Realizzare inventario degli asset | ISO 27001:2017

Asset ISO 27001:2017

Che cosa è e come realizzarlo secondo quanto stabilisce la norma ISO 27001:2017?

A queste domande sono moltissimi i consulenti aziendali che tentano di dare una risposta che possa soddisfare i requisiti “funzionali” di un sistema ISO/IEC 27001:2017 per la gestione per la sicurezza delle informazioni.

L’inventario degli asset è un requisito contenuto in diversi standard, testi e normative relativi al governo dell’Information Technology e dell’Information Security.

La norma ISO 27001:2017 ne prevede l’implementazione, l’aggiornamento e l’adozione con le relative informazioni e sistemi di processo delle informazioni, nonché l’assegnazione di una precisa classe (ownership) per ciascun asset .

L’inventario degli asset è quindi un archivio in cui vengono inserite le risorse aziendali collegate alla sicurezza delle informazioni, quelle appartenenti alla classe del software, alla classe di rete e comunicazioni, alla classe dei dispositivi di elaborazione, alla classe delle sedi e archivi oppure alla classe dei dispositivi di sicurezza.

Come realizzare quindi l’inventario degli asset?

L’inventario si realizza identificando e classificando ogni singolo asset e riportando, in corrispondenza di ciascuno, le regole di sicurezza che consistono nell’applicazione dei controlli, appropriati al livello di criticità delle informazioni e definendo:

• Il responsabile dell’asset
• La data di assegnazione dell’asset al responsabile
• Gli autorizzati all’impiego dell’asset (impiegati nei processi primari, di supporto, di sicurezza e le persone esterne)
• L’indicazione se l’asset appartiene o meno all’organizzazione oppure è utilizzato in regime di outsourcing
• L’indicazione se l’asset è impiegato al di fuori delle sedi dell’organizzazione in regime di telelavoro

Quali altre utilità puoi cogliere? Come rendere più funzionale l’inventario degli asset?

Un inventario degli asset non si limita ad essere un semplice database identificativo di risorse presenti e rese disponibili per il business aziendale ma, coadiuvato da determinate regole la cui “severità” è proporzionale al rischio, consentono un impiego sicuro degli asset nei confronti del rischio di:

• Perdita della riservatezza delle informazioni trattate
• Perdita dell’integrità (logica e fisica) delle informazioni trattate
• Perdita della disponibilità delle informazioni trattate

Le regole relative al rischio di perdita della riservatezza sono stabilite per l’applicazione dei controlli di accesso e crittografia

Le regole relative rischio di perdita dell’integrità (logica e fisica) sono stabilite per l’applicazione dei rispettivi controlli di integrità logica (antivirus) e integrità fisica:

• Videosorveglianza
• Allarme perimetrale della sede e allarmi interni
• Contratto per il servizio di vigilanza notturna con guardie giurate
• Determinazione e comunicazione di aree riservate negli uffici
• Dispositivi antiallagamento
• Condizionatori dell’aria (temperatura per server e computer)
• Alimentazione alternativa
• Manutenzione

Le regole relative rischio di perdita della disponibilità sono stabilite per l’applicazione dei controlli di:

• Backup controllato delle informazioni
• Tecnologia RFID per il controllo delle risorse fisiche che transitano nell’organizzazione

Resta inteso che, le regole “accettabili” per l’impiego sicuro degli asset sono anche quelle determinate in un altro ambito della ISO 27001 che è quello relativo alla gestione del personale.

Tali regole disciplinano la gestione delle risorse umane (selezione, formazione, aspetti disciplinari) in maniera tale che l’impiego degli asset ad esse “assegnate” avvenga in maniera sicura per le informazioni ad essi associate.

Per l’implementazione di un sistema di gestione per la sicurezza delle informazioni, Winple ha sviluppato il kit Procedure ISO/IEC 27001:2017.

Il pacchetto è completo di tutti gli strumenti necessari per sviluppare un sistema documentale e comprende manuale, procedure di business, supporto, sicurezza delle informazioni e modulistica completamente modificabili e personalizzabili che consentono di implementare un sistema di gestione per la sicurezza delle informazioni conforme alla norma ISO/IEC 27001:2017 partendo da una base di contenuti già pronti (stimata all’85%).