Normative e standard di riferimento trattano da anni il tema dell’asset inventory aziendale, eppure esso è ancora fra gli argomenti meno compresi dalle aziende e sono pochissime le realtà che hanno puntato con decisione su questo fondamentale strumento. Questo articolo illustra come l’inventario degli asset è trattato in letteratura, quali sono gli elementi che possono concorrere a formarlo, qual è l’importanza delle relazioni fra i diversi elementi, la criticità dell’alimentazione e della gestione, l’enorme valore aggiunto che esso può rappresentare per un’azienda e i fattori di successo per una corretta implementazione.

Se sei fra coloro che non hanno ancora compreso cosa sia realmente un asset inventory e quale rilevanza possa avere per la tua azienda, questo articolo potrà fornirti le prime, importanti, risposte.

L’emanazione del 15° aggiornamento (2 luglio 2013) della circolare di Banca d’Italia n. 263 del 27 dicembre 2006, denominata “Nuove disposizioni di vigilanza prudenziale per le banche”, ha cambiato sensibilmente il panorama normativo del settore bancario italiano. I contenuti espressi in quella fatidica circolare sono ora riproposti dalla circolare di Banca d’Italia n. 285 del 17 dicembre 2013 denominata “Disposizioni di vigilanza per le banche”, il cui ultimo aggiornamento (al momento in cui scrivo) è il 14° del 24 novembre 2015.

Mi sono personalmente occupato, fin dal settembre 2013 e in due diversi gruppi bancari italiani, delle disposizioni di vigilanza del settore bancario, contenute nelle circolari citate relativamente ai capitoli sul sistema dei controlli interni, sul sistema informativo e sulla continuità operativa. Ebbene, in questa lunga ed importante esperienza, frutto anche del confronto con altre realtà e diverse analisi di settore, ho potuto notare come due particolari requisiti siano stati, e sono tuttora, molto poco compresi e non adeguatamente soddisfatti: Data Governance e Asset Inventory.

In questo articolo tratterò specificamente dell’importanza e della criticità che l’inventario degli asset aziendali riveste per l’operatività, la sicurezza, il controllo, la gestione del rischio e le strategie di un gruppo bancario (e di un’azienda in generale). Per iniziare, vediamo come il requisito dell’asset inventory viene illustrato nei più importanti standard di riferimento.

Il requisito dell’inventario del patrimonio ICT negli standard

L’inventario degli asset è un requisito contenuto in diversi standard, testi e normative relativi al governo dell’Information Technology e dell’Information Security, da almeno dieci anni.

La circolare Bankit 285 richiede “la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware, software, dati, procedure)” [1] in tema di gestione dei cambiamenti, di analisi del rischio informatico e di classificazione delle risorse ICT.

Lo standard internazionale ISO/IEC 27001 [2] prevede l’adozione di un inventario degli asset con “l’identificazione di tutti gli asset associati con le informazioni e i sistemi di processo delle informazioni, nonché l’allestimento e la manutenzione di un inventario di questi asset” (controllo A.8.1.1) e “l’assegnazione di una precisa ownership per ciascun asset mantenuto nell’inventario” (controllo A.8.1.2).

Il tema è ancor meglio trattato dallo standard ISO/IEC 27002 [3] nel capitolo 8 “Asset Management” e dallo standard ISO/IEC 27005.

Anche il framework COBIT [4] prevede un inventario delle componenti e dei sistemi critici (DS4), degli elementi hardware e software (DS9), dei supporti archiviati (DS11.3), delle strutture fisiche (DS12) che devono essere anche classificate secondo il processo di gestione del rischio, degli asset IT sensibili (DS13.4) e degli skill (PO4).

Altro importante termine di riferimento a livello internazionale è il catalogo dei controlli di sicurezza NIST Special Publication 800-53 che tratta dell’inventario degli asset in ben quattro controlli [5] (CM-2, CM-8, RA-2 e PM-5). Esso richiede che “l’azienda sviluppi, documenti e mantenga un inventario dei componenti del sistema informativo” con un’efficace attribuzione di responsabilità, le configurazioni di base del software e la classificazione delle informazioni e dei sistemi informativi.

