Asset Security

<h2>Cos’è Asset Security nel CISSP</h2> <p>Asset Security riguarda la protezione delle informazioni e degli altri asset aziendali in base al loro valore, sensibilità e criticità. Questo dominio tratta il modo corretto di classificare, gestire, conservare e distruggere i dati in sicurezza.</p> <h2>Classificazione delle informazioni</h2> <p>La classificazione serve a stabilire il livello di protezione richiesto da un’informazione. Le organizzazioni definiscono categorie come pubblico, interno, confidenziale o riservato, in base all’impatto che avrebbe una divulgazione non autorizzata.</p> <h2>Ownership e responsabilità</h2> <p>Ogni asset dovrebbe avere un owner responsabile della classificazione, della protezione e delle regole di accesso. Il custodian, invece, si occupa della gestione operativa e tecnica dell’asset secondo le regole stabilite dall’owner.</p> <h2>Data lifecycle</h2> <p>I dati devono essere protetti lungo tutto il loro ciclo di vita: creazione, archiviazione, utilizzo, condivisione, backup e distruzione. Ogni fase introduce rischi specifici che richiedono controlli adeguati.</p> <h2>Retention e distruzione sicura</h2> <p>Le policy di retention definiscono per quanto tempo i dati devono essere conservati. Quando non sono più necessari, devono essere eliminati in modo sicuro, ad esempio con wiping, degaussing o distruzione fisica dei supporti.</p> <h2>Data handling</h2> <p>Il data handling include tutte le procedure per etichettare, memorizzare, trasmettere e proteggere correttamente le informazioni. Una cattiva gestione può esporre dati sensibili anche se i sistemi tecnici sono ben protetti.</p>