Lo scopo della procedura Identificazione e valutazione degli asset (predisposta con riferimento alla ISO 27005 – Information technology — Security techniques — Information security risk management – Annex B – Identification and valuation of assets and impact assessment) dovrebbe essere quello di definire le modalità operative e le responsabilità per l’effettuazione e l’aggiornamento del censimento dei beni (asset) aziendali e la relativa valutazione, in termini di riservatezza, integrità e disponibilità delle stesse. In essa vengono stabiliti:
- la classificazione degli asset;
- l’identificazione di ogni asset che ha impatto sulla sicurezza delle informazioni;
- la valutazione quantitativa di ogni asset in relazione alla sua importanza per la sicurezza delle informazioni.
La classificazione degli asset potrebbe distinguere due categorie principali di asset:
- Asset primari: processi/attività ed informazioni;
- Asset di supporto: hardware, software, reti, personale, sito, struttura organizzativa.
Gli asset possono essere delle seguenti tipologie:
- Information asset: dati digitali e non digitali, sistemi operativi, software applicativo, beni intangibili (conoscenza, marchi, brevetti, …).
- Asset fisici: infrastruttura IT, Hardware, Sistemi di controllo, Servizi IT.
- Risorse Umane: dipendenti, collaboratori esterni e consulenti.
L’identificazione e ed il censimento degli asset aziendali (asset inventory) ha lo scopo di identificare i requisiti di sicurezza (riservatezza, integrità e disponibilità) degli stessi e valutarne possibili vulnerabilità.
Ad ogni information asset deve essere associato un valore in termini di Riservatezza, Integrità e Disponibilità; tale valore viene espresso in termini qualitativi attraverso l’attribuzione di un livello di importanza (Basso, Medio, Alto) a cui è associato un valore numerico crescente (1,2,3).
Ad ogni asset di supporto o asset non informativo (risorse fisiche e risorse umane) viene associato un valore in termini di criticità dell’asset, dato dalla somma dei valori di importanza dei requisiti dell’asset in termini di Riservatezza, Integrità, Disponibilità in funzione delle informazioni che esso gestisce. Dunque l’importanza di una risorsa per la sicurezza dipende dai requisiti di Riservatezza, Integrità e Disponibilità, espressi in livelli (Basso/Medio/Alto) a cui corrisponde il valore 1/2/3.
Di conseguenza il valore associato all’asset potrà variare da un minimo di 3 (Riservatezza=Basso + Integrità=Basso + Disponibilità=Basso) ad un massimo di 9 (Riservatezza=Alto + Integrità=Alto + Disponibilità=Alto).
Poiché gli asset possono essere di diversi tipi (risorse fisiche e risorse umane), la metodologia di valutazione dei requisiti di sicurezza delle informazioni è differente per ogni tipo di asset.
Il Valore dell’Asset in termini di sicurezza delle informazioni viene utilizzato nel Risk Assessment in combinazione con:
- le minacce che incombono sugli asset che possono sfruttare le vulnerabilità rilevate degli asset stessi;
- la probabilità che la minaccia si concretizzi in un incidente di sicurezza (delle informazioni);
- la gravità dell’impatto associato all’incidente.