I.Net offre un approccio sistematico al tema della sicurezza, suggerendo alcune linee guida per un outsourcing vincente
Il Gruppo I.Net, attivo ormai da anni nella fornitura di soluzioni di outsourcing alle aziende italiane grandi e piccole, ha accumulato una considerevole esperienza su dinamiche ed esigenze del mercato. La qualità dell’offerta spazia dai progetti di full outsourcing, che comprendono un intero processo o un’intera funzione, a progetti multisourcing dove I.Net lavora insieme a diverse aziende specializzate in uno specifico settore, spesso nel ruolo di coordinatore e di capo-commessa.
Mauro Cicognini, Security Offer Manager di I.Ney
«Interpretiamo il nostro ruolo sempre con grande umiltà – racconta Mauro Cicognini, Security Offer Manager di I.Net -, consci del fatto che è comunque necessario apprendere e migliorare continuamente. Questo ci ha permesso di imparare a gestire una relazione che, a priori, non è affatto banale: da un lato il committente che desidera delegare un processo, o una sua parte e, dall’altra, il fornitore che deve realizzarlo. La relazione è ancora meno banale se si considera che, nella maggioranza dei casi, si tratta di progetti di disaster recovery che hanno un impatto sulla continuità dei processi di business del committente».
Quali sono i motivi che spingono le aziende a esternalizzare certe attività?
«Possono sussistere diversi motivi. La scelta di delegare anche solo una parte della sicurezza può venire da un incremento delle esigenze di servizio interne come, ad esempio, estendere l’erogazione su una fascia oraria più ampia, oppure dalla necessità di acquisire rapidamente competenze verticali o, ancora, dalla volontà di ottimizzare il Tco».
Secondo le ultime analisi, oggi l’Europa è diventata il più grande mercato per l’outsourcing, arrivando a detenere il 56% del mercato mondiale, con un movimentazione di contratti pari a un valore di 20 miliardi di euro. Questo significa che sono sempre di più le aziende che credono fortemente nella strategicità della terziarizzazione…
«Sicuramente. Tuttavia la decisione di esternalizzare per un’azienda non è mai presa a cuor leggero. A fronte della voglia, e spesso della necessità, di delegare almeno parte dei compiti, esiste una concreta e non del tutto ingiustificata ritrosia dovuta al timore di un possibile rallentamento dei processi o di una minore flessibilità. Rispetto ad alcune esperienze negative registrate in passato, oggi è innegabile che l’outsourcing permette a imprese e organizzazioni di liberare risorse e di inaugurare nuove economie di scala. Sul fronte della sicurezza il discorso è certamente più delicato in quanto una gestione esterna viene vista come rischiosa. In realtà, tutto dipende dalla qualità del progetto di outsourcing e dalle modalità del servizio sviluppato.
Quali sono i criteri che risultano fondamentali per il successo di un servizio in oustosurcing?
«Innanzitutto è necessario analizzare a monte tutti i processi correlati al servizio, definendo nel dettaglio i limiti delle responsabilità, l’attribuzione dei ruoli e stabilendo precise linee guida nella messa a punto delle operazioni necessarie a disegnare in toto il progetto di esternalizzazione. Soprattutto nell’ambito della sicurezza, infatti, una corretta esecuzione dei processi delegati richiede una formalizzazione che, generalmente, risulta superflua quando i processi vengono erogati in-house. Le uniche realtà in cui questi processi sono stati riesaminati e strutturati sono quelle che hanno dovuto affrontare certificazioni come, ad esempio, le Iso 27000 o Sarbanes-Oxley, che impongono l’elaborazione di una documentazione degli input e degli output di ciascun passo dei processi importanti. Nel farlo, queste organizzazioni si sono trovate di fronte a svariate manchevolezze dei processi preesistenti, che sono quindi stati emendati per incrementarne appunto la sicurezza o la tracciabilità».
Quali sono le criticità maggiori per un outsourcer?
«La difficoltà di tradurre in servizi le richieste che per il committente risultano ovvie ma che in realtà non lo sono affatto. Un progetto di outsourcing vincente deve prevedere un lavoro di concerto tra l’outsourcer e il committente in quanto, senza un’analisi a priori dei processi, non è possibile formalizzare una lista di requisiti e di incombenze in modo che risulti sempre chiaro ed evidente cosa è stato delegato e cosa no. La trasparenza di una relazione si basa su un approccio analitico dettagliato. Il cliente avrebbe bisogno di un pool di esperti che lo aiutino e lo supportino nella definizione di tutte le linee di servizio atte a impiantare una security allineata alle esigenze aziendali. Quello che cercano le aziende è un partner capace di offrire una consulenza a tutto campo e si aspettano da lui dei buoni suggerimenti, concreti e mirati alle specificità della propria impresa. Proprio per questo il Gruppo I.Net è attivo da vari anni con un braccio consulenziale che è in grado di affiancare i clienti nel riesame dei propri processi alla luce delle migliori linee guida internazionali, ampiamente condivise nel settore».
Il valore di un’attività preliminare di consulenza, analisi e sviluppo definisce una nuova politica di servizio nel campo della terziarizzazione. A livello di back end come viene recepito questo tipo di approccio?
«Progetti di outsourcing così definiti se ben condotti costituiscono un vero valore anche per la realtà interna, che può scoprire le proprie inefficienze e risolverle. In altre parole, cercando di spiegare a un estraneo come lavoro scopro anch’io delle cose che non sapevo su me stesso; se faccio il lavoro bene sono in grado di delegare a questa persona parte dei compiti che prima svolgevo da solo, con la certezza che si innesteranno correttamente nei miei processi e mi consentiranno di raggiungere più facilmente gli obbiettivi del business plan. La sicurezza è una componente fondamentale della corporate governance e richiede un piano ben pensato perché, altrimenti, il committente si sentirà defraudato delle sue prerogative decisionali e di governo».
Il perimetro aziendale oggi è minacciato da ogni sorta di attacco interno ed esterno, che mette a repentaglio la sicurezza di infrastrutture, sistemi e informazioni. L’evoluzione degli attacchi costringe le aziende a fare scelte precise…
«Per molto tempo si è pensato che non fosse corretto dare in outsourcing la sicurezza. In realtà, ciò che deve essere mantenuto “in casa” sono il disegno e il controllo del progetto, mentre è possibile delegare all’esterno l’effettiva implementazione del piano, che comprende politiche stabilite di sicurezza, sempre allineate con le più aggiornate tecnologie e metodologie di protezione. Senza un approccio sistematico, qualsiasi progetto risulta monco e approssimativo; a poco giova, ad esempio, l’introduzione della massima tecnologia in tema di Identity and Access Management, quando non è chiaro chi possa accedere a cosa, quali siano i beni cui accedere, chi fa parte dell’insieme degli utenti potenziali, cosa succeda in caso di violazioni delle regole e via dicendo. In generale, l’allocazione di risorse, per definizione finite, e quindi scarse, su un tema complesso come quello della sicurezza, senza un’adeguata pianificazione, è destinato a fallire miseramente. Mi preme sottolineare come la pianificazione di un progetto di outsourcing non comprende solo l’aspetto finanziario, che ovviamente non manca mai, ma soprattutto l’aspetto organizzativo e logico-strutturale, che sono determinanti ai fini della reale efficacia del progetto».
