L’Asset Security inizia con una domanda fondamentale, spesso ignorata nei board aziendali: «quanto vale realmente quello che stiamo proteggendo?».

Senza una risposta precisa a questa domanda, per definizione ogni investimento in sicurezza è sbagliato: o stiamo spendendo troppo per proteggere il nulla o stiamo spendendo troppo poco per proteggere le cose più preziose che abbiamo.

È dunque necessario adottare una metodologia strutturata di classificazione degli asset che traduca il valore business in controlli proporzionati, superando l’improvvisazione e bilanciando efficacemente costi e benefici attraverso tutto il ciclo di vita delle informazioni[1].

Negli Stati Uniti, il governo ha risolto il problema alla radice con definizioni cristalline basate sul danno potenziale:

• “Top Secret” per informazioni la cui divulgazione causerebbe danni eccezionalmente gravi alla sicurezza nazionale,
• “Segreto” per gravi danni,
• “Riservato” per danni semplici.

In Italia, la Legge 124/2007 (art. 42) definisce quattro livelli per la tutela del segreto di Stato: Segretissimo, Segreto, Riservatissimo e Riservato. Invece, il settore privato naviga spesso senza bussola: etichette improvvisate, policy copia-incollate e una confusione terminologica che rende impossibile una governance efficace.

Le classificazioni militari USA: precisione chirurgica

Il modello statunitense rimane il punto di riferimento aureo per la chiarezza. Lì, l’etichetta non è un vezzo burocratico, ma una direttiva operativa immediata.

• Top Secret: Applicato ad informazioni la cui divulgazione non autorizzata «potrebbe ragionevolmente causare danni eccezionalmente gravi». La chiave qui è la specificità: l’autorità classificatrice deve essere in grado di descrivere esattamente quale sarebbe questo danno catastrofico (es. la perdita di una guerra, la compromissione di un’arma strategica).
• Segreto: Copre informazioni che causerebbero «gravi danni». La distinzione tra “gravi” ed “eccezionalmente gravi” può sembrare sottile, ma determina se quel documento deve stare in una cassaforte standard o in una stanza schermata (SCIF).
• Non Classificati: Anche i dati pubblici sono gestiti con rigore, con sottocategorie come CUI (Controlled Unclassified Information) o FOUO (For Official Use Only), per gestire quei dati che, pur non essendo segreti, non devono finire su Facebook.

Il vuoto del settore privato italiano

In Italia, al di fuori del perimetro del DIS/AISE/AISI e delle aziende a partecipazione strategica, regna il caos. Non esiste uno standard unificato per l’industria.

Ogni organizzazione pubblica o privata si inventa il proprio schema: chi usa “Confidenziale”, chi “Proprietario”, chi “Classe 1/2/3”, chi usa i colori. Questa frammentazione diventa un incubo quando due aziende devono collaborare o fondersi: il “Riservato” dell’azienda A corrisponde al “Confidenziale” dell’azienda B? Spesso no.

Le best practices internazionali (come quelle della certificazione CISSP) suggeriscono di convergere verso un sistema semplificato a quattro livelli, che bilancia operatività e sicurezza:

1. Confidenziale/Proprietario (Livello C4): I gioielli della corona. Piani strategici, algoritmi di trading, formule chimiche. La loro perdita compromette la sopravvivenza stessa dell’organizzazione.
2. Privato (Livello C3): Dati che devono restare interni per legge o policy, come i dati personali dei dipendenti (PII), le buste paga, i dati sanitari (PHI). Il danno è grave, ma non letale per il business.
3. Sensibile (Livello C2): Dati operativi la cui diffusione è indesiderata (es. indirizzari interni, mappe di rete). Aiutano un attaccante, ma non distruggono l’azienda.
4. Pubblico (Livello C1): Dati destinati all’esterno (brochure, sito web). Qui la security deve proteggere l’integrità (evitare il defacement), non la riservatezza.

L’autorità di classificazione: chi decide?

Un errore classico è delegare la classificazione all’IT. L’amministratore di sistema gestisce il “tubo”, non il contenuto.

L’autorità di classificazione deve risiedere presso il Data Owner (spesso un dirigente di business), l’unico che conosce il valore reale dell’informazione.

Se un manager classifica tutto come “Top Secret” per sentirsi importante, blocca l’operatività. Se classifica tutto “Pubblico” per comodità, espone l’azienda a rischi letali.

Il ruolo del CISO non è classificare i dati, ma fornire al business lo schema, le etichette e gli strumenti per farlo autonomamente e con criterio.

[1] Per approfondire le metodologie di classificazione degli asset e gli strumenti per implementare controlli proporzionati al valore dei dati, il Manuale CISO Security Manager prepara alla certificazione CISSP e fornisce guide operative per trasformare la classificazione da adempimento burocratico a vantaggio competitivo.