Il management dell’azienda è il responsabile ultimo per la protezione dei dati dei clienti e delle risorse IT critiche, che siano gestiti internamente o che affidati a servizi di sicurezza esterni. Questi ultimi sono noti come outsorurcer o come managed security service providers (MSSP).
L’azienda ha la responsabilità di decidere se esternalizzare o meno queste operazioni dedicate alla sicurezza ma, in ogni vaso, non si può prescindere da una efficace struttura di controllo. Infatti, l’azienda deve essere pronta ad evitare perdite di dati che possono essere causate da un disastro naturale, da una violazione da parte di hacker, da frodi interne o dal mancato rispetto dei service-level agreements (SLA).
Un recente sondaggio effettato dalla ESG Research ha evidenziato come il 57% dei 340 professionisti della sicurezza intervistati, stiano attualmente utilizzando un servizio di sicurezza esterno per proteggere i loro endpoint.
I trend raccontano come i managed security service provider oggi si occupino della cosiddetta colocation dei servizi aziendali, di una gestione dei dispositivi per le comunicazioni di tipo OSI (Open System Interconnection), l’analisi delle vulnerabilità della rete, includendo le attività di monitoraggio e di analisi delle vulnerabilità anche per le applicazioni Web, il controllo degli eventi malevoli e gli alert relativi rispetto all’insorgenza di problemi sulla rete, l’aggiornamento dei sistemi operativi e delle applicazioni, il backup e il ripristino dei dati critici e molto altro ancora.
Tuttavia, ci sono pro e contro per demandare ad aziende di sicurezza che operano in outsourcing la sicurezza della proprie informazioni sensibili.
I vantaggi dell’outsourcing
In genere i team di sicurezza informatica interna sono sempre in lotta per ottenere i finanziamenti necessari a mantenere una sicurezza adeguata dei dati aziendali. Spesso però capita che alcuni non abbiano le competenze, gli strumenti e il personale sufficienti per implementare un livello di sicurezza appropriato. Molte aziende stanno guardando cosa offre il mercato dell’outsourcing anche in questo delicato campo. Alcuni vantaggi di esternalizzare la gestione della sicurezza aziendale sono:
- Gli investimenti ridotti al minimo
- Personale esperto dedicato alla protezione delle risorse critiche
- In generale, la spesa per il personale IT molto ridotta
- Il monitoraggio continuo, a livello di sicurezza, della propria rete aziendale
- Le aziende non devono spendere soldi per la formazione, per ammobiliare gli uffici, per comprare attrezzature e software e in generale per altri costi operativi
- Il costo per un servizio in outsourcing è significativamente inferiore rispetto ad avere internamente lo stesso livelli di servizio
Gli inconvenienti dell’esternalizzazione
Nonostante ciò, se si decide di esternalizzare questi servizi, possono insorgere problemi che coinvolgono le stesse aree in cui i fornitori esterni di servizi di sicurezza pretendono di aggiungere valore come, ad esempio, competenze, strumenti e persone. Alcuni svantaggi di avere in outsourcing la sicurezza della propria rete aziendale sono:
- Regolamentazione non conforme con le direttive sulla sicurezza aziendale o passività verso l’azienda
- Perdita, nel corso del tempo, degli esperti in materia di sicurezza presenti in azienda
- Incomprensione da parte dei fornitori esterni di servizi di sicurezza rispetto alla cultura dell’azienda o dal settore in cui opera e spesso non si rapportano in alcun modo con il personale aziendale interno
- Fiducia cieca da parte dell’azienda nel fornitore esterno che gestisce la proprietà intellettuale dei dati e tutte le informazioni sensibili dei clienti
- Potere decisionale da parte del managed security service provider che decide quali software e quali hardware sono necessari per la sicurezza dell’azienda
- Necessità di licenziare il personale dedicato alla sicurezza, o gradualmente trasferire tale personale in altri reparti
Cosa sapere prima di passare a fornitori esterni di sicurezza
Non tutti i provider di sicurezza di sicurezza esterni sono uguali. Sarebbe comodo e interessante per l’azienda se potesse contare uno che possa fare tutto, ma purtroppo non esiste ancora. Prima di decidere se collocare in outsourcing, tutto o una parte qualsiasi del programma di sicurezza delle informazioni, è necessario considerare quanto segue:
- Assicurarsi che ci sia un contratto di servizio che fornisce il livello di sicurezza necessario per regolamentare la conformità e la disponibilità del sistema
- Assicurarsi che fornitore di servizi di sicurezza sia in possesso di un attestato di conformità per il Payment Card Industry Data Security Standard ( PCI DSS)
- Assicurarsi che fornitore esterno di servizi di sicurezza elenchi i singoli requisiti PCI DSS che possono soddisfare il servizio richiesto
- Ottenere un accordo con il fornitore di servizi di sicurezza dove si denoti che esso rispetterà la politica aziendale per la sicurezza delle informazioni, i requisiti di backup, i requisiti di conservazione dei dati e le scansioni per scovare vulnerabilità, come previsto dal regolamento interno dell’azienda
- Richiedere al fornitore di servizi di sicurezza una clausola di risoluzione del contratto, il diritto alla clausola di controllo e limitazione della clausola sulle responsabilità
- Ottenere obiettive referenze del fornitore esterno
- Determinare il costo totale previsto fino alla fine del contratto
- Creare un Computer Security Incident Response Team che si interfacci e lavori in sinergia con il fornitore dei servizi di sicurezza esterno
Sicurezza in outsourcing senza dimenticarsi di quella interna
Al giorno d’oggi c’è chiaramente una tendenza a esternalizzare molti servizi IT tipicamente gestiti in-house. I vantaggi finanziari sono significativi in quanto i costi di gestione per l’esecuzione di un dipartimento IT sono in genere inferiori al canone mensile di un security outsourcer. Detto questo, l’azienda ha il compito di determinare il total cost of ownership per l’estensione eventuale del contratto. Sarà inoltre difficile trattenere esperti in materia di sicurezza alle proprie dipendenze, dal momento che non questi non saranno più in grado di utilizzare e far crescere le proprie competenze se il lavoro che devono svolgere è stato collocato in outsourcing. L’azienda avrà ancora comunque bisogno di un programma di sicurezza dei dati. Questo significa avere una politica ben definita per la sicurezza delle informazioni, una valutazione del rischio, un collaudato piano di risposta in caso di violazione dei dati, una formazione continua dei dipendenti per la sicurezza e il trattamento dei dati, standard di codifica sicura, un programma di gestione dei cambiamenti, gestione degli allarmi di sicurezza (anche se questi sono generati dal fornitore esterno), un programma di conformità sulla sicurezza informatica e così via. Avere in outsourcing la gestione della sicurezza delle proprie informazioni, non limita la responsabilità dell’azienda. E sempre dell’azienda infatti la responsabilità di affermare l’efficacia della struttura di controllo, sia questa interna o esterna.
Se affidate la sicurezza dei vostri dati a un fornitore esterno, i pro e contro sono simili. Valutandoli in una scala più ampia, però, i fornitori di servizi di sicurezza gestiti sono una buona opzione per aumentare le competenze attualmente presenti con il personale esistente. Inutile dire che la decisione di affidarsi a un fornitore sterno di servizi di sicurezza non è cosa da poco e deve essere ben pianificata.