Per molte aziende, soprattutto Pmi, è più vantaggioso delegare all’esterno la gestione di firewall o Vpn, così come il risk management. Necessaria la definizione rigorosa di un Service level agreement, sulla base di una dettagliata reportistica sullo stato del servizio erogato.
Un buon modo per affrontare il tema della sicurezza, soprattutto per le Pmi, è quello di farsi aiutare e non cercare di fare tutto quanto da soli, in special modo se non si possiedono risorse interne sufficientemente skillate. L’agire in modo autonomo presenta due rischi: quello dell’inesperienza di chi chiude la porta ma lascia aperta la finestra e quello di impiegare troppo tempo e chiudere la stalla quando i buoi sono già scappati. Esistono ormai metodiche in base alle quali è possibile fare test di verifica dei punti di debolezza di una rete direttamente da un sito remoto e tenerne controllata la solidità nel tempo con analisi periodiche. Si apre, dunque, la porta alla possibilità di erogare la sicurezza come un servizio completo, in cui non si acquistano più le componenti ma si paga un canone per ciascun utente che si intende proteggere. I vantaggi di questa soluzione sono molti: oltre a non avere ingenti esborsi iniziali, ma un canone progressivo al crescere degli utenti, si può avviare la protezione di una rete nel giro di poche settimane o addirittura in alcuni giorni.
Il primo passo è quello di partire da una verifica dello stato di fatto o "security assessment". Una volta definito l’orizzonte in cui ci si muove è possibile fissare obiettivi e tempi ricordando che lo scopo è quello di migliorare continuamente, senza pretendere di giungere a una sicurezza assoluta, che non esiste. Lo scopo è quello di essere ogni giorno più sicuri del giorno precedente.
I vantaggi della delega
È possibile individuare quattro motivi scatenanti per i quali i servizi di sicurezza vengono delegati a terze parti: tecnologico, consulenziale, di servizi ed economico.
Molto spesso le imprese manifestano una non-volontà di gestire la tecnologia. In questa fascia rientrano principalmente aziende piccole e medie per le quali non risulta conveniente avere presso la propria sede la struttura informatica necessaria per gestire i servizi di sicurezza: nascono in questo modo le proposte di housing e hosting, che stanno evolvendo verso le innovative proposte di servizi in modalità Asp (Application service provider).
Le soluzioni oggi disponibili sul mercato offrono la possibilità di gestire in outsourcing i firewall (qualunque sia il loro numero e la loro distribuzione sul territorio), gli acceleratori Ssl hardware, la gestione e la configurazione delle Vpn (Virtual private network) necessarie per realizzare la connessione extranet. Inoltre, come conseguenza dell’outsourcing delle Vpn, il mercato ha manifestato l’esigenza di centralizzare presso il fornitore del servizio l’hardware e l’infrastruttura necessarie per i meccanismi di strong authentication, sia tramite smart card sia tramite token Usb.
Nel caso in cui l’infrastruttura tecnologica sia già stata installata, vi è la possibilità che manchino le competenze specifiche per la gestione e la realizzazione del servizio; il know how è quindi lo scopo principe per cui optare per l’outsourcing.
La risposta dei fornitori a questo tipo di esigenza è la consulenza nella realizzazione e nella gestione del servizio presso il cliente stesso.
In quest’ottica vengono erogati servizi di vulnerability check, risk assessment e risk management. Nel caso quest’ultimo sia delegato totalmente, vengono coperte anche le problematiche di redazione di procedure interne legate ad aspetti legali e normativi.
La scelta di demandare in outsourcing la completa gestione di un servizio di sicurezza è caratteristica di aziende di medie e grosse dimensioni per le quali è fondamentale disperdere la minor quantità possibile di risorse umane ed economiche al fine di concentrare le proprie potenzialità nel consolidamento e nello sviluppo del loro core business.
In questo caso è forte e costante il controllo operato sul fornitore del servizio realizzato tramite la definizione rigorosa di Sla (Service level agreement, l’accordo tra cliente e fornitore che prevede penali in caso quest’ultimo non eroghi il servizio come pattuito) concordati durante la stesura del contratto. L’esigenza di avere un outsourcing completo sfocia tipicamente in servizi di intrusion detection intesi come completa gestione in tempo reale degli allarmi e delle reazioni alle intrusioni. Questa tipologia di servizio viene richiesta principalmente da realtà aziendali con strutture It di grosse dimensioni e particolarmente complesse; è questo il motivo per cui in questa fascia rientrano quasi solamente le grandi imprese.
Lo Sla
I livelli di servizio richiesti al fornitore sono strettamente correlati all’impatto effettivamente generato dalla decisione di avvalersi di una strategia di outsourcing della sicurezza.
Le varie tipologie di Sla dipendono fortemente dal tipo di outsourcing scelto: si parte da una forma di controllo molto semplice in cui gli unici due parametri imposti sono l’Mtbf (Mean time between failure, cioè il tempo medio tra due avarie) e l’Mttr (Mean time to repair, cioè il tempo di riparazione medio), considerando il servizio e non più l’hardware.
In questi termini il principale elemento da concordare è, paradossalmente, che cosa significhi esattamente "non disponibilità del servizio"; per esempio un sistema di intrusion detection può non avere dei parametri molto stringenti, ma comprendere una clausola che garantisca la piena efficienza del servizio in condizioni di aumenti sensibili delle sessioni o nei periodi immediatamente successivi ad attacchi.
Per il fornitore una delle principali difficoltà nella gestione di un servizio in outsourcing è quella di mediare insieme al cliente tali valori, anche in forza del fatto che a livelli di servizio maggiori corrispondono canoni economici che possono, almeno in prima battuta, dissuadere il cliente.
Report di controllo
Qualsiasi fornitore di servizi di outsourcing di sicurezza deve essere in grado di offrire al suo cliente una dettagliata reportistica sullo stato del servizio erogato; soltanto tale strumento di misura, infatti, avvalora le clausole inserite nello Sla.
Trattandosi di argomenti delicati, in cui si viene naturalmente a contatto con informazioni riservate, il fornitore deve garantire il cliente anche da un punto di vista legale.
Già in fase di discussione di offerta conviene prevedere un documento di "non disclosure agreement" che serve a garantire il cliente riguardo alla non diffusione dei dati di cui si viene a conoscenza.
L’assicurazione del fornitore
A fronte di quanto prevede la legge e delle quasi certe richieste del cliente riguardo all’inserimento di penali all’interno dei Service level agreement, risulta fondamentale per qualsiasi azienda fornitrice di servizi di outsourcing della sicurezza stipulare assicurazioni che possano metterla al riparo da eventuali rivalse da parte del committente. Esistono già forme assicurative che tutelano tanto il fornitore del servizio quanto il danneggiamento o la distruzione volontaria o involontaria dei dati.
Anche quando la gestione della sicurezza è demandata a un fornitore, un comportamento corretto dovrebbe includere in ogni caso una sorta di "programma di comportamento informatico", un decalogo da diffondere fra i dipendenti, per limitare i rischi.
