Classificare gli asset: obbligo o virtù? Finché c’è norma cogente, la risposta è servita ma non sempre praticata. In tutti gli altri casi bisogna domandarsi fino a che punto la classificazione sia un comportamento virtuoso dal momento che costituisce un costo.Ebbene: in questo caso la risposta potrebbe sorprendere, anche perché non è “dipende”. Piuttosto è un no, con riserva. Bisogna, infatti, decidere se e quali categoria di asset classificare, definendo il tutto attraverso una procedura orientata a uno scopo chiaro di proteggere e aumentare il livello di sicurezza.Bisogna ricordare, infatti, che ciò che la classificazione evita – o limita – è la perdita di controllo nella gestione degli asset.Di conseguenza, va definita la soglia di sensibilità che – o in forza di norma o di necessità strategica dell’organizzazione – va applicata per individuare quali debbano essere oggetto di classificazione. Tutti gli altri, saranno etichettati come “non classificati”. Il che prevede comunque un controllo globale, con un’azione positiva e non rimette nulla alla placida inerzia che solitamente trasforma una palla di neve in una valanga.L’importante è che tutto sia evidenteQuel che dev’essere chiaro è che nulla può essere lasciato fuori controllo. Anche la scelta consapevole di non classificare alcuni asset, altrimenti non c’è altro che confusione.Dopodiché si dovrà comprendere anche chi altri potrà – o dovrà – intervenire per la gestione degli asset individuati, fra cui i primi protagonisti sono certamente i fornitori. I quali quanto meno dovranno essere a loro volta consapevoli della classificazione degli asset dell’organizzazione, motivo per cui non va trascurata la componente della comunicazione a riguardo anche e soprattutto nel caso di aggiornamenti.Insomma: è importante che la classificazione sia evidente, sia per gli stakeholder interni che esterni. Altrimenti, la vulnerabilità è dietro l’angolo dal momento che non si ha idea di cosa si stia proteggendo né come.E si sa, nella sicurezza cyber le scommesse sono gradite solo ai cyber criminali.
Classificare o non classificare, questo è il dilemma! - Cyber Security 360
Classificare gli asset è un passaggio indispensabile soprattutto negli ambienti sempre più virtualizzati e negli ecosistemi complessi in cui possono intervenire più soggetti, al fine di proteggere e creare il valore della sicurezza cyber. Tutto sta nel farlo con metodo
313 words~1 min read