Il NIST Cybersecurity Framework [6] prevede che “dati, personale, dispositivi, sistemi e infrastrutture che consentono all’azienda di conseguire gli obiettivi di business vengano identificati e gestiti secondo la loro relativa importanza rispetto agli obiettivi di business e alla strategia di rischio dell’azienda” con accurata mappatura di connessioni, risorse di rete e flussi di dati, nonché con definizione della priorità di protezione.

Anche lo standard PCI DSS richiede l’adozione di un inventario [7] di “tutti i componenti di sistema che sono nel perimetro PCI DSS” con particolare riferimento ai componenti software e hardware e con verifica sull’attendibilità e l’aggiornamento del contenuto. Nel documento contenente le linee guida del PCI Security Standards Council sul Risk Assessment è contenuta un’illuminante definizione [8] dell’Asset Inventory come “una lista completa ed esaustiva degli asset ricompresi nel perimetro del risk assessment, ad esempio: software, hardware, networking, infrastrutture di comunicazione e personale. Un inventario degli asset può includere il valore, la tipologia, il proprietario e l’ubicazione di ciascun asset identificato”.

Che cos’è l’asset inventory: elementi e relazioni

I numerosi riferimenti normativi e di standard citati testimoniamo come l’inventario degli asset sia un tema ricorrente a livello internazionale e in più settori, sebbene in diverse forme e con differenti significati ed obiettivi. Valutando i requisiti e le definizioni nel complesso, appare chiaro come, alla fine, si parli sempre più o meno della stessa cosa, ovvero una base dati relazionale da mantenere costantemente aggiornata e coerente con la realtà aziendale, sotto diversi aspetti e con il coinvolgimento di più funzioni.

Gli standard forniscono un’indicazione molto basilare di ciò che l’inventario dovrebbe ospitare, citando in particolare gli elementi software e hardware del sistema informativo, i dati, i flussi di comunicazione, il personale, le risorse di rete, dispositivi, sistemi e infrastrutture. Si parla anche di valore ed ubicazione degli asset, di classificazione di sicurezza, di rischio, nonché del personale coinvolto a vario titolo nel ciclo di vita.

Ciò che però non è facile evincere dalla letteratura citata è il grandissimo valore aggiunto che l’inventario degli asset può apportare ad un’azienda nella sua funzione di elemento centrale dei più importanti processi aziendali, non solo in ambito informatico. Inoltre, sebbene siano diversi i requisiti in tema di inventario degli asset, manca una visione complessiva di quale forma esso debba assumere e quali siano gli elementi che assolutamente deve comprendere per risultare efficace ed esaustivo sotto tutti i punti di vista.

Proverò quindi a fornire una mia figurazione di come debba essere un moderno inventario degli asset e quali siano gli elementi che esso dovrebbe contenere.

Poiché l’inventario degli asset è una rappresentazione degli elementi (gli asset) che l’azienda possiede e di cui si serve per l’erogazione del proprio business,

un buon punto di partenza è identificare una catena di relazione che parta, da un lato, dai processi di business e arrivi, dall’altro lato, fino ai dati.

Gli anelli di questa catena potrebbero essere rappresentati, in un pseudo ordine di relazione, dai servizi di business, dalle funzionalità operative, dalle applicazioni (incluse le app mobile), dai server (web, applicativi, database, ecc.), dai middleware e dai servizi infrastrutturali, dagli apparati di rete e dalle basi dati. Ulteriori elementi in relazione trasversale con quelli citati potrebbero essere costituiti dal personale che opera nei processi, con le applicazioni, con i sistemi, con gli apparati di rete e con le basi dati, dalle funzioni aziendali di appartenenza, da fornitori ed outsourcer coinvolti nella gestione, dalle ubicazioni presso cui i vari elementi risiedono e dalle reti di telecomunicazione attraverso cui dialogano fra loro. Molto importanti in ottica business sono le informazioni riguardanti il costo e il valore dei singoli elementi, la loro classificazione di sicurezza e la criticità che rivestono per la continuità e la salvaguardia del business aziendale.

