L'IMPRESA AL SICURO. Dati, comportamenti e rischi relativi all'uso e alla gestione dei sistemi informativi aziendali

Transcript

1 L'IMPRESA AL SICURO Dati, comportamenti e rischi relativi all'uso e alla gestione dei sistemi informativi aziendali a cura della redazione di Computerworld Italia ICTe R&S>> Networking e telecomunicazione

2 Sommario Lo stato della sicurezza dell'it... 4 Gli hacker prendono di mira le piccole e medie imprese... 9 Per un outsourcing più sicuro Glossario Pagina 2 di 13

3 Introduzione I temi della sicurezza, e soprattutto le preoccupazioni per la protezione dei sistemi informativi (S.I.), non sono mai state così alte nella considerazione degli utenti aziendali. Ogni 100 euro spesi in IT, 15 vanno in sicurezza, e gli specialisti in sicurezza informatica sono tra i più ricercati nelle nuove assunzioni di personale. Eppure, a quanto pare, nelle aziende i livelli di sicurezza dei S.I. non sono affatto cresciuti. Questo almeno quanto emerge dallo studio 'Global State of Information Security' effettuato anche quest'anno (è la quinta volta, a partire dal 2003) dalle riviste CIO, CSO e da PriceWaterhouseCoopers. Ad esso è dedicato il primo articolo di questo dossier dedicato alla tematica della sicurezza informatica in azienda, andandone ad analizzare in profondità i risultati. Il dossier continua proponendo alcune opinioni sul tema della sicurezza dei sistemi informativi nelle PMI italiane, fornendo anche dei dati dell'osservatorio Nazionale per la Sicurezza Informatica dove emerge come a rischio ci sia anche la proprietà intellettuale e le idee delle imprese. Mentre le motivazioni dei malintenzionati passano dalla ricerca di notorietà al vero e proprio obiettivo di guadagno. Infine il tema dell'outsourcing e dei possibili rischi ad essi connesso in caso di una gestione non idonea della sicurezza da parte del fornitore dei servizi. Nell'intervista a una analista vengono dati una serie di suggerimenti per determinare i livelli di rischio, monitorare le attività del fornitore e negoziare al meglio i Service Level Agreement (SLA) di questa tipologia di contratto. Pagina 3 di 13

4 LO STATO DELLA SICUREZZA DELL'IT Oltre settemila risposte a una indagine di CIO, CSO e PriceWaterhouseCoopers. Cosa pensano e cosa fanno le aziende per difendersi dagli attacchi esterni e interni La lettura dei risultati dello studio Global State of Information Security' effettuato dalle riviste CIO, CSO e da PriceWaterhouseCoopers,, che ha coinvolto dirigenti aziendali di tutto il mondo, potrebbe provocare qualche tensione. Non è piacevole infatti scoprire che, malgrado l' impegno personale e gli investimenti effettuati, le minacce di spamming, virus, phishing e così via potrebbero aumentare. E' un fatto che oggi le preoccupazioni crescono, anche perché è fortemente cresciuta la consapevolezza del 'problema sicurezza informatica' e perché sono stati messi a punto strumenti e sistemi dedicati a intercettare e affrontare questi problemi. - Sono stati introdotti nuovi processi. Per esempio quello di risk assessment a livello globale di impresa, che ormai 4 aziende su 5 conducono periodicamente. Questo ha rafforzato la comprensione del problema sicurezza, che tre anni fa era propria di 37 aziende su 100 mentre oggi questo numero è salito a Sono stati introdotti strumenti e tecnologie. Su 10 intervistati, 9 dicono di usare i firewall, di monitorare il comportamento degli utenti e di affidarsi a una infrastruttura di intrusion detection; il numero diventa ancora più significativo - sfiorando il 98% - tra le aziende di maggiori dimensioni (con fatturato superiore al miliardo di dollari). In forte crescita l'adozione delle tecnologie di decription adottate, a diversi livelli di utilizzo, dal 72% dei rispondenti, in grande crescita rispetto al 48% dello scorso anno. - E' stato assunto personale specializzato. E' in crescita costante il numero di CSO (Chief Security Officer) o di tecnici IT focalizzati sulla sicurezza