Gli asset nel processo di identificazione del rischio
Quando si parla di gestione e valutazione dei rischi all’interno di una organizzazione, spesso ricorre il termine “asset” inteso come qualsiasi cosa abbia valore per l’organizzazione stessa.
Gli ambiti all’interno dei quali è possibile collezionare gli asset sono molteplici e vanno dai beni strumentali (computer, software, dispositivi di rete, ecc.), ai servizi, alle persone (ruolo, competenze, responsabilità), alle informazioni, alla reputazione, ecc.
La protezione dei dati richiede in primis di classificare le informazioni per poi correlarle agli altri asset che le contengono o le trattano, inclusi quelli gestiti dai fornitori. Di conseguenza, onde evitare analisi dispersive e complesse, è opportuno non considerare tutti quegli asset inappropriati che, pur essendo presenti all’interno della organizzazione, risultano estranei alla sicurezza delle informazioni.
Per individuare gli asset è buona pratica partire dai processi dell’organizzazione in quanto consentono di circoscrivere al meglio il set di informazioni da proteggere.
Ai fini della valutazione dei rischi può rivelarsi opportuno “aggregare” determinati asset precedentemente censiti nell’ambito del proprio inventario in quanto, seppur distinti, hanno caratteristiche tecniche simili, si trovano nello stesso luogo, hanno medesime modalità e procedure di utilizzo/accesso, ecc. L’aggregazione in questi casi è un fattore di semplificazione non trascurabile che consente di evitare errori in fase di valutazione del rischio.
Comments are closed, but trackbacks and pingbacks are open.