Ulteriori informazioni potranno essere integrate in seguito, ad esempio quelle provenienti dai vari processi di business (redditività ed efficienza), dai processi IT (incidenti, problemi, cambiamenti, ecc.) o dai processi di controllo (audit, compliance, rischio, sicurezza), aumentando ulteriormente la coerenza e le potenzialità dello strumento per l’intera azienda.

Gli elementi sono molteplici e di diversa natura, ma tutti concorrono insieme al funzionamento dell’azienda ed è la loro continua correlazione a supportare l’erogazione del business aziendale. Proprio questa correlazione è la chiave che rende un inventario degli asset effettivamente aderente alla realtà dell’azienda ed efficace a tutti i livelli. Appare quindi chiaro come la diligente inclusione di tutti gli elementi citati, o comunque di tutti quelli coinvolti nel funzionamento dell’azienda, non sia sufficiente senza la creazione ed il continuo mantenimento dell’intero sistema delle relazioni di ciascun elemento con tutti gli altri.

Questa è la vera nota dolente di un inventario degli asset:

ogni elemento contenuto deve essere messo in relazione con tutti gli altri con cui, direttamente o indirettamente, interagisce.

Ad esempio, i processi di business dovranno essere associati ai servizi e, in cascata, alle funzionalità e alle applicazioni attraverso cui vengono erogati, oltre che al personale e alle funzioni aziendali coinvolte. Ciascuna applicazione andrà messa in relazione con i server che la ospitano, i sistemi operativi e i software installati nei server, gli apparati di rete e le reti di telecomunicazione che gestiscono i relativi flussi informativi, le basi dati che alimentano o di cui utilizzano i dati, i dati stessi che sono richiesti per il corretto funzionamento e, anche in questo caso, al personale e alle funzioni aziendali coinvolte, compresi fornitori ed outsourcer.

Mantenere attuale l’asset inventory:
alimentazione e gestione delle relazioni

La circolare Bankit 285/2013 pone specifica attenzione sulla qualità dei dati, tema peraltro contenuto in moltissimi standard di settore, e non è un caso che l’argomento Data Governance sia, insieme a quello dell’Asset Inventory, fra quelli meno compresi nell’applicazione dei requisiti normativi del settore bancario e, più in generale, nel settore dell’ICT Governance.

Perché l’inventario degli asset possa svolgere correttamente la propria funzione è fondamentale che i dati in esso contenuti siano il più possibile esatti, coerenti ed aggiornati. Ciò presuppone l’attenta selezione delle fonti da cui prelevare i dati destinati all’alimentazione dell’inventario, privilegiando ovviamente le fonti autoritative per ciascuna tipologia di dato. Quindi il mio primo consiglio è evitare basi dati di seconda mano, con dati elaborati e rielaborati, magari allestite per scopi nettamente differenti da quello dell’inventario degli asset. L’approccio migliore è individuare, per ciascuna tipologia di dato, qual è la fonte originaria: ad esempio, per il censimento dell’hardware si potranno prelevare i dati dalla base dati di system management o da quella del controllo di gestione, mentre per il censimento dei processi di business si potrà ricorrere alla tassonomia dei processi oppure al funzionigramma aziendale.

Più ci si avvicinerà alla fonte autoritativa dei dati per la sua alimentazione, maggiore sarà la coerenza e la qualità dell’inventario degli asset.

Il mantenimento delle relazioni è un altro importante requisito, forse il più difficile da soddisfare. Non è semplice, infatti, assicurare il costante aggiornamento delle relazioni fra migliaia di elementi di diversa natura e in gestione a funzioni aziendali differenti. Non è nemmeno così semplice automatizzarlo, poiché in molti casi la relazione non è rilevabile né gestibile totalmente con strumenti informatici, ad esempio per quanto riguarda l’associazione fra processi di business e applicazioni, oppure quando si tratta di censire l’ubicazione fisica.

La gestione delle relazioni va affrontata da più punti di vista, ricorrendo il più possibile alla rilevazione automatica delle relazioni effettive, coinvolgendo attivamente le funzioni aziendali di volta in volta direttamente interessate per la verifica e l’alimentazione manuale ove richiesto, e prevedendo meccanismi di raffronto e verifica delle relazioni esistenti con conseguente produzione di allarmi in caso di situazioni potenzialmente incoerenti.

