Politica di gestione degli asset

La Politica di gestione degli asset (P12) stabilisce i requisiti organizzativi per identificare, classificare, gestire e mettere in sicurezza tutti i patrimoni informativi lungo il loro ciclo di vita. Il documento mira a fornire supervisione e governance a livello aziendale, supportando ambienti hardware, software, dati, cloud, mobili, remoti e gestiti da terze parti. L’intento principale è garantire che l’organizzazione ottenga piena visibilità sul proprio portafoglio di asset, consentendo controlli tecnologici efficaci, assegnazione della titolarità, conformità normativa e procedure responsabili di dismissione. Gli asset governati da questa politica includono un’ampia gamma: laptop, desktop, dispositivi mobili, supporti rimovibili, stampanti, apparecchiature di rete, software, banche dati, dati di backup, chiavi di cifratura, dati strutturati e dati non strutturati, report, posta elettronica, proprietà intellettuale, risorse informatiche nel cloud, macchine virtuali, account utente, baseline di configurazione, licenze e altro. La politica si applica a tutto il personale, contraenti, fornitori terzi di servizi e fornitori terzi che utilizzano, gestiscono o accedono a patrimoni informativi di proprietà o sotto controllo dell’organizzazione. La copertura si estende anche ad asset in ambienti remoti, ibridi o esternalizzati, assicurando che sicurezza e tracciabilità degli asset non siano compromesse dalla localizzazione. Un obiettivo fondamentale è il mantenimento di un registro centralizzato, accurato e aggiornato dell’Inventario degli asset, gestito dal Responsabile degli asset IT e, ove possibile, integrato con altri sistemi di gestione della configurazione. Ogni asset inserito in tale inventario deve includere metadati obbligatori quali identificatore univoco, titolarità, classificazione, ubicazione e stato del ciclo di vita. Per ciascun asset vengono designati i Proprietari dell'asset, responsabili di garantirne la corretta classificazione, protezione e la validazione periodica delle registrazioni. Il processo di classificazione è alla base dell’intera politica, assicurando che gli asset siano etichettati e gestiti in base a sensibilità, criticità e a eventuali requisiti normativi pertinenti. Le procedure di etichettatura sono applicate sia agli asset digitali sia ai beni fisici e i requisiti di gestione—ad esempio cifratura, archiviazione protetta o restrizioni tecniche—devono corrispondere ai livelli di classificazione. La politica dettaglia i controlli di sicurezza in ogni fase del ciclo di vita dell’asset: onboarding, riallocazione, gestione, utilizzo, restituzione sicura durante la Procedura di uscita e smaltimento sicuro. Stabilisce che l’uso degli asset deve rispettare la Politica di utilizzo accettabile e vieta espressamente il riutilizzo degli asset per uso personale, l’installazione di software non autorizzato o l’elusione di controlli come antivirus e cifratura. Le regole per l’uso di asset remoti richiedono l’impiego di rete privata virtuale (VPN) o tunnel di trasporto sicuro e possono prevedere soluzioni di gestione dei dispositivi mobili e protezione degli endpoint. Le pratiche di dismissione e distruzione sicure sono trattate in modo esplicito, richiedendo cancellazioni crittografiche o distruzione fisica con conferma e conservazione delle registrazioni. Per supportare conformità e gestione dei rischi per la sicurezza delle informazioni, la Politica di gestione degli asset si integra con il Registro dei rischi e supporta valutazione del rischio, gestione delle eccezioni e processi di audit. Le violazioni—come asset non registrati o non autorizzati, smaltimento improprio o disabilitazione dei controlli—costituiscono motivo di escalation e possono comportare provvedimenti disciplinari, penali contrattuali per i fornitori o anche contenzioso. I riesami periodici della politica coinvolgono più gruppi di parti interessate e sono attivati da modifiche normative, risultanze dell'audit, incidenti di sicurezza o cambiamenti operativi sostanziali. Il documento si conclude con riferimenti a politiche correlate: Politica di controllo degli accessi, Politica di classificazione e gestione delle informazioni, Politica di conservazione dei dati, Politica di registrazione e monitoraggio, Politica di risposta agli incidenti (P30), assicurando che la gestione degli asset costituisca un pilastro centrale della più ampia struttura di governance dell’organizzazione. Questa politica non è specificamente etichettata come politica per PMI. È progettata per organizzazioni con team designati quali IT, Responsabile della sicurezza delle informazioni (CISO), Responsabile degli asset e vari stakeholder di conformità e operativi, soddisfacendo i requisiti completi di ISO/IEC 27001:2022 e framework di supporto.