Come si può valutare a priori la “bontà” di un fornitore professionale di servizi di sicurezza? Alcuni consigli utili da Forrester Research
Sono sempre più numerose le realtà che decidono di dare in outsourcing porzioni più o meno significative della propria infrastruttura di sicurezza. La scelta è, nella maggior parte dei casi, legata all'impossibilità di “star dietro”, con uomini e mezzi, all'evoluzione che le minacce al sistema informativo aziendale stanno avendo negli ultimi anni «ma anche - esordisce Paul Stamp, principal analyst di Forrester Research - al progressivo aggravio dei costi legati all'inadeguata protezione, che spaventa sempre più le aziende». Costi diretti, legati all'indisponibilità, totale o parziale, dei sistemi informativi, ma anche indiretti, espressi in termini di penali che è necessario pagare per il fatto di aver disatteso obblighi di legge e regolamenti settoriali.
«Le procedure di gestione della protezione sono, ormai, diventate molto complesse - prosegue - ed evolvono con rapidità. La necessità di formazione e competenze ad hoc, quindi, si impone con estrema urgenza, così come l'obbligo di avere apparati e infrastrutture It sempre aggiornatissime. Tutto questo ha una ricaduta sull'organizzazione e sul team It in particolare. Ecco perché molte realtà optano per l'affidamento della sicurezza Ict a professionisti esterni». La procedura di outsourcing della protezione dei sistemi informativi è del tutto simile a quella che sottende la delega di qualsiasi altra funzionalità aziendale. «Si tratta di un procedimento - chiarisce - che ha le sue criticità sin dalle fasi iniziali. La decisione stessa di delegare all'esterno la gestione di un aspetto così particolare è piuttosto critica».
Le economie di scala, sul fronte del costo del personale, della gestione degli eventi, della reportistica e dell'aggiornamento sulle normative, ottenibili da un fornitore di soluzioni di protezione gestita sarebbero impensabili per qualsiasi altra realtà che non sposi la sicurezza come elemento centrale del business.
«Un buon fornitore di servizi - sostiene l'analista - è quello che conosce le peculiarità del settore di riferimento dell'azienda e, questo, in sostanza, è verificabile direttamente dal cliente». Ma come? «Ad esempio, avendo accesso alle referenze maturate dall'operatore nella medesima industria». Per farlo, sarà necessario stilare una lista di caratteristiche specifiche, che riflettano l'ambiente di sicurezza dell'azienda, chiedendo al fornitore di servizi di poter parlare con un loro cliente che sia simile per geografia, mercato verticale e dimensioni. «Sarebbe auspicabile - puntualizza - assicurarsi che l'outsourcer abbia personale e infrastrutture tecnologiche adeguate alle nostre esigenze. Questo significa accertarsi del fatto che il fornitore sia perfettamente a conoscenza di tutte le nuove minacce, ma anche di tutti i regolamenti, nazionali, locali e di settore, che potrebbero avere riflessi sulla sicurezza».
Un'attenzione particolare dovrà, poi, essere posta alla stesura dei termini contrattuali e dei livelli di servizio (Sla) richiesti. «Questi - prosegue - dovranno includere, ovviamente, delle metriche di disponibilità, oltre a definire tempi di risposta precisi rispetto agli allarmi generati dal sistema. Accanto a questo, bisognerà definire le modifiche da apportare al sistema informativo aziendale per fare in modo di migliorare l'attività di prevenzione delle minacce». Il problema più rilevante è capire in che direzione evolveranno le necessità di protezione dell'azienda. «Per questo motivo - conclude l'analista -, il Cso non deve avere remore nell'informarsi con il fornitore di servizi. L'obiettivo è cercare di comprendere le probabili tendenze evolutive delle minacce e delle normative, nazionali e internazionali. Questo, nel caso italiano, è fondamentale per definire, ad esempio, i termini di corresponsabilità sulla tutela dei dati personali».
