Ogni asset è una promessa di valore, di rischio, di responsabilità ma è anche una rilevante vulnerabilità che deve necessariamente essere gestita con metodo, disciplina e lungimiranza.

Nella nostra pentalogia dedicata alla gestione degli asset (qui il primo articolo), vediamo come l’asset management sia il baricentro operativo della sicurezza e della conformità e perché oggi non è più una scelta ma un dovere strategico.
Attraverso esempi concreti e richiami espliciti ai riferimenti regolatori (ISO/IEC 27001:2022, GDPR, Direttiva NIS 2), dimostreremo come solo una gestione standardizzata, documentata e assegnata a ruoli chiari consenta di proteggere persone, dati e continuità.

Chi non gestisce gli asset non governa l’organizzazione

C’è un errore che molte organizzazioni continuano a ripetere. Un errore spesso inconsapevole, ma davvero letale.

È l’idea che gli asset – dispositivi, sistemi, supporti, dati – siano semplici strumenti di lavoro: oggetti, tecnologie, costi da gestire.

La verità è un’altra. Gli asset sono infatti nodi vitali di un organismo molto più complesso, l’impresa. Rappresentano il punto in cui si incrociano persone, processi, informazioni e responsabilità.

Ciascun asset custodisce un pezzo di identità, una traccia di attività, un frammento di decisione e ogni asset dimenticato, mal gestito o ignorato, è un varco aperto nella sicurezza.

Ogni asset non gestito è quindi una vulnerabilità nascosta sotto la superficie. Ora, in un’epoca in cui il perimetro delle organizzazioni è liquido, i dati si muovono ovunque e le responsabilità non possono più essere lasciate al caso, l’Asset management diventa una disciplina fondamentale della buona governance.

Quindi non è un compito tecnico da affidare all’IT né un onere da archiviare in un foglio Excel.

La qualità di un’organizzazione

È una responsabilità strategica che riguarda direttamente chi governa l’organizzazione e vuole garantirne futuro, sicurezza e legittimità.

Ma nella gestione degli asset non si può improvvisare. La qualità di un’organizzazione si misura – oggi più che mai – dalla capacità di sapere con certezza cosa si possiede, dove si trova, chi lo usa e come viene protetto.

Perché senza asset management, ogni piano di sicurezza risulta essere soltanto una mappa senza territorio.

Asset management, minacce e qualità organizzativa: vietato improvvisare

Ogni fase della gestione degli asset nasconde minacce e non parliamo solo di rischi evidenti come un furto o un attacco informatico: ci sono anche minacce più sottili, meno visibili, ma altrettanto pericolose.

Così, per esempio:

• un inventario non aggiornato espone l’organizzazione al rischio di non sapere quali dispositivi siano effettivamente in uso, o peggio e di lasciare asset dimenticati con dati ancora presenti;
• un contratto con un fornitore senza clausole precise su sicurezza e gestione dei dati può trasformarsi in una falla enorme, sia legale che operativa;
• la dismissione improvvisata di un server, magari venduto senza cancellare correttamente i dati, diventa un regalo inaspettato per chiunque voglia mettere le mani su informazioni riservate.

È qui che entra in gioco la qualità dell’organizzazione.

Più i processi di gestione degli asset sono standardizzati, documentati, controllati, più è concreta ed efficace la capacità di mitigare queste minacce.

Si tratta di costruire veri e propri schemi organizzativi, di fissare regole che non dipendano dal buon senso del singolo, ma da policy aziendali chiare.

La differenza tra un’organizzazione seria e una disordinata

Chi gestisce sicurezza e compliance sa che la differenza tra un’organizzazione seria e una disordinata sta proprio in questo:

• la prima sa sempre quali asset possiede, dove si trovano, chi li usa e per fare cosa;
• la seconda si affida al caso, con la falsa convinzione che “tanto ce ne ricordiamo”.

La verità è semplice: senza gestione strutturata degli asset non esiste sicurezza informativa e non esiste rispetto reale delle norme, che si parli di GDPR o di NIS 2.

Standardizzazione, policy e mitigazione: senza metodo non esiste sicurezza

Per evitare i rischi evidenziati, una gestione degli asset davvero efficace deve poggiare sui seguenti pilastri concreti e non negoziabili impostati secondo la logica del PDCA (Plan Do Check Act, modello di piani strutturati e processi che permettano di prevenire, gestire e superare qualsiasi incidente di natura IT o “evento disruptive”):