informatica. Consapevoli sì, ma non basta Le preoccupazioni e la consapevolezza del problema non sono mai stati così alti, ma questo non basta per dare automaticamente più controllo del problema. Cinque anni fa il 36% delle risposte a questo studio dichiarava di non aver subito incidenti sul fronte della sicurezza; oggi questa percentuale è scesa al 22%. Questo vuol dire che il problema è oggi più grande? No di certo. Semplicemente significa che oggi molte più aziende sono consapevoli di un problema di cui hanno sempre sofferto ma di cui, fino a qualche anno fa, non avevano visibilità. Quelli che ieri erano considerati guasti difficilmente comprensibili sulla rete oggi sono riconosciuti come problemi di sicurezza informatica. La consapevolezza è cresciuta, proprio perché aziende, banche ed enti pubblici hanno costruito, nel corso degli ultimi anni, una infrastruttura che rende visibile il livello di sicurezza dei sistemi e delle reti informatiche. A ritmi sostenuti le aziende si sono attrezzate con persone, tecnologie e processi dedicati al tema della sicurezza. Pagina 4 di 13

5 Ecco il nemico, sta nel tuo ufficio! Nello studio di quest'anno, per la prima volta, i dipendenti superano gli hacker come fonte principale e più probabile di una minaccia alla sicurezza. Il dato emerge con particolare chiarezza dalle risposte date all'indagine dai dirigenti aziendali. Il riconoscimento della forza delle minacce 'dall'interno' è un chiaro segnale della crescente consapevolezza dei problemi, dovuta in grande misura al sistema di controlli che è stato introdotto nelle aziende nel corso degli ultimi cinque anni. I dati (vedi tabella 2) mostrano il crescente ruolo dei dipendenti nelle minacce alla sicurezza. Gli impiegati sono forse diventati meno affidabili di un tempo? Probabilmente no. Molti esperti di sicurezza vi spiegheranno che gli attacchi dall'interno non sono un fenomeno nato improvvisamente negli ultimi anni, ma piuttosto un dato costante e comunque più consistente di quanto normalmente credano le vittime degli attacchi. Quello che accade oggi è che c'è molta miglior conoscenza di situazioni che non sono certo nate oggi. Costruire una infrastruttura di sicurezza può portare a identificare gli impiegati come responsabili di incidenti sul fronte della sicurezza. Un CSO ha a disposizione gli strumenti tecnologici per indagare sulle anomalie che colpiscono la rete aziendale e detiene l'autorità per chiedere ai responsabili delle business unit di fornirgli informazioni utili a un'indagine interna. Una volta implementati, gli strumenti di monitoraggio consentono di individuare le minacce provenienti dall'interno. Poi il CSO centralizza via software la gestione del sistema informativo di sicurezza per individuare le anomalie nel comportamento della rete aziendale. E può indire periodiche iniziative di risk assessment (questo è un altro tema di forte attualità). Uno strano paradosso Con tutte queste iniziative in corso un'azienda ha rafforzato la sua capacità di scoprire problemi e incidenti sul fronte della sicurezza. Ma ecco uno strano paradosso: malgrado il massiccio impiego negli ultimi 5 anni di persone processi e tecnologie e una maggior consapevolezza del problema da parte degli utenti, il 40% di coloro che hanno risposto al survey non ha saputo spiegare il modo in cui si sono manifestati i problemi di sicurezza; erano il 29% nello studio di un anno fa. E spiccano anche i tanti 'Non so' a proposito del tipo di incidente subito e il metodo utilizzato per gli attacchi. Cresce anche il numero degli informatici addetti alla sicurezza che rispondono 'Non so' se interrogati su numero e natura degli incidenti. Non deve quindi sorprendere se dopo anni di acquisti e installazioni di sistemi e processi per potenziare la sicurezza quasi la metà di chi ha partecipato allo studio non è in grado di dare risposta su quel che è successo nelle loro aziende. Ma c'è anche di peggio in quel terzo di risposte che vengono da CIO (Chief