Una possibile soluzione potrebbe essere l’allestimento di diverse maschere di gestione delle relazioni da poter assegnare in amministrazione alle varie funzioni aziendali pertinenti, ad esempio al controllo di gestione, all’economato, alla sicurezza delle informazioni, alle funzioni di controllo interno e al reparto IT.

Il grande valore aggiunto dell’asset inventory

In definitiva, lo sforzo per allestire e mantenere aggiornato un asset inventory aziendale non è certo trascurabile, ma il valore aggiunto che esso può rappresentare per un’azienda è quasi inestimabile, a patto che ne venga garantita la coerenza e che la sua adozione venga imposta a tutte le funzioni aziendali.

Se correttamente implementato e gestito, l’asset inventory è in grado di rispondere adeguatamente a tutte le domande fondamentali ricorrenti di un’azienda.

Quali asset possiedo? Dove risiedono? Come e da chi sono utilizzati? Quando sono stati censiti? Quanto sono costati, quanto valgono ora e quanto mi costerebbe riacquistarli? Hanno una scadenza? Quali elementi sono particolarmente difettosi? Quali sono i possibili impatti sui servizi IT e di business? Queste sono solo alcune delle domande cui un inventario degli asset è in grado di rispondere al meglio.

In termini maggiormente pratici, immaginiamo di selezionare un qualsiasi elemento dell’inventario e di ottenere tutte le informazioni di nostro interesse in un solo colpo d’occhio. Ad esempio, l’audit potrebbe selezionare il processo di business che intende sottoporre ad ispezione ed ottenere l’esatta rappresentazione di tutte le funzioni aziendali in esso coinvolte, le applicazioni ricomprese nel perimetro, i sistemi che le supportano e i dati gestiti nel processo. In caso di incidente su un elemento del sistema informativo, l’incident manager potrebbe calcolarne in un attimo la gravità, l’estensione, gli altri elementi interessati, l’impatto sull’erogazione dei servizi e la criticità per il business espressa in termini monetari. Nella valutazione di un cambiamento, il change manager potrebbe analizzarne la complessità in base alla criticità degli elementi interessati e al potenziale impatto sul business.

La funzione di compliance potrebbe selezionare un particolare dato e ottenere in un attimo la rappresentazione completa di chi tratta quel dato, dove risiede, quali reti attraversa e quanto complicato sia assicurarne la protezione. Il controllo di gestione potrebbe controllare il ciclo di vita degli asset e monitorarne il valore in base agli ammortamenti e al valore di riacquisto. Il business continuity manager potrebbe individuare in maniera rapida e affidabile le applicazioni, i sistemi, le reti di telecomunicazione, i dati e le persone coinvolte nei processi di business rilevanti per la continuità e la salvaguardia del business. Il risk manager potrebbe individuare agevolmente la criticità di un elemento in base alla classificazione assegnata agli elementi ad esso collegati, ai potenziali impatti calcolati, alle vulnerabilità rilevate e agli incidenti occorsi. Il business manager potrebbe confrontare la redditività di un processo di business con i costi operativi e gli investimenti necessari per la sua erogazione, oppure valutarne il livello di criticità per il business complessivo dell’azienda

Gli esempi sarebbero molteplici.

Appare chiaro come qualsiasi funzione aziendale trarrebbe enorme giovamento da un asset inventory aziendale nell’esecuzione e nel controllo dei propri processi.

In estrema sintesi, l’asset inventory migliora la qualità dei processi di business, dei processi di controllo e dei processi IT, aumenta il controllo su infrastrutture e servizi IT, consente il calcolo degli impatti sui servizi e sui processi di business, supporta i processi di gestione del rischio, agevola la conformità con leggi e normative, fornisce una visione approfondita e realistica sul reale profilo dell’azienda (o della banca). Il tutto grazie ad un’unica fonte relazionale di dati, ben alimentata, coerente, ipercontrollata, accuratamente gestita e costantemente aggiornata.

