La gestione degli asset è la base invisibile della sicurezza. Ogni volta che si indaga un incidente informatico, la radice è sempre la stessa: non si sapeva con esattezza quali asset fossero in gioco, chi li gestisse, quali accessi fossero attivi.

L’asset management è una best practice e contestualmente anche un obbligo normativo. Ecco perché continuare a trascurarlo significa esporsi a incidenti, sanzioni e perdita di fiducia.

Al centro della riflessione c’è il modello IAO – IAM, la risposta organizzativa che separa in modo chiaro il livello strategico da quello operativo: Information Asset Owner (IAO) e Information Asset Manager (IAM).

Un metodo pratico, semplice ed efficace che trasforma liste statiche in un vero sistema di governo, capace di rendere la sicurezza misurabile, verificabile e viva.

La gestione degli asset: la base invisibile della sicurezza

Quando si analizza un incidente informatico o una violazione di dati, la radice del problema è quasi sempre la stessa. Nessuno sapeva esattamente dove fossero le informazioni critiche, chi potesse accedervi, con quali autorizzazioni, attraverso quali sistemi.

Per questo la gestione degli asset è il primo mattone di qualsiasi sistema di sicurezza: se non si conosce ciò che si deve proteggere, è impossibile proteggerlo.

Non si tratta solo di inventariare hardware o software, ma di classificare, assegnare responsabilità, aggiornare continuamente dati e informazioni legati a ogni asset, in modo strutturato e verificabile.

Gestione degli asset informativie: norme tecniche e giuridiche

Quando si parla di gestione degli asset informativi, non ci si trova davanti a una semplice buona prassi consigliata da qualche esperto: si tratta di un requisito/obbligo preciso, previsto da standard internazionali e normative europee.

Ogni organizzazione, pubblica o privata, è chiamata a strutturare un sistema documentato e verificabile, dove sia chiaro non solo quali asset possiede, ma anche chi ne è responsabile.

I riferimenti

Ecco i riferimenti principali:

• ISO/IEC 27001:2022: Controllo 5.9 – Inventario delle informazioni e degli altri asset relativi: stabilisce formalmente la tenuta di un inventario sempre aggiornato, accompagnato dall’individuazione puntuale di un responsabile per ciascun asset;
• ISO/IEC 27002:2022: approfondisce il contenuto del controllo 5.9, definendo in modo operativo attività da svolgere, criteri di classificazione degli asset, gestione degli accessi, protezione delle informazioni e valutazione continua dei rischi associati;
• Famiglia ISO/IEC 19770-1:2017 – IT Asset Management Systems – strutturata in 11 parti ed alcune altri in sviluppo: porta il principio a un livello ancora più alto: stabilisce i requisiti minimi per ottenere una certificazione formale del sistema di gestione degli asset. Non si parla solo di dichiarazioni teoriche, ma di un asset management sistemico, strutturato, misurabile e verificabile con audit;
• D.Lgs. 138/2024, art. 24 e Determinazione ACN 164179 del 14 aprile 2025: la normativa italiana di recepimento della NIS 2 impone i seguenti obblighi specifici: mantenere inventari aggiornati non solo di asset fisici, ma anche di software, servizi cloud, sistemi esterni e fornitori critici; gestire gli accessi agli asset in modo tracciabile e documentato; adottare politiche di sicurezza formalizzate dedicate alla gestione degli asset informativi (misura GV.PO-01 del FNCDP v.2.1 raccomandata dall’ACN).
• General Data Protection Regulation (GDPR), articolo 32: richiede che siano adottate misure tecniche e organizzative adeguate al fine di garantire la sicurezza dei dati personali. Tuttavia senza una mappatura precisa degli asset e delle informazioni trattate, è materialmente impossibile determinare quali misure siano effettivamente adeguate; articolo 35: disciplina la DPIA (Valutazione d’Impatto sulla Protezione dei Dati), che per essere efficace deve necessariamente basarsi su una mappatura aggiornata degli asset critici coinvolti nei trattamenti.

Una risposta pratica

In questo contesto normativo, dove la gestione degli asset informativi è ormai un requisito/obbligo per garantire sicurezza, protezione dei dati e rispetto delle regole, i ruoli di Information Asset Owner (IAO) e Information Asset Manager (IAM) rappresentano una risposta pratica.

Sono le persone che, ogni giorno, rendono questi obblighi reali e misurabili, trasformando le regole scritte in azioni concrete, documentate e verificabili.

Perché la gestione degli asset è ancora trascurata

Nonostante sia un obbligo previsto da norme internazionali come la Direttiva NIS 2 (entrata in vigore il 17 gennaio 2023) e GDPR (il Regolamento Generale sulla Protezione dei Dati entrato in vigore nel 2016), nella realtà di moltissime aziende – piccole, medie e persino grandi – la gestione degli asset informativi rimane ferma a elenchi approssimativi o a fogli Excel aggiornati solo occasionalmente.