Information Officer) e CSO - che pure dovrebbero avere più conoscenze sugli incidenti di sicurezza - e che dichiarano di non sapere quanti incidenti hanno colpito i loro sistemi o il modo in cui questi incidenti si sono manifestati (vedi tabella 3). La verità è che sistemi, processi, strumenti, hardware e software e anche cultura e comprensione del problema danno visibilità sul fatto di non essere in grado di vedere tutti i potenziali problemi; per esempio il fatto che un impiegato affidabile che vuol portarsi del lavoro a casa può diventare una involontaria causa di incidente se perde il proprio laptop o mette i dati aziendali sul pc di casa. Pagina 5 di 13

6 Dalla reazione alla prevenzione A commento dei risultati dello studio, alcuni osservatori ritengono che c'è stata persino troppa attenzione alla tecnologia (firewall, gestione identità, intrusion detection ecc.) trascurando invece la pratica delle analisi del rischio e della formazione di una cultura proattiva con la raccolta di risorse informative intelligenti. Se gran parte degli investimenti sono stati effettuati in tecnologie molti dei ritorni di quegli investimenti verranno da lì. Gli strumenti faranno il loro dovere, vi diranno cosa sta accadendo e daranno l'altolà a molti pericolosi attacchi. Ma la tecnologia è quasi sempre reattiva. Scatena gli allarmi e produce report accurati sulle anomalie solo dopo che queste si sono verificate. Per esempio i sistemi di intrusion detection non sono per niente efficaci nella comprensione della natura delle vulnerabilità prima che queste si siano determinate. Un po' come i sensori che nei musei fanno scattare gli allarmi quando viene danneggiato qualche dipinto ma che non sono in grado di spiegare il come e il perché un quadro è stato danneggiato né aiutarvi a prevenire l'eventualità di un prossimo atto di vandalismo. Insomma, anche un'occhiata superficiale ai trend sul fronte della sicurezza è sufficiente per capire che gli 'attaccanti' - si tratti di hacker o di impiegati infedeli - dispongono di strumenti molto più potenti ed efficaci di quelli che sono stati messi in campo per difendere la sicurezza dei Sistemi informativi aziendali. Cambiare strategia E allora, cosa si deve fare? Pensare in modo strategico. Gli investimenti in sicurezza, dalla semplice attenzione alle misure a base di iniezioni di tecnologia, devono puntare su una strategia che faccia perno sull'analisi del rischio e sulla raccolta di informazioni per formare un'efficace strumentazione di intelligence aziendale. I responsabili dei sistemi informativi e della sicurezza aziendale, per esempio, dovrebbero investire sulla condivisione delle informazioni. 'Collaborazione': questa deve essere una delle parole d'ordine per poter allestire una squadra di specialisti e di ricercatori in grado di intercettare e analizzare il malware e di raccogliere su Internet le informazioni più aggiornate sui trend relativi alla sicurezza. Magari abbonandosi a ricerche e servizi che alcune aziende specializzate in sicurezza IT già hanno a catalogo. Sicurezza e IT: ritorno all'antico Il survey sulla sicurezza 2007 mostra un significativo trend: l'it vuole riprendersi il controllo sul tema della sicurezza. Cinque anni fa, alla prima puntata di questo studio, risultò evidente che nelle aziende che avevano maggior fiducia nei propri livelli di sicurezza i responsabili di questo tema molto raramente riportavano all'it; erano quelle le aziende che spendevano maggiormente in sicurezza. Anno dopo anno la sicurezza IT ha rafforzato la propria autonomia dal reparto IT e ha dato vita a nuove figure professionali sempre più specializzate. Pagina 6 di 13

