Questo tipo di servizio, praticabile solo nel caso in cui gli utenti siano piccole e medie imprese, va analizzato con la massima cautela. La garanzia, da parte del fornitore, dell’osservanza di alcuni parametri specifici rappresenta un approccio di qualità.
Quella in cui stiamo vivendo può essere definita l’era dell’esternalizzazione. In molti campi, si assiste alla tendenza a spingere verso l’outsourcing: i gestionali, lo storage, i servizi Internet e, ora, la sicurezza, un fenomeno che, di fatto, ha visto la luce poco più di un anno fa. Qualche teorico, anche molto autorevole, come Bruce Schneier, il creatore degli algoritmi di crittografia Twofish e Blowfish, ha definito gli Mss (Managed security services) l’emblema della "sicurezza informatica del ventunesimo secolo". Un commento un po’ di parte, verrebbe da osservare, dato che Schneier ha un’azienda che si occupa di queste cose. Per tale motivo, potrebbe essere più opportuno definire gli Mss come una delle migliori opportunità di business del ventunesimo secolo.
Secondo Schneier, da sempre fautore dell’impiego attivo della crittografia come difesa fondamentale dei sistemi informativi (sia pur con un attimo di parziale ripensamento espresso nelle sue ultime pubblicazioni), l’approccio tradizionale alla sicurezza informatica non funziona. Questo soprattutto a causa dell’incremento esponenziale dei bachi di piattaforma e dell’incapacità cronica di alcuni amministratori nel tenere aggiornate le proprie risorse. Inoltre, sempre in base al pensiero di Schneier, molto spesso si pensa alla security come a un mero impiego di tecnologie, e questo non è sufficiente.
In alternativa, Counterpane (l’azienda fondata dal noto crittologo) sviluppa il business principalmente sulla gestione dei servizi di monitoraggio, basati sul binomio tecnologia proprietaria/know how dei propri analisti. Va subito chiarito che per Counterpane i servizi di monitoraggio possono rappresenare un segmento dei Managed security services in generale, o una loro estensione. Ciò premesso, Counterpane afferma che si tratta di due esperienze totalmente differenti, anche perché i servizi di monitoraggio sono in grado di identificare e risolvere problemi che gli Mss "puri" rischiano di non riconoscere. Il concetto è opinabile, in quanto esistono altre aziende in grado di fare entrambe le cose (Ubizen, per esempio) e i due "acronimi" interagiscono tra loro.
Ma le definizioni, in questa sede, non contano. Come abbiamo scritto più volte, i servizi di sicurezza offerti in outsourcing hanno aperto una nuova possibilità di business e consentirebbero un doppio beneficio. Dal lato dei fornitori di servizio, come abbiamo appena detto, la possibilità di condurre nuovi affari porterebbe a un innalzamento del livello di sicurezza, dovuto principalmente alla centralizzazione del management e al consolidamento delle tecnologie.
Ma è veramente così?
Prendiamo il framework Msm (Managed security monitoring) di Counterpane. Si basa su una tecnologia proprietaria (denominata Socrates), che, evidentemente, è in grado di interagire con la massima reattività e precisione con lo staff degli analisti, i quali avvisano prontamente il personale del cliente o, in alternativa, effettuano le modifiche del caso. Non c’è materia di discussione, soprattutto in relazione all’alto livello di specializzazione di queste persone.
Superare le difficoltà
Sussistono, comunque, dei problemi non indifferenti. Il primo è capire se i firewall e gli Ids sono di proprietà del cliente o gestiti da un Mss diverso da chi effettua il monitoraggio. Si nutrono seri dubbi sul fatto che qualcuno sia intenzionato a collaborare, vuoi per mancanza di volontà, vuoi per giuste politiche di sicurezza basate sulla non divulgazione delle procedure interne.
Il secondo riguarda la tecnologia proprietaria, che rischia di vincolare troppo il cliente. In questo caso la scelta definitiva potrebbe soffrire delle relative valutazioni. Da qui alcune considerazioni: vi sono esempi di banche o altre istituzioni simili che si sono affidate a fornitori appartenenti a questa tipologia? Se la risposta è affermativa, ne scaturisce un’altra: con che tipo di contrattualistica e quali garanzie? E inoltre: come bisogna valutare, al giorno d’oggi, l’uso di tecnologie proprietarie?
A parere di chi scrive, l’outsourcing nella sicurezza è una questione da prendere con la massima cautela. Nel caso, comunque, si dovesse decidere per una soluzione di questo tipo, diventerebbe necessario valutare una serie di parametri qualitativi che il fornitore deve garantire. Dette condizioni devono interessare sia le tecnologie impiegate, sia la loro implementazione, sia il relativo utilizzo e, soprattutto, la definizione legale dei termini.
Mss e Msm non sono adatti a impieghi militari/governativi, a meno che non se ne occupino agenzie interne, all’uopo preposte, ma, come abbiamo avuto l’occasione di dire più volte, molte piccole e medie imprese sarebbero in grado, con l’adozione di tale modello gestionale, di abbassare drasticamente i costi e, di fatto, scaricare alcune responsabilità, anche penali. Ma queste ultime, ovviamente, hanno un costo. Una cosa è certa: se alcuni modelli di business andranno avanti anche nelle grosse realtà, sarà anche perché il management delle aziende clienti non avrà saputo gestire a dovere le risorse It interne.