Ecco perché accade, anche se i motivi sono sempre gli stessi, ricorrenti e umani:

• percezione di complessità: si tende a pensare che gestire gli asset in modo serio richieda procedure troppo lunghe, strumenti costosi, competenze specialistiche che non si hanno in casa. La verità è che si può strutturare un sistema efficace anche partendo da soluzioni semplici, purché organizzate con metodo;
• assenza di ruoli formalizzati: in molte organizzazioni nessuno è formalmente incaricato di occuparsi di asset informativi. Non esistono IAO e IAM con un mandato chiaro e responsabilità definite. Così il tema resta “a metà”, disperso tra IT, compliance, amministrazione e sicurezza;
• cultura organizzativa debole: l’inventario degli asset viene spesso visto come un adempimento burocratico, un esercizio da fare per soddisfare l’auditor o il consulente o il revisore dei conti, e non come una leva operativa fondamentale per garantire sicurezza e continuità aziendale.

Eppure, ignorare questo aspetto non è una dimenticanza innocua.

Le conseguenze

Le conseguenze sono concrete, reali, misurabili:

• incidenti di sicurezza più probabili e più complessi da gestire: se non si sa esattamente quali asset si possiedono, dove si trovano, chi li utilizza, quali informazioni sono contenute diventa impossibile definire le misure, controllare accessi, monitorare anomalie o rispondere efficacemente a un attacco;
• sanzioni normative certe in caso di ispezioni o data breach: senza un inventario aggiornato e responsabilità assegnate, si è formalmente inadempienti rispetto a GDPR e NIS 2. Le autorità di controllo non si limitano più a raccomandare: sanzionano;
• perdita di fiducia da parte di clienti, partner e investitori: in un mercato sempre più attento alla sicurezza e alla protezione dei dati, un’organizzazione senza un sistema strutturato di gestione degli asset rischia di compromettere la propria reputazione e competitività.

In definitiva: la gestione degli asset non è una formalità da archiviare con una lista approssimativa.

È un esercizio di responsabilità organizzativa, un atto concreto di governo e di cura del patrimonio informativo aziendale.

Per questo motivo, servono figure dedicate, metodo, processi chiari.

Il modello IAO – IAM: la risposta organizzativa concreta

Per trasformare davvero la gestione degli asset informativi da semplice elenco su un foglio Excel a una funzione viva e concreta, serve un modello organizzativo chiaro e strutturato.

Non è una prassi già diffusa ovunque. Anzi, oggi il modello IAO–IAM è ancora poco conosciuto e poco adottato nella maggior parte delle organizzazioni, soprattutto in Italia.

Si tratta di un’impostazione innovativa, nata proprio per semplificare la complessità e dare risposte pratiche a un’esigenza che tutte le aziende, prima o poi, devono affrontare. Sapere esattamente quali asset informativi possiedono, chi li gestisce, chi decide e chi controlla.

Il modello si basa su una distinzione semplice e concreta:

• Information Asset Owner (IAO): il responsabile strategico, che decide politiche, priorità e investimenti.
• Information Asset Manager (IAM): il responsabile operativo, che ogni giorno aggiorna, monitora, gestisce.

Non si tratta di un esercizio teorico. Invece è un modello che comincia a emergere nella dottrina, nei documenti ufficiali, negli standard più avanzati. Il motivo è che consente di governare una materia complessa con ruoli chiari e responsabilità distinte.

Ed è proprio per questo che vale la pena conoscerlo, studiarlo e cominciare a implementarlo già ora: perché chi saprà organizzarsi per tempo, si troverà pronto quando queste figure diventeranno, come è già accaduto con il DPO, un requisito formale previsto dalle norme.

Rilevanza del modello IAO-IAM

La distinzione tra IAO e IAM è il cuore del metodo. Senza una separazione netta tra livello strategico e livello operativo, la gestione degli asset resta confusa, inefficace, esposta a errori.

Quando la gestione è affidata a una sola persona – situazione comunque più evoluta rispetto al caos senza responsabilità che domina in molte aziende – succedono due cose:

• o si guarda solo alla strategia, perdendo di vista il monitoraggio quotidiano;
• oppure ci si concentra sulle attività di routine, senza una visione d’insieme e senza decisioni strutturate.

Il modello IAO – IAM serve esattamente a garantire che nessun aspetto venga trascurato, dal comando alla manovra, dalla policy al controllo sul campo.

Nei prossimi due articoli che compongono questa pentalogia sulla gestione degli asset andremo ad analizzare in dettaglio quali competenze servono per ricoprire questi ruoli. Inoltre, illustreremo come strutturarli concretamente all’interno dell’organizzazione. Infine capiremo quali modelli organizzativi adottare in funzione delle dimensioni aziendali.

Gestione degli asset come motore di sicurezza, privacy e compliance

La gestione degli asset informativi non è un dettaglio né un adempimento da archiviare in qualche documento. Ma è il motore concreto che fa funzionare davvero ogni sistema di sicurezza, privacy e compliance.

Senza una governance chiara sugli asset, non si può parlare seriamente di cyber security. Inoltre è impossibile garantire protezione dei dati. Ma, soprattutto, non si è realmente conformi alle regole. Infatti sia la NIS 2 che il GDPR richiedono esplicitamente una gestione strutturata degli asset.

Il modello IAO – IAM offre oggi la risposta più pratica e concreta. E non è teoria, è metodo.

Comincia ad essere riconosciuto negli standard più evoluti ed è destinato a diffondersi sempre di più come scelta obbligata per chi vuole fare le cose con rigore.

Nel prossimo articolo vedremo come IAO e IAM si integrano ogni giorno nelle organizzazioni, trasformando la gestione degli asset da lista su Excel a leva concreta di sicurezza, continuità e competitività.