7 Molti poteri decisionali sono stati spostati dall'it alla sicurezza e molti team che si occupano di sicurezza riportano sempre più a funzioni estranee all'it, per esempio l'ufficio legale, la funzione di risk management e, in qualche caso, addirittura l'ufficio dell'amministratore delegato. Un trend più evidente nelle grandi aziende. Bene, lo studio 2007 mostra una netta inversione di tendenza, più pronunciata nelle grandi aziende. Le risposte allo studio hanno individuato ben 12 funzioni a cui i CSO dovrebbero riportare, raggruppabili in tre categorie: IT (CIO e CTO); Neutrale (board, CEO, CFO, ufficio legale); Sicurezza (CSO, area del rischio, funzione di auditing). Ed ecco, l'andamento delle percentuali di risposta negli ultimi due anni. Un 12% di crescita nel numero dei responsabili della sicurezza che riportano all'it è molto significativo. E se si considerano le aziende di maggiori dimensioni si arriva al 19%. Da notare anche, in questa fascia di aziende, la relativamente bassa percentuale che indica il riporto alle funzioni neutrali. Sicurezza integrata L'evoluzione della funzione sicurezza, oltre al ritorno all'antico nel rapporto con l'it, mostra un'altra tendenza, che integra nella figura del CSO le responsabilità della sicurezza IT e della sicurezza fisica. Questo trova giustificazione sia nella maggior efficienza operativa che questo determina sia nel fatto che sono gli stessi attacchi alla sicurezza a farsi sempre più convergenti. Un classico esempio di convergenza è quello relativo al controllo degli accessi. Combinando l'accesso all'edificio degli uffici con l'accesso a un sistema della rete aziendale si risparmiano quattrini, si rafforza l'efficienza e si crea una vista unica sia verso le minacce fisiche (ingressi non consentiti ai locali) sia verso quelle digitali (accesso non consentito alla rete). Che cosa pensano i vertici I massimi dirigenti aziendali hanno molta più fiducia nella sicurezza delle loro aziende e nella correttezza e affidabilità dei loro dipendenti di quanta ne abbiano CIO e responsabili della sicurezza delle stesse aziende (vedi tabella 7). Anche per questo CIO e CSO sembrano più sicuri di Pagina 7 di 13

8 quanto non siano gli amministratori delegati sulla crescita del budget per la sicurezza per i prossimi anni. Privacy: va meglio ma... Vista l'esplosione del numero di incidenti riguardanti le minacce alla privacy, le aziende hanno rafforzato le pratiche sul tema, hanno isolato il tema della privacy da quello della sicurezza e quello della governance della sicurezza (che dovrebbe contribuire alla definizione delle politiche sulla privacy) da quello della sicurezza tattica. Questo significa che c'è comunque ancora molto da fare: alcuni passi fondamentali per assicurare la data privacy - database criptati, classificazione dei dati sulla base del livello di rischio relativo - non sono ancora diventate pratiche standard. Il comparto che risulta più in ritardo nell'adozione di pratiche sulla privacy è quello tecnologico, il più avanzato è quello delle banche per il mercato consumer. Segnali di una ripresa di controllo e di influenza dell'it sul tema emergono in molti dei risultati dello studio. Per esempio, alla richiesta di indicare le linee guida di riferimento che le aziende seguono sulla sicurezza, le risposte più frequenti (di 2 o 3 volte) citano regole di provenienza IT (per esempio ITIL) piuttosto che protocolli specifici di sicurezza come SAS 70 o standard ISO. Dalla qualità alla sicurezza Secondo alcuni osservatori si sta ripetendo - ma a ritmi più accelerati - quanto accaduto 20 anni fa sul tema della qualità quando ovunque si nominavano vice presidenti responsabili della qualità che riportavano all'amministratore delegato. Con il tempo questi ruoli sono scomparsi o sono stati assorbiti da altre funzioni. Se nel caso della qualità questa evoluzione può essere avvenuta in parte perché la qualità è stata integrata come un valore aziendale e non richiedeva una specifica figura di responsabile, il discorso sulla sicurezza è decisamente differente. Infatti i risultati dello studio mostrano che quello della sicurezza non è, o almeno non è ancora, un valore aziendale. Più che altro le aziende non sembrano avere ancora deciso cosa farsene, di questo tema. Pagina 8 di 13

