Selezione, gestione e mantenimento nel tempo di tutti gli asset materiali e immateriali per ricavare la migliore performance possibile e ridurre al minimo i rischi
L’asset governance è un tema assai diffuso indipendentemente dal settore industriale di riferimento. La sempre più evidente frammentazione di infrastrutture e processi aziendali rende qualsiasi operazione e attività più complessa e onerosa, e in questo contesto l’asset governance diventa una necessità. Un asset inventory completo, dettagliato e relazionato consente di introdurre un paradigma di presidio e governo su qualsiasi processo organizzativo e operativo del sistema azienda, che dà la possibilità di gestire le informazioni in subset, facilitando pianificazione, esecuzione e monitoraggio delle attività durante l’intero ciclo di vita degli asset impattati. La creazione di un asset inventory efficace richiede di indirizzare la gestione degli asset sotto tre aspetti fondamentali: rilevamento, caratterizzazione e relazionamento. Gli standard ISO/IEC 55000[1] e 19770-5[2] in materia di asset management definiscono il termine asset come “item, thing or entity that has potential or actual value to an organization”; questi possono essere tangibili o intangibili, avere un valore finanziario o non-finanziario e includere considerazioni di rischio. Un asset può essere un marchio, un bene digitale, un diritto di utilizzo, una licenza, una proprietà intellettuale, la reputazione (aziendale) o anche un documento.
Dopo la fase di rilevamento, gli asset devono essere caratterizzati sulla base di buone pratiche da cui possono discendere set di attributi comunemente riconosciuti. Mutuando concetti dal mondo della programmazione software, si può definire un asset come una classe comprensiva di un insieme minimo e sufficiente di attributi e relazioni tali da consentirne l’identificazione e far emergere gli impatti con altri asset nello stesso perimetro. Con questa prospettiva, l’asset viene istanziato da una classe dalla quale eredita l’insieme di attributi che al contempo può estendere o ridefinire, in base al contesto in esame. Proseguendo con questo approccio, si possono incapsulare classi di asset, oltre che stabilire dipendenze che determinano le relazioni fra asset omogenei (server vs server) ed eterogeni (server vs IP vs network schema vs applicazioni vs processi), ottenendo una rappresentazione modulare del sistema azienda. Il patrimonio informativo raccolto durante l’esercizio diventa in questo modo uno strumento di supporto strategico per più profili aziendali: top e middle management, più orientati a consultare dati di sintesi; tecnici operativi, più interessati a informazioni di dettaglio riguardanti elementi più atomici. Le sopra citate ISO/IEC notavano come sull’asset possano essere fatte considerazioni su rischi: è bene ricordare che alcune tipologie di asset usufruiscono di una definizione standardizzata di vulnerabilità, ad esempio tecnologiche, che può confluire in un processo di analisi dei rischi.
In questo senso una rappresentazione asset centrica di un’organizzazione, definita per il tramite di strumenti che automatizzano la gestione del ciclo di vita delle classi di asset, può rappresentare una base solida per il mantenimento intelligente di altri processi aziendali, quali il vulnerability e il patch management, per citarne due tra i più attuali. In conclusione, al di là dello strumento tecnologico che si utilizza, al fine di indirizzare preventivamente varie tipologie di minacce e rischi insistenti sugli asset e quindi sull’azienda, è necessario mappare gli asset in relazione alla loro business relevance, recependo in modo automatico sia la loro presenza sia l’insieme di procedure che ne governano l’esistenza e il funzionamento all’interno del perimetro aziendale, poiché non si può controllare ciò che non si rileva, caratterizza e relaziona. L’introduzione in azienda di un processo di asset governance non è facile e serve consultarsi con chi ha già affrontato il tema: alcuni modelli e standard posso essere introdotti e applicati solo in determinate finestre temporali, per non compromettere il corretto presidio dei valori rappresentati.
Francesco Morini e Luciano Quartarone, docenti CLUSIT
[1] ISO/IEC 55000:2014 Asset management — Overview, principles and terminology
[2] ISO/IEC 19770-5 Information Technology – IT asset management – Overview and vocabulary