• policy chiare e scritte: non basta sapere “a voce” come comportarsi. Le regole devono essere messe nero su bianco, accessibili e comprensibili a chiunque abbia responsabilità operative;
• inventari aggiornati: sapere in tempo reale quali asset si possiedono, dove si trovano, chi li utilizza, in che stato si trovano. Gli inventari sono strumenti di sicurezza;
• ruoli e responsabilità definiti: ogni persona coinvolta nella gestione degli asset deve sapere esattamente cosa è di sua competenza e cosa no. Dall’ufficio acquisti all’IT, dall’amministrazione alla sicurezza, ognuno deve avere un perimetro operativo chiaro. Tra le figure coinvolte bella gestione degli asset segnaliamo anche quelli dell’Information asset owner (IAO) e dell’Information asset manager (IAM), particolari figure che verranno approfondite in successivi articoli;
• attività di controllo ed audit: la corretta gestione deve prevedere attività di controllo (anche nella forma dell’autocontrollo) ed attività di audit (basata sulla separazione tra auditato ed auditor) per verificare regolarmente l’efficacia delle misure pianificate;
• procedure formalizzate: ogni azione rilevante – dall’acquisto di un dispositivo alla sua rottamazione – deve seguire una procedura definita. Non ci devono essere margini per iniziative personali non autorizzate si deve invece prevedere la standardizzazione dei processi completa la gestione efficace degli asset.

Più questi elementi sono precisi, strutturati e mantenuti nel tempo, maggiore sarà la capacità dell’organizzazione di prevenire o mitigare i rischi legati agli asset.

I contesti regolamentati

Ciò vale a maggior ragione in contesti regolamentati: la ISO/IEC 27001:2022 non parla di “buone intenzioni” ma di obblighi concreti, documentabili e verificabili.
Lo stesso vale per il GDPR e la NIS 2, che richiedono misure tecniche e organizzative adeguate a garantire la sicurezza continua delle informazioni.

Asset Management, ISO/IEC 27001:2022, GDPR e NIS 2: tutto parte dallo stesso principio

Gestire gli asset in modo serio e strutturato non è una formalità da azienda modello né un vezzo burocratico che serve solo a riempire carte e documenti ma è un’esigenza concreta, reale, pratica.

Soprattutto è una responsabilità precisa, riconosciuta e codificata da tutte le norme – sia tecniche che giuridiche – che oggi regolano la sicurezza delle informazioni.

Non è un caso che il tema dell’asset management ricorra in modo esplicito e trasversale sia negli standard principali che nelle normative unionali.

ISO/IEC 27001:2022

Lo standard internazionale di riferimento per la gestione della sicurezza delle
informazioni dedica diversi controlli specifici proprio alla gestione degli asset.

Non basta dire “abbiamo dei computer” o “usiamo dei software”: bisogna saper documentare, inventariare, proteggere ogni asset lungo tutto il suo ciclo di vita.

GDPR

L’articolo 32 del GDPR non lascia spazio a interpretazioni. Impone l’adozione di misure tecniche e organizzative adeguate per garantire sicurezza, integrità, disponibilità e riservatezza dei dati personali.

E non si può garantire nulla di tutto questo senza sapere esattamente su quali asset quei dati vengono trattati o conservati.

NIS 2

Con la Direttiva (UE) 2022/2555 recepita in Italia dal D.Lgs. 138/2024, la gestione documentata degli asset diventa un obbligo ancora più esplicito. Gli enti considerati “essenziali” o “importanti” devono dimostrare in modo chiaro come gestiscono gli asset, perché è proprio su questi che si gioca la resilienza digitale e la continuità operativa dei servizi.

In sostanza, parliamo di un’unica logica di fondo: sapere cosa si possiede, come viene utilizzato, da chi, con quali controlli.

Senza questo presidio, qualunque modello organizzativo di sicurezza resta incompleto. Si possono avere firewall, antivirus, backup, ma se non c’è un asset management solido, si resta scoperti proprio dove fa più male: nei punti di contatto tra tecnologia, persone e dati.

Per questo oggi asset management significa sicurezza operativa, ma anche conformità normativa.
Le due cose non sono più separabili.

Una scelta strategica, culturale, organizzativa

Parlare di gestione degli asset non significa occuparsi solo di tecnologia, inventari o fogli di calcolo. È qualcosa di molto più profondo: è una scelta strategica, culturale, organizzativa.

Vuol dire prendersi cura della propria azienda in modo serio, sapere sempre con precisione cosa si possiede, chi ha accesso a cosa, come vengono protetti gli elementi che contengono o trattano informazioni sensibili.

Non si tratta solo di tenere al sicuro server e computer. Si parla di persone, di fornitori, di relazioni professionali. Si parla di proteggere l’intero ecosistema informativo su cui si regge un’organizzazione.

Ogni asset è un tassello di una struttura più grande, fatta di processi, informazioni, decisioni e rapporti umani. Ed è proprio per questo che investire tempo, risorse ed energie per costruire un sistema di asset management vero, concreto, funzionante, non è mai tempo sprecato.

È un investimento diretto su quello che conta davvero: la protezione delle informazioni, la tutela delle persone, la continuità del proprio lavoro nel tempo; ed ecco che entrano in gioco nuove funzioni delegate ad occuparsi in primis di tali aspetti lo IAO e lo IAM a cui saranno dedicati successivi articoli.