9 GLI HACKER PRENDONO DI MIRA LE PICCOLE E MEDIE IMPRESE Scatta in Italia l'allarme sicurezza informatica anche per le aziende di dimensioni più ridotte di Marco Tennyson Vuoi per la risicatezza dei budget, la carenza di competenze interne o vuoi semplicemente per la mancanza di tempo, fatto sta che la stragrande maggioranza delle piccole e medie imprese italiane non eccelle per grado di protezione della propria infrastruttura IT. "Otto realtà su dieci non si sentono affatto al sicuro", sottolinea Maurizio Garavello, country manager di Websense, commentando i risultati di un'indagine che ha coinvolto 75 responsabili IT di PMI italiane. "E' vero che ormai tutte le PMI possiedono un livello base di protezione, ma è altrettanto vero che non vanno molto oltre a firewall e antivirus...". E questo, purtroppo, lo sanno pure gli hacker, che da qualche tempo hanno cominciato a spostare i loro attacchi proprio verso le realtà meno protette. Una volta c'era l'hacker che colpiva solo per il gusto di provare la propria bravura, oggi si muove per lucro, con strumenti di malware sempre più sofisticati. "E' in atto ormai un importante cambiamento nel comportamento dell'hacker, le cui motivazioni sono ormai sempre meno legate alla notorietà e sempre più orientate al guadagno", conferma Marco Riboli, country manager di Symantec. Ne è un esempio la recente ondata di attacchi che ha colpito i distretti del Nordest. Secondo i dati diffusi dall'osservatorio Nazionale per la Sicurezza Informatica, molte imprese italiane, in particolare del Triveneto, sono state al centro di una serie di attacchi informatici che hanno avuto origine in Cina. "Da un monitoraggio compiuto su un campione di 500 PMI del Nordest italiano, si evidenzia come si sia verificato un 49% di casi di attacco di origine cinese - sottolinea Mirko Gatto, amministratore delegato di Yarix, tra i promotori dell'osservatorio -. Un dato preoccupante, che può essere a nostro avviso spiegato con il tentativo da parte dei pirati cinesi di penetrare i sistemi delle aziende italiane per copiare disegni e brevetti". "Le PMI mostrano di avere gli stessi problemi di sicurezza che caratterizzano le grandi realtà, ma hanno meno risorse per affrontarle", afferma Garavello. A fronte di pericoli noti - virus, spyware, phishing - e meno noti - social networking, software peer-to-peer -, è piuttosto ovvio che ormai antivirus e firewall non siano più in grado di proteggere realmente un'azienda, nemmeno se di piccole dimensioni. Molti fornitori sono quindi corsi ai ripari, offrendo servizi di sicurezza gestiti o soluzioni complete ad hoc per le PMI. Stando a Websense, in Italia gli strumenti di web filtering sono oggi usati solo dalla metà delle PMI. Ancor più preoccupante è il grado di preparazione delle PMI italiane a fronteggiare le possibili fughe di informazioni dall'interno. Considerando che la media delle PMI europee di implementazione di strumenti per l'identificazione di hacker interni e la protezione di dati confidenziali è, rispettivamente, del 43 e 33%, le PMI del Bel Paese sembrano fette di gruviera, attestandosi su dei poco incoraggianti 9 e 8%. Se un fattore di spinta all'adozione di prodotti di sicurezza può essere rappresentato dall'introduzione di soluzioni complete concepite per queste realtà, un altro può derivare dal rapporto delle PMI, in qualità di fornitori, con le grandi aziende. Queste ultime stanno infatti richiedendo che la rispettiva supply chain sia propriamente controllata, cominciando a dettare regole in tal senso. Pagina 9 di 13

