Che cosa è veramente l’inventario degli asset per la sicurezza delle informazioni?
Come realizzare l’inventario degli asset secondo quanto stabilisce la norma ISO 27001:2017?
A queste domande sono moltissimi i consulenti aziendali che tentano di dare una risposta che possa soddisfare i requisiti “funzionali” di un sistema ISO/IEC 27001:2017 per la gestione per la sicurezza delle informazioni.
L’inventario degli asset è un requisito contenuto in diversi standard, testi e normative relativi al governo dell’Information Technology e dell’Information Security.
La norma ISO 27001:2017 ne prevede l’implementazione, l’aggiornamento e l’adozione con le relative informazioni e sistemi di processo delle informazioni, nonché l’assegnazione di una precisa classe (ownership) per ciascun asset .
L’inventario degli asset è quindi un archivio in cui sono possono essere inserite le risorse aziendali collegate alla sicurezza delle informazioni, quelle appartenenti alla classe del software, alla classe di rete e comunicazioni, alla classe dei dispositivi di elaborazione, alla classe delle sedi e archivi oppure alla classe dei dispositivi di sicurezza.
Come realizzare quindi l’inventario degli asset?
L’inventario, in corrispondenza di ciascun asset identificato e classificato, deve riportare le regole di sicurezza che consistono nell’applicazione dei controlli, appropriati al livello di criticità delle informazioni innanzitutto definendo:
- Il responsabile dell’asset
- Data di assegnazione dell’asset al responsabile
- Gli autorizzati all’impiego dell’asset (impiegati nei processi primari, di supporto, di sicurezza e le persone esterne)
- L’indicazione se l’asset appartiene all’organizzazione oppure è utilizzato in regime di outsourcing
- L’indicazione se l’asset è impiegato al di fuori delle sedi dell’organizzazione in regime di telelavoro
Quali altre utilità puoi cogliere? Come rendere più funzionale l’inventario degli asset?
Un inventario degli asset non si limita ad essere un semplice database identificativo di risorse presenti e rese disponibili per il business aziendale ma deve essere coadiuvato da determinate regole la cui “severità” è proporzionale al rischio cui è esposto l’asset e che sono:
Le regole per l’impiego sicuro degli asset, nei confronti del rischio di perdita della riservatezza delle informazioni trattate, sono stabilite per l’applicazione dei controlli di controllo di accesso e crittografia
Le regole per l’impiego sicuro degli asset, nei confronti del rischio di perdita dell’integrità (logica e fisica) delle informazioni trattate, sono stabilite per l’applicazione dei rispettivi controlli di:
Integrità logica
- Antivirus
Integrità fisica
- Videosorveglianza
- Allarme perimetrale della sede e allarmi interni
- Contratto per il servizio di vigilanza notturna con guardie giurate
- Determinazione e comunicazione di aree riservate negli uffici
- Dispositivi antiallagamento
- Condizionatori dell’aria (temperatura per server e computer)
- Alimentazione alternativa
- Manutenzione
Le regole per l’impiego sicuro degli asset, nei confronti del rischio di perdita della disponibilità delle informazioni trattate sono stabilite per l’applicazione dei rispettivi controlli di:
- Backup controllato delle informazioni
- Tecnologia RFID per il controllo delle risorse fisiche che transitano nell’organizzazione
Resta inteso che, le regole “accettabili” per l’impiego sicuro degli asset sono anche quelle determinate in un altro ambito della ISO 27001 che è quello relativo alla gestione del personale.
Tali regole disciplinano la gestione delle risorse umane (selezione, formazione, aspetti disciplinari) in maniera tale che l’impiego degli asset ad esse “assegnate” avvenga in maniera sicura per le informazioni ad essi associate.
Per l’implementazione di un sistema di gestione per la sicurezza delle informazioni, Winple ha sviluppato il kit Procedure ISO/IEC 27001:2017.
Il pacchetto è completo di tutti gli strumenti necessari per sviluppare un sistema documentale e comprende manuale, procedure di business, supporto, sicurezza delle informazioni e modulistica completamente modificabili e personalizzabili che consentono di implementare un sistema di gestione per la sicurezza delle informazioni conforme alla norma ISO/IEC 27001:2017 partendo da una base di contenuti già pronti (stimata all’85%).
L’articolo Realizzare inventario degli asset | ISO 27001:2017 proviene da WINPLE.it.
Source: WINPLE RSS