asset associati con le informazioni e i sistemi di processo delle informazioni, nonché l’allestimento e la manutenzione di un inventario di questi asset” e l’assegnazione di una precisa ownership per ciascun asset mantenuto nell’inventario.

L’inventario degli asset è un semplice archivio in cui, gli asset aziendali che sono collegati alla sicurezza delle informazioni, vanno identificati e denominati. Tra questi asset ci sono quelli appartenenti proprio alla classe delle INFORMAZIONI (di solito in questa classe sono presenti i documenti ed i file aziendali divisi per categorie oppure processi di appartenenza).

Gli altri asset appartengono invece alla classe del Software, alla classe di Rete e comunicazioni, alla classe dei Dispositivi di elaborazione, alla classe delle Sedi e archivi oppure alla classe dei Dispositivi di sicurezza.

Come realizzare l’inventario degli asset secondo quanto stabilisce la norma ISO 27001:2017?

A seguito di tali definizioni, che costituiscono già regole per l’utilizzo accettabile degli asset in condizioni di sicurezza, sempre in corrispondenza di ciascun asset, l’inventario riporta le regole per la protezione della riservatezza, dell’integrità e della disponibilità delle informazioni.

L’inventario, in corrispondenza di ciascun asset identificato e classificato, riporta le regole di sicurezza che consistono nell’applicazione dei controlli, appropriati al livello di criticità delle informazioni innanzitutto definendo:

  • Il responsabile dell’asset
  • Data di assegnazione dell’asset al responsabile
  • Gli autorizzati all’impiego dell’asset (impiegati nei processi primari, di supporto, di sicurezza e le persone esterne)
  • L’indicazione se l’asset appartiene all’organizzazione oppure è utilizzato in regime di outsourcing
  • L’indicazione se l’asset è impiegato al di fuori delle sedi dell’organizzazione in regime di telelavoro

Quali altre utilità puoi cogliere? Come rendere più funzionare l’inventario degli asseti?

A seguito di tali definizioni, che costituiscono già regole per l’utilizzo accettabile degli asset in condizioni di sicurezza, sempre in corrispondenza di ciascun asset, l’inventario riporta le regole per la protezione della riservatezza, dell’integrità e della disponibilità delle informazioni.

L’azienda stabilisce queste regole considerando il livello di rischio a cui ciascun asset è esposto.

Un inventario degli asset che permetta alle aziende di tenere sotto controllo la loro protezione, dunque, non si limita ad essere un semplice database identificativo di risorse presenti e rese disponibili per il business aziendale.

Le regole per l’impiego sicuro degli asset, nei confronti del rischio di perdita della riservatezza delle informazioni trattate, sono stabilite per l’applicazione dei controlli di:

  • Controllo di accesso
  • Crittografia

Le regole per l’impiego sicuro degli asset, nei confronti del rischio di perdita dell’integrità (logica e fisica) delle informazioni trattate, sono stabilite per l’applicazione dei rispettivi controlli di:

Integrità logica

  • Antivirus

Integrità fisica

  • Videosorveglianza
  • Allarme perimetrale della sede e allarmi interni
  • Contratto per il servizio di vigilanza notturna con guardie giurate
  • Determinazione e comunicazione di aree riservate negli uffici
  • Dispositivi antiallagamento
  • Condizionatori dell’aria (temperatura per server e computer)
  • Alimentazione alternativa
  • Manutenzione

Le regole per l’impiego sicuro degli asset, nei confronti del rischio di perdita della disponibilità delle informazioni trattate sono stabilite per l’applicazione dei rispettivi controlli di:

  • Backup controllato delle informazioni
  • Tecnologia rfid per il controllo delle risorse fisiche che transitano nell’organizzazione

Resta inteso che, le regole “accettabili” per l’impiego sicuro degli asset sono anche quelle determinate in un altro ambito della ISO 27001, un altro capitolo in pratica, che è quello relativo alla gestione del personale che dovrà trattare le informazioni critiche.

Tali regole disciplinano la gestione delle risorse umane (selezione, formazione, aspetti disciplinari) in maniera tale che l’impiego degli asset ad esse “assegnate” avvenga in maniera sicura per le informazioni ad essi associate.

Il sistema, perfettamente integrabile con il sistema qualità, è costituito da un manuale il cui compito illustrativo, a parere di chi scrive, produce più valore se impiegato all’esterno che all’interno dell’impresa.Confezione originale Procedure 27001 | Winple.it

Soltanto la definizione di un perimetro di sicurezza fisica e logica ed un piano ben strutturato grazie al quale i controlli di sicurezza sono integrati nei processi di business possono costituire talora delle condizioni valide ad assicurare un livello di “tranquillità” accettabile.

I rischi per le informazioni vanno dalla distruzione fisica a causa di eventi fisici alla cancellazione volontaria e passano per il trafugamento per fini impropri alla divulgazione commissionata da terzi mal intenzionati.

Grazie a tale norma, con il sistema ISO/IEC 27001, i responsabili dei sistemi di gestione aziendale devono misurarsi con l’applicazione di controlli quali:

  • Controlli di accesso
  • Processi di autenticazione
  • Procedure di log on
  • Identità digitale
  • Crittografia
  • Disaster Recovery
  • Sviluppo di applicazioni sicure
  • Gestione sicura dei sistemi informativi

I requisiti della norma ISO/IEC 27001:2017 sono accessoriati da una serie di controlli che l’organizzazione deve applicare per tenere sotto controllo la probabilità e le conseguenze di un attacco informatico o fisico. L’Annex A (appendice A) della norma stabilisce quanto deve essere compiuto per poter resistere e continuare ad essere operativi anche a seguito di un evento della sicurezza particolarmente grave.

Logo-ISO-27001-WINPLE

L’articolo Realizzare inventario degli asset | ISO 27001:2017 proviene da WINPLE.it.

Source: WINPLE

Leave a Reply

Your email address will not be published. Required fields are marked *