10 PER UN OUTSOURCING PIU' SICURO Cresce il mercato dell'outsourcing, crescono inevitabilmente i problemi lato sicurezza. Il rapporto con il fornitore, i controlli, gli SLA. Che cosa si può fare per alleviare rischi e minacce? Oggi ridurre i rischi di sicurezza è più importante che mai. Un risvolto particolare, in genere poco trattato, del tema sicurezza è quello che riguarda i contratti di outsourcing. Nell'intervista che segue l'analista specializzata Diana Kelley di Burton Group fornisce una serie di suggerimenti per determinare i livelli di rischio, monitorare le attività del vostro fornitore e negoziare al meglio i Service Level Agreement (SLA) dei contratti di outsourcing. Come descriverebbe lo scenario che circonda il mondo dell'outsourcing per quanto riguarda la sicurezza? E' uno scenario che si sta chiarendo sempre più e che sta guadagnando crescente attenzione. Le aziende hanno imparato che è indispensabile associare all'outsourcing il tema della sicurezza. E di recente ci si è anche resi conto che insieme ad applicazioni o sistemi non è possibile esternalizzare anche i rischi relativi alle cadute di immagine: se qualcosa va storto nell'applicazione in outsourcing questo si ripercuoterà sulla vostra immagine, assai più che su quella dell'outsourcer. C'è qualche suggerimento che si può dare per garantire i massimi livelli di sicurezza nell'outsourcing? La prima cosa da fare è capire anzitutto che cosa si sta dando in outsourcing. La cosa potrebbe sembrare semplice. Facciamo l'esempio del call center. Io non sto dando in outsourcing solo il mio call center, ma insieme a questo sto passando all'outsourcer la gestione della mia sicurezza. Occorre capire, insomma, quali sono le implicazioni derivanti da una scelta di outsourcing, per quanto riguarda la gestione del rischio. Così, se io sto dando in outsourcing dei dati è importante farsi una domanda del genere: in questi dati ci sono delle informazioni personali, per esempio sulla salute di determinate persone? C'è qualche altra informazione di tipo personale che deve essere protetta? Ricordatevi insomma che non state solo dando in outsourcing un data center, ma piuttosto dei dati e le procedure di controllo su quei dati. Tutto questo per dire una cosa semplice: che voi con l'outsourcing date ad altri un sacco di cose: la vostra immagine e la vostra reputazione, la protezione dei dati e i rischi a questa associati, i processi aziendali che sono coinvolti da quei dati... Per questo voi dovete assicurarvi la possibilità di gestire quello che state affidando all'outsourcer e sapere con precisione quello che dovete fare per proteggerlo. Tutte cose che acquistano un'importanza ancora più rilevante quando un'organizzazione si affida a un outsourcer di un altro Paese. Questo comporta la necessità di conoscere i particolari livelli di rischio presenti in quel Paese.. Assolutamente, visto che ci sono sistemi legislativi differenti Paese per Paese. Ci sono requisiti diversi negli Stati Uniti, dove vigono standard come HIPAA e Sarbanes Oxley (SOX), leggi sulla privacy e regole specifiche (SEC 17a-4) per broker e trader. In Canada c'è Pipeda per il rispetto della privacy, in Giappone stanno introducendo una sorta di Sarbanes Oxley (JSOX), nell'unione Europea ci sono altre direttive. Queste differenti regole definiscono, per ogni Paese, quello che si può e non si può fare con i dati, la loro elaborazione e la loro memorizzazione. Questo impone attenzione agli adempimenti richiesti dalla giurisdizione del Paese in cui risiede il vostro outsourcer e estrema attenzione anche alle possibilità che avrete in caso di ricorso legale per eventuali inadempienze contrattuali. Questa cautela vi permetterà di non restare con le mani in mano in caso di perdita dei vostri dati, e quindi di provare a recuperare i vostri dati oppure almeno di essere risarciti per il danno subito. Quanto è importante conoscere il background personale e professionale degli addetti che lavorano presso il nostro outsourcer a contatto con sistemi e dati della nostra azienda? Pagina 10 di 13

