Sotto il nome di questa rubrica abbiamo percorso in lungo e in largo gli scenari della sicurezza. Poi ci viene in mente – visti alcuni recenti confronti – che il termine asset crea ancora un po’ d’incertezza e che addirittura, per alcune organizzazioni, risulta fuorviante. E’ meglio quindi spendere due parole in più a questo proposito, per poter assicurare una “protezione dei beni” efficace.
Primo passaggio utile: comprendere cos’è un bene (asset) all’interno di un’organizzazione. La definizione è abbastanza semplice: qualsiasi cosa che abbia un valore. Ed il bene più prezioso per un’organizzazione non è forse la propria capacità di erogare i servizi con il fine di perseguire gli obiettivi pianificati? Ecco facilmente spiegato perché la business continuity è tanto importante. Se uno o più servizi rallentano o si fermano, l’organizzazione non fattura, perde soldi un tanto al minuto o al giorno, o peggio ancora con il trascorrere del tempo subisce i danni economici più disparati.
I servizi vengono progettati ed erogati grazie alla capacità di ripetere una sequenza di attività trasformando gli input negli output attesi, ovvero i processi. Ne consegue, per sillogismo, che anche il corretto e continuativo funzionamento di ogni singolo processo costituisca un bene aziendale.
A loro volta i processi avvengono mediante l’impiego di un’infrastruttura fisica, di un’infrastruttura tecnologica (sia hardware che software), delle persone, di apparecchiature e di documenti (es. procedure, licenze, certificati, ecc.). Quindi anche tutti questi elementi dovrebbero essere considerati come beni.
Il particolare non trascurabile è che tutte le componenti di uno o più processi e di uno o più servizi sono relazionate tra loro attraverso un flusso di informazioni, alcune delle quali devono restare confidenziali o riservate. E sempre per logica ecco spiegato perché la perdita di disponibilità, integrità o riservatezza di informazione può rappresentare un cortocircuito nel sistema che abbiamo descritto sino ad ora. Ne consegue che anche le informazioni rappresentano a pieno titolo un bene da proteggere e per farlo è necessario avere contezza di quali classi omogenee transitano attraverso quali elementi dell’infrastruttura tecnologica e quali persone.
Secondo passaggio utile: comprendere quanto vale un bene. Alla luce di ciò che abbiamo ragionato sino ad ora, potremmo ancora sostenere l’ipotesi secondo la quale il valore di un bene corrisponde al suo costo, svincolandolo dal valore complessivo di tutti gli elementi con i quali è chiamato a relazionarsi? Ed in più bisogna aggiungere un’ulteriore riflessione. Il valore di un bene non è forse anche costituito dal costo del danno, nel caso in cui risultasse temporaneamente oppure permanentemente indisponibile? Ne consegue che lo sforzo per valutarlo economicamente è costituito dall’analisi delle sue relazioni sommato alla valutazione economica dei danni ad esso relazionabili.
Terzo passaggio utile: quali beni proteggere e come. Sarebbe bello poter proteggere tutti i beni di un’organizzazione. Ma siamo realistici, i capitali a disposizione sono finiti. Ecco perché è importante saper individuare quelli che hanno un valore elevato e mettere mano (identificare e attuare opportuni controlli e contromisure) al portafogli in modo consapevole ed intelligente in base alle risultanze di una risk analysis coerente con i principi sino ad ora condivisi.
In quest’ottica il valore degli asset materiali si approssima allo zero, se paragonato con il valore generato dalle sue interazioni con gli asset immateriali. Come anche si approssima allo zero il livello di efficacia di un sistema di risk management che si ostina alla conta dei pezzi oppure a separare le differenti sicurezze millantando di poter raggiungere un maggior livello di dettaglio nella valutazione dei rischi. Insomma, quando si parla di asset management bisogna capire che la questione è cambiata di molto nell’ultimo decennio. Che l’immateriale vale molto più del materiale e che per sua natura è molto più difficile da valutare. Ma uno sforzo è d’obbligo, altrimenti l’intero business è esposto ad un rischio probabilmente fatale.