I principali fattori di successo per l’allestimento di un asset inventory efficace e coerente sono: un unico repository centralizzato e relazionale, tecnologia ed infrastruttura scalabili, completo allineamento organizzativo a tutti i livelli, gestione che coinvolga attivamente tutte le funzioni aziendali interessate, processi di alimentazione ben definiti e individuazione chiara delle fonti autoritative e dei responsabili di processo.

La rappresentazione che ho cercato di fornire in questo articolo potrà sembrare visionaria, ma è basata su un’unica certezza:

Non puoi governare né proteggere qualcosa che non conosci.

Ettore Guarnaccia

NOTE

[1] Circolare di Banca d’Italia n. 285 del 17 dicembre 2013 “Disposizioni di vigilanza per le banche” – 14° aggiornamento del 24 novembre 2015 – Parte prima “Recepimento in Italia della CRD IV” – titolo IV “Governo societario, controlli interni e gestione dei rischi” – Capitolo 4 “Il sistema informativo” – Sezione IV “La gestione della sicurezza informatica” – Paragrafo 5 “La gestione dei cambiamenti”, dove è riportato: “Il processo (di gestione dei cambiamenti, nda) si svolge sotto la responsabilità di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e prevede, in modo proporzionato alla complessità e al profilo di rischio tecnologico dell’intermediario: – la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware, software, dati, procedure)”. Inoltre, nella relativa nota a piè pagina, viene indicato che: “L’inventario aggiornato del sistema e delle risorse ICT è funzionale anche alle attività di analisi del rischio informatico (cfr. Sezione III).” La nota fa riferimento alla Sezione III “L’analisi del rischio informatico” ove è previsto che: “Tale fase (la valutazione del rischio potenziale, nda) prende l’avvio con la classificazione delle risorse ICT in termini di rischio informatico;”, visto che l’inventario del patrimonio ICT è il più serio candidato ad ospitare i dati sulla classificazione delle risorse ICT.

[2] Standard ISO/IEC 27001:2013 “Information technology— Security techniques — Information security management systems — Requirements”.

[3] Standard ISO/IEC 27002 – Second Edition 2013 – “Information technology — Security techniques — Code of practice for information security controls” – 8 Asset management – 8.1 “Responsibility for assets” – Objective: To identify organizational assets and define appropriate protection responsibilities. – 8.1.1 “Inventory of assets”

 – Control: Assets associated with information and information processing facilities should be identified and an

inventory of these assets should be drawn up and maintained. – 8.1.2 “Ownership of assets” – Control: Assets maintained in the inventory should be owned.

[4] COBIT 4.1 – DS4 “Deliver and Support – Ensure Continuous Service – Maturity Model – 3. Defined” (“An inventory of critical systems and components is mantained”), DS9 “Deliver and Support – Manage the Configuration – Maturity Model – 1. Initial/Ad Hoc” (“Basic configuration management tasks, such as maintaining inventories of hardware and software, are performed on an individual basis”), DS11 “Deliver and Support – Manage Data – Control Objectives – DS11.3 Media Library Management System” (“Define and implement procedures to maintain an inventory of stored and archived media to ensure their usability and integrity”), DS12 “Deliver and Support – Manage the Physical Environment – Maturity Model – 5. Optimised” (“All facilities are inventoried and classified according to the organisation’s ongoing risk management process”), DS13 “Deliver and Support – Manage Operations – Control Objectives – DS13.4 Sensitive Documents and Output Devices” (“Establish appropriate physical safeguards, accounting practices and inventory management over sensitive IT assets, such as special forms, negotiable instruments, special purpose printers or security tokens”), PO4 “Plan and Organise – Define the IT Processes, Organisation and Relationships – Maturity Model – 4. Managed and Measurable” (“Skill inventories are available to support project staffing and professional development”).

