La sicurezza dei dati è una questione di ordine

Alla base del successo di iniziative di outsourcing c’è comunque la procedura interna. Serve capire la criticità degli accordi sui livelli di servizio. Lo spiega Luca Beltramino di TelecityGroup Italia.

Parlare di dati significa confrontarsi col Dna stesso di un'organizzazione: sistemi e procedure interne di un'azienda e quelle dei fornitori sono strettamente connessi.
I migliori firewall e i datacenter con i più avanzati sistemi di sicurezza servono a ben poco se i membri dell'organizzazione non agiscono con cautela quando gestiscono dati business-critical.

Lo sostiene Luca Beltramino, managing director di TelecityGroup Italia, per il quale la sicurezza dei dati presuppone considerare una serie di elementi.
Per le organizzazioni aziendali è fondamentale che i dati siano memorizzati in modo sicuro e disponibili in qualsiasi momento.
E qualunque sia il processo di outsourcing scelto per raggiungere questo obiettivo, la prima cosa da fare è verificare che ci sia ordine all'interno dell'azienda e dell'organizzazione.

L'incremento del cloud, del traffico dati via mobile e dell'accrescimento dei server stanno inducendo molte aziende a esternalizzare i propri processi It ospitandoli in data center esterni da dove poter governare i propri dati.

Le aziende che scelgono l'outsourcing cercano datacenter in grado di fornire un ambiente che soddisfi più esigenze.

Garantire la sicurezza dei dati e delle attrezzature è importante, ma ciò non significa che la certezza di ottenere la massima sicurezza derivi totalmente da quanto fatto dal provider di datacenter.

Per Beltramino un'organizzazione che non ha processi o procedure specifiche che disciplinino il modo in cui gestisce i dati business-critical o le informazioni commerciali sensibili non otterrà un grande beneficio dall'hosting in un data center esterno.
Stabilire accordi certi, sia internamente che esternamente all'azienda, è un prerequisito fondamentale per la sicurezza.
Le aziende dovrebbero rivolgersi allo specialista esterno solo quando le loro politiche e processi interni siano stati effettivamente attuati.

Solo così, per Beltramino, agendo su una situazione certa, il fornitore di servizi è in grado di garantire la sicurezza di politiche e processi e controllare il rispetto dei protocolli.

Un datacenter come partner di outsourcing di un'organizzazione, sia che si tratti di un ambiente fisico o virtuale (cloud-based), deve essere in grado di dimostrare i processi che ha messo in atto.

Ci sono domande essenziali per il cliente? Che certificazioni ha il provider? Con che partner sta lavorando? Che Service Level Agreement ha concordato con i partner? È in grado di mostrare esempi, descrizioni di processo?

Ciò che l'utente chiede è la trasparenza e la comprensione delle modalità che sono state messe in atto per garantire alcune prestazioni, tra cui la sicurezza.
La cosa importante è porre domande critiche.
Un provider può dire che è in grado di garantire sicurezza e disponibilità dei dati e che tutti i suoi processi sono in ordine, ma è essenziale che tale garanzia sia inclusa negli agreement. L'importanza che il cliente dà ai propri stakeholder circa sicurezza e disponibilità dei dati riflette quanto stipulato con il fornitore.

Se il provider presenta uno Sla molto vago, il cliente dovrebbe insospettirsi. È fondamentale vigilare e non lasciare nulla al caso.
Oltre alle informazioni riguardanti certificazioni e procedure, gli Sla sono il vero benchmark per il cliente.

Nessun sistema può essere sicuro al 100%. Quando si parla di sicurezza, dice Beltramino, non esiste Utopia, un mondo ideale e perfetto.
Anche importanti istituzioni finanziarie, come noto, sono state bersaglio di tentativi di hacking.
Esistono solo differenti livelli di sicurezza ed è l'azienda che deve decidere se quel livello di sicurezza sia abbastanza sicuro per le sue esigenze.
Oggi il più alto livello di sicurezza coincide col massimo livello di servizio, ossia il primo è la diretta conseguenza degli sforzi realizzati per raggiungere il secondo.

I datacenter hanno una grande responsabilità e per questo devono essere posizionati in luoghi strategici e le infrastrutture allestite secondo i massimi standard, così che anche nel caso del peggiore disastro la continuità del servizio ai clienti non venga meno. Oltre all'infrastruttura sicura, è altrettanto essenziale la sicurezza fisica del luogo, il che è ben visibile ai visitatori che arrivano alla barriera di sicurezza che circonda il sito.

Le procedure devono essere severe e nessuno deve poter entrare nel datacenter senza rispettarle. Gli stessi clienti devono sperimentare con mano il sistema di sicurezza circa la parte fisica del datacenter.

Al pari degli Sla, è altrettanto importante che le aziende siano in grado di misurare la fiducia che ripongono nel provider osservando come esso opera in situazioni pratiche.
Oltre a fare affidamento sul funzionamento del servizio e sugli accordi, è importante che il cliente veda fisicamente quanto messo in pratica e come in tutto questo operino delle persone.

Sicurezza fisica, conclude Beltramino, significa anche gestire le informazioni circa i dipendenti delle aziende clienti dei datacenter.
Come un provider deve gestire gli elenchi di dipendenti dei clienti autorizzati dalla loro azienda ad accedere ai server? Parte integrante del servizio è gestire le informazioni relative ai clienti.
Va da sé che il personale non deve mai divulgare le informazioni dei clienti a terzi senza autorizzazione.

Del resto sono sempre più i clienti che chiedono che la loro presenza nei datacenter sia tenuta nascosta al mondo esterno. In questi casi, i dipendenti dei clienti fanno uso di nomi in codice in tutte le comunicazioni riguardanti qualsiasi processo. Dall'altra parte il personale dei data center deve essere pienamente consapevole del fatto che i server sono utilizzati per dati sensibili e business-critical.
Soprattutto devono avere ben chiaro che la sicurezza è una questione di responsabilità e accountability delle persone che lavorano all'interno di un'organizzazione.

La sicurezza, riprende il concetto Beltramino, riguarda il Dna di un'organizzazione. I dipendenti del datacenter devono essere consapevoli del fatto che le loro azioni, la loro professionalità, ha un impatto sulla vita dei clienti. Non bisogna lasciare nulla al caso, senza eccezioni; bisogna essere veri professionisti, il “quasi perfetto”, quando si parla di sicurezza dei dati, non deve esistere.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome