Prima di valutare l’ipotesi di esternalizzare la gestione di parte della sicurezza It, il Cso o il Cio devono valutare attentamente alcuni elementi. Il Managed security service provider (Mssp), infatti, deve possedere soprattutto alcune capacità e cred …
Prima di valutare l’ipotesi di esternalizzare la gestione di parte della sicurezza It, il Cso o il Cio devono valutare attentamente alcuni elementi. Il Managed security service provider (Mssp), infatti, deve possedere soprattutto alcune capacità e credenziali tecniche imprescindibili. Queste le più rilevanti secondo il parere di Eric Domage, manager Western European Security Research and Consulting di Idc.
Sicurezza fisica: il cliente potrà valutarla direttamente visitando il Ced del fornitore di servizi. In particolare, dovrà prestare molta attenzione al grado di protezione perimetrale (fisica) dell’edificio e della sala dati, cercando di valutare la presenza di forme di limitazione del movimento da parte del personale impiegato. Dovrà, inoltre, chiedere di visionare i piani di backup e ripristino delle funzionalità delle macchine ospitate. Sarebbe buona norma chiedere all’Mssp di esibire le certificazioni tecniche del personale interno, per valutarne il grado di preparazione.
Adeguatezza delle reti: il Mssp deve garantire la bontà della sua infrastruttura di rete, sia interna che esterna. Sotto il profilo del disaster recovery, ad esempio, il livello minimo di policy implementate è assicurato dalla presenza di due siti adeguatamente distanti e ridondati, a garanzia del disaster recovery. Bisognerà anche valutare la capacità della rete backbone e la ridondanza in ambito Wan.
Partnership tecniche: gli utenti dovranno verificare le partnership tecniche per le tecnologie non coperte direttamente dal fornitore di servizi. Nessun player, infatti, in linea di principio è in grado di coprire al 100% le tecnologie di sicurezza in house. La presenza di nomi blasonati e tecnologie dalla reputazione solida deve, quindi, essere tenuta in dovuta considerazione.
Standard e conformità: in materia di conformità alle normative nazionali e internazionali, i contratti dovranno indicare chiaramente i termini di responsabilità del fornitore di servizi e questo richiede, inevitabilmente, il coinvolgimento dell’ufficio legale del cliente. In particolare, occorre che dal contratto emergano chiaramente i termini con i quali andranno preorganizzate le situazioni di emergenza, per stabilire di preciso chi è responsabile di cosa.
Outsourcing vuol dire re-insourcing: l’opportunità del fallimento è sempre dietro l’angolo. Ecco perché chi è scontento della situazione contrattuale dovrà avere già chiaro in testa le modalità meno traumatiche per riportare in casa i processi esternalizzati.
Il Roi: secondo alcuni Cso, un utile metro per la valutazione del ritorno di un’iniziativa di gestione delle identità e degli accessi è rappresentato dalla riduzione delle chiamate all’help desk da parte del personale che ha problemi a collegarsi al sistema informativo. Anche se per altre tecnologie di protezione la valutazione della bontà di un investimento non è così immediata, il cliente dovrà chiedere al fornitore di servizi le proiezioni sul Roi. In genere, infatti, questo tipo di valutazioni indirizza chiaramente il top management.