[5] Il catalogo NIST Special Publication 800-53 “Security and Privacy Controls for Federal Information Systems and Organizations” – Rev. 4 di aprile 2013 – tratta dell’inventario degli asset in ben quattro controlli:

• Il controllo CM-8 “Information system component inventory”, dove è richiesto che “l’azienda sviluppi, documenti e mantenga un inventario dei componenti del sistema informativo che rifletta accuratamente il sistema informativo, sia consistente con il suo confine autorizzativo, sia ad un livello di granularità ritenuto necessario al monitoraggio e al reporting, sia a disposizione per revisione e ispezione da funzionari aziendali incaricati”. Il controllo indica anche che “le informazioni ritenute necessarie per ottenere un’efficace attribuzione di responsabilità possono includere, ad esempio, specifiche hardware (produttore, tipo, modello, codice seriale, ubicazione fisica), licenze software, proprietario del sistema o del componente, oppure il nome macchina e l’indirizzo di rete per i dispositivi connessi in rete”. Il controllo prevede anche che l’inventario venga aggiornato a fronte di installazioni, rimozioni e aggiornamenti, adottando meccanismi automatici che lo rendano coerente, completo ed accurato, e che includa informazioni che consentano di individuare con certezza gli individui responsabili della loro amministrazione.
• Il controllo RA-2 “Security categorization”, in cui è richiesto che “l’azienda classifichi le informazioni e i sistemi informativi in accordo con leggi, normative, direttive, politiche, regolamentazioni, standard e linee guida, documenti i risultati della classificazione di sicurezza nella pianificazione di sicurezza, e assicuri che la classificazione di sicurezza venga rivista e approvata un responsabile autorizzato o un suo rappresentante” e che “il processo di classificazione di sicurezza agevoli la creazione di un inventario degli asset e, in congiunzione con il controllo CM-8, una mappatura sugli elementi del sistema informativo in cui le informazioni vengono processate, archiviate e trasmesse”.
• Il controllo PM-5 “Information system inventory”, in cui è richiesto che “l’azienda sviluppi e mantenga un inventario dei propri sistemi informativi” secondo i requisiti delle norme FISMA.
• Il controllo CM-2 “Baseline configuration”, in cui è richiesto che “l’azienda sviluppi, documenti a mantenga sotto controllo della configurazione una configurazione di base aggiornata per il proprio sistema informativo”, e che “adotti strumenti di inventario del software per mantenere aggiornate e consistenti le configurazioni di base”.

[6] Il NIST Cybersecurity Framework, nella sezione “Asset Management”, prevede che “dati, personale, dispositivi, sistemi e infrastrutture che consentono all’azienda di conseguire gli obiettivi di business vengano identificati e gestiti secondo la loro relativa importanza rispetto agli obiettivi di business e alla strategia di rischio dell’azienda”. In aggiunta, esso richiede che “i dispositivi fisici, i sistemi, le piattaforme software e le applicazioni dell’azienda siano inventariati”, che “venga creata e mantenuta aggiornata una mappatura delle risorse di rete, delle connessioni con risorse esterne e mobili, e i flussi di dati”, e che “alle risorse (hardware, dispositivi, dati e software) venga assegnata una priorità di protezione secondo la loro sensibilità e il loro valore per il business”.

[7] Payment Card Industry (PCI) Data Security Standard – Requirements and Security Assessment Procedures – Version 3.1 – April 2015 – Controlli 2.4 “Maintain an inventory of system components that are in scope for PCI DSS.”, 2.4.a “Examine system inventory to verify that a list of hardware and software components is maintained and includes a description of function/use for each.”, 2.4.b “Interview personnel to verify the documented inventory is kept current.”, 11.1.1 “Maintain an inventory of authorized wireless access points including a documented business justification.”, 11.1.1 “Examine documented records to verify that an inventory of authorized wireless access points is maintained and a business justification is documented for all authorized wireless access points.”, 12.3.3 “A list of all such devices and personnel with access”, 12.3.3 “Verify that the usage policies define a list of all devices and personnel authorized to use the devices.”

[8] PCI DSS Risk Assessment Guidelines – Version 1.0 – November 2012 – 6 Reporting Results – Table 3.0 – Risk Assessment Reporting Topics – Asset Inventory: This process involves making a comprehensive list of assets that are in scope for the risk assessment, for example, software, hardware, networking and communications infrastructure and personnel. An asset inventory may also include asset value, asset type, asset owner, and asset location for each asset identified.