Come usare l’inventario degli asset IT per proteggere l’azienda

4 Dicembre 2019 in Governance Risk & Compliance As a Service - GRC360

L’inventario degli asset IT aziendali dovrebbe essere uno dei primi strumenti per la protezione dell’impresa. Per garantire il buon funzionamento, l’operatività e la credibilità, l’azienda deve infatti essere in grado di proteggere tutte le proprie risorse e, in particolare, gli asset informatici che ne rappresentano il sistema nervoso.
Rientrano in questa categoria i dispositivi fisici e virtuali (come Pc, server, smartphone, reti e relativi dispositivi), il software necessario (in cloud o on site), i dati e l’organizzazione, comprese le persone che ne garantiscono il funzionamento.
I dati rappresentano un asset fondamentale, visto il loro valore per il business e la loro criticità, accentuata dall’entrata in vigore del regolamento GDPR per la protezione dei dati personali.
La protezione dei dati personali assume quindi un ruolo centrale nel momento in cui si tratta di decidere come proteggere gli asset informatici con modalità capaci di rispettare le normative e, in particolare, allineate con quanto prescritto dal Regolamento europeo.

Inventario degli asset informatici: conoscere per proteggere

Per poter garantire una protezione adeguata è innanzi tutto indispensabile realizzare il censimento degli asset informatici, realizzando l’inventario dei dispositivi e del software da proteggere e mantenerlo aggiornato per garantire l’allineamento con la situazione reale.
Per definire il livello di protezione adeguato, proporzionale cioè al valore dei dati, gli asset informatici vanno messi in relazione con i processi, le applicazioni e le attività di business supportate, così da valutare, per ogni ambito applicativo identificato, l’impatto derivante da una loro compromissione e le possibili conseguenze sull’operatività aziendale, sui servizi offerti, sulla riservatezza, l’integrità e la disponibilità dei dati.
Vanno identificate anche le aree critiche e le eventuali vulnerabilità per poterle correggere.

Dopo l’inventario degli asset IT, come proteggerli?

Fra gli accorgimenti di sicurezza basilari, ma spesso trascurati, c’è la necessità di allineare i sistemi con le patch, ossia le correzioni pubblicate, da parte dei software vendor, che vanno a rimediare gli inevitabili ‘errori di fabbrica’ del software, via via che vengono individuati.
Più in generale, per i dispositivi di rete, i dispositivi hardware, il relativo software di base e gli applicativi, è necessario definire la corretta configurazione, indispensabile per garantire la robustezza del sistema informativo aziendale, andando a rafforzare le piattaforme (hardening). Si tratta, ad esempio, di chiudere porte, disabilitare privilegi, limitare connessioni, disinstallare strumenti. Queste attività andrebbero eseguite al momento dell’istallazione dei diversi programmi, ma possono essere fatte successivamente, al momento della creazione dell’inventario degli asset IT, monitorate nel tempo e tenute sotto controllo.
Fondamentale è inoltre la definizione e l’applicazione di una policy aziendale per definire la complessità delle password, abilitare i log di sicurezza, rimuovere gli utenti non necessari o non più presenti in azienda. È importante infine l’uso appropriato dei privilegi di amministratore, che non vanno concessi in modo leggero agli utenti che, per diversi motivi, li richiedono o ne hanno bisogno. Spesso si affronta questo problema concedendo i privilegi per periodi di tempo limitati; si deve tuttavia essere consapevoli del rischio che qualunque deroga comporta. In ogni caso è fondamentale un’accorta gestione degli account e una precisa conoscenza e un monitoraggio continuo dei privilegi.

Equilibrio nelle misure di protezione

Per proteggere gli asset informatici dell’azienda in modo efficace, le misure di sicurezza vanno in ogni caso commisurate al rischio valutato per i diversi asset, cercando un equilibrio fra esigenze spesso in contrasto, come la libertà dell’utente e misure troppo restrittive, l’esposizione effettiva, la gravità delle conseguenze e i costi per garantire protezione.
Nell’attuazione degli interventi va ricercata infine una certa gradualità, sulla base delle priorità individuate.
In conclusione, si deve tenere presente che proteggere questi asset non è un’attività fatta una volta per tutte, ma richiede un insieme di attività costanti e regolari nel tempo.

Alessandro Vallega – Information & Cyber Security Advisor, Partners4Innovation