Perché le Norme sui Sistemi di Gestione insistono sul mappare una serie di elementi? E quali sono questi elementi?
La risposta alla prima domanda è, tutto sommato, abbastanza intuibile: perché, se non hai dati oggettivi, non puoi neppure avvicinarti ai tuoi obiettivi. Anzi, rischi di pianificare obiettivi insensati, non correlati alla realtà e di impegnarti, anche economicamente, per raggiungere risultati che potrebbero rivelarsi inutili.
Ce lo mostrano distintamente:
- il par 4.2 – Comprendere le esigenze e le aspettative delle parti interessate, quando chiede di determinare stakeholders interni ed esterni e loro requisiti, per la definizione del quadro di contesto organizzativo;
- la mappatura delle competenze (par 7.2 - Competenza) delle #persone che lavorano per l’Organizzazione, nel quadro delle necessarie attività di allineamento delle competenze ai profili desiderati e agli obiettivi di formazione definiti.
Se poi i tuoi obiettivi hanno a che vedere con la #cybersecurity, allora la cosa si complica ulteriormente: infatti, come puoi mettere al sicuro qualcosa che non sai di avere?
La Norma ISO27001, che si occupa proprio di Information Security, al ctrl 5.9 invita a fornire un Inventario delle informazioni e degli altri asset relativi. In altri termini ci invita a:
- mappare le informazioni, in funzione di una loro corretta identificazione, classificazione, etichettatura, regolamentazione e controllo degli accessi, ecc
- avere un asset inventory dei beni materiali (anche, ma non solo, di quelli con un profilo tecnologico), nel quadro di una conoscenza approfondita, realistica e completa dell’infrastruttura tecnologica dell’Organizzazione.
D’altro canto, se non sappiamo quali informazioni dobbiamo proteggere (e a che livello) e attraverso quali strumenti vengono trattate, come possiamo essere efficaci nel nostro obiettivo di garantirne la sicurezza?
E se non sappiamo quanti e quali strumenti informatici abbiamo, come dialogano tra loro, com’è configurata e protetta l’infrastruttura di rete, come potremo affrontare eventuali criticità, agire efficacemente sui rischi e garantire la sicurezza delle informazioni e dei dati che vi vengono processati?
L’influenza delle modifiche su una mappatura efficace
Se abbiamo capito quanto e perché è importante mappare contesto, persone, informazioni e strumenti, allora abbiamo anche chiaro che:
- si tratta di un processo iterativo;
- a ogni modifica, deve corrispondere un sollecito aggiornamento della mappatura.
Questo, che senz’altro rappresenta un onere, in termini di tempo e risorse, specialmente nella fase di prima implementazione, ma anche nella successiva fase di mantenimento (soprattutto in quelle Organizzazioni dove si riscontra una elevata dinamicità), è un processo essenziale, che va definito in modo chiaro e va affidato a personale competente, dotandolo degli strumenti più adeguati al livello di complessità dell’infrastruttura.
Casi di modifica di un asset inventory
Quali modifiche possono determinare la necessità di intervenire su un inventario degli asset?
- La dismissione e/o l’acquisto di nuovi asset
- La variazione di stato degli asset
- Le variazioni di classificazione dell’asset (in relazione alla classificazione delle informazioni che gli sono associate)
- L’assegnazione dell’asset e/o l’eventuale affidamento a un nuovo soggetto
- La modifica di ubicazione dell’asset (utile, in alcuni casi)
Il livello di granularità dell'inventario dipende da una serie di fattori, ma comunque deve sempre essere appropriato alle esigenze e alla complessità dell’Organizzazione.
Verifica di corretto aggiornamento
Poiché l'inventario degli asset è efficiente se è accurato, aggiornato, coerente e allineato con gli altri inventari (es le informazioni), è opportuno che periodicamente l’owner della gestione dell’inventario (o gli owner se gli inventari sono diversificati per oggetto) conduca dei #riesami sull’asset inventory, considerando anche le informazioni identificate e gli altri asset relativi.
Oltre la sicurezza c’è di più
Come già osservato, l'inventario consente di valutare i rischi associati a ciascun asset, passaggio essenziale per definire le misure di sicurezza appropriate per proteggere gli asset e le informazioni che vi transitano o che vi sono archiviate. Ma un asset inventory aggiornato può anche:
- agevolare la risposta agli incidenti e la pianificazione del ripristino
- supportare la gestione delle attività di audit,
- permettere una corretta gestione del ciclo di vita di un asset, dall’acquisto alla sua distruzione,
- fornire una visione completa degli asset aziendali, consentendo una gestione più efficiente e ottimizzata, che può condurre a una riduzione dei costi e a un miglioramento della produttività,
- supportare le richieste per altri scopi, come la salute e sicurezza (mappatura del personale), la stipula di assicurazioni (infrastruttura) o motivi economici (es nei processi di due diligence).
Approfondimenti su questo e altri argomenti inerenti all’infrastruttura tecnologica saranno trattati nel corso TNS 026 Corso Fondamenti ICT (sistemi e reti)
TNS 026 Corso Fondamenti ICT (sistemi e reti) - Corsi a programma | TUV NORD Italia
Chi volesse approfondire il tema sulla gestione dei beni (asset management) può dare un’occhiata allo standard UNI ISO 55001:2024 - Gestione dei beni (asset management) - Sistemi di gestione – Requisiti.
---
Per informazioni, chiedi a noi di TÜV NORD Italia alla mail sistema@tuev-nord.it
Per conoscere il nostro catalogo corsi 2025 visita la pagina dedicata.