11 Si tratta di un argomento di grande importanza. Dovete sapere, per esempio, se il vostro provider ha sotto controllo l'eventualità di una presenza di persone con precedenti penali tra i suoi dipendenti; e se a questi sono affidati dati sensibili della vostra azienda, avere un'idea se queste persone sono state magari coinvolte in vicende precedenti in cui c'è stata sottrazione di dati, vendita di informazioni su carte di credito o casi del genere. Bene, e cosa fa l'outsourcer con questi controlli, e come garantisce la sicurezza? E quali sono le misure messe in atto quotidianamente per assicurarsi che le persone con precedenti del genere non escano magari un giorno dall'ufficio con una buona fetta del vostro business memorizzata su una chiavetta USB? Ed ancora, come vengono tenute lontano dai vostri dati le persone che non sono autorizzate ad accedervi? Che tipo di controllo degli accessi, quali sistemi di autenticazione e autorizzazione vengono utilizzati per far sì che le persone che possono vedere certi dati o operare su determinati processi siano effettivamente le sole a fare queste cose? E sarebbe il caso anche di informarsi per capire cosa sta facendo l'outsourcer per garantirsi i necessari controlli all'interno dei data center. Spesso è economicamente conveniente avere sullo stesso server istanze multiple in una sorta di ambiente virtualizzato. Ma cosa accadrebbe se sullo stesso server, insieme alle informazioni sui vostri clienti si trovassero le informazioni dei vostri competitor? Dovreste quindi garantirvi che il vostro provider abbia provveduto a tenere separati questi dati, non solo per essere sicuri che solo i dipendenti autorizzati possano vederli, ma anche perché chiunque altro possa avere accesso al data center, per esempio il vostro concorrente, in modalità client remoto, venga tenuto distante dai vostri dati. E a proposito di SLA, quali sono le cose che è più importante fare? La cosa importante, in questo ambito, è di intervenire subito, perché è davvero difficile riuscire a rinegoziare le condizioni contrattuali dopo che è accaduto un determinato evento, se il provider non vuole concedervi questa possibilità. A volte i tecnici preferiscono non coinvolgere avvocati ed esperti di contratti per paura che le cose possano andare troppo a rilento. E invece è importante che tutto venga precisato e che prima di imbarcarsi in un contratto a lungo termine con un outsourcer siate certi di aver precisato fino in fondo le clausole per voi accettabili e quelle che non lo sono. Un aspetto da curare in modo particolare è quello che riguarda la presenza nel contratto firmato con l'outsourcer di una clausola che permetta di ricorrere a modalità di auditing che andranno precisate fin dall'inizio: per esempio se voi preferite far ricorso a auditor di vostra fiducia o avete una particolare preferenza per una specifica modalità di auditing standard e così via. Un'altra cosa importante da precisare subito riguarda il modo di accordarsi rispetto a qualsiasi problema dovesse verificarsi. Non importa che si tratti di call center o di sviluppo, prima o poi qualcosa succede. E allora meglio definire la procedura e il percorso da seguire in questi casi: quali sono le persone da coinvolgere e a quali livelli di responsabilità, qual è il momento giusto per intervenire e così via. Un' altra cosa da definire riguarda la quantificazione dei danni che dovranno esservi pagati in caso di caduta del sistema e di perdita di dati. C'è qualcosa che in genere a qualcuno capita di non sapere o potrebbe non pensare di poter o dover chiedere? La prima cosa da non dimenticare è quanto abbiamo detto all'inizio e che vale davvero la pena di ripetere: molto spesso le aziende non hanno pensato abbastanza a qual è il rischio reale associato alle informazioni che vengono date in outsourcing. Il vostro fornitore potrebbe essere davvero un 'best in class' tanto nei processi che a voi interessa affidargli quanto nei livelli di sicurezza con cui questi processi vengono gestiti; questo non toglie che dobbiate verificare che l'outsourcer garantisca il livello di gestione del rischio di cui voi ritenete necessario disporre. Non dimenticate poi di affidare a qualcuno della vostra organizzazione il compito di fare da trait d'union con il provider, da fiduciario con il compito anche soltanto di parlare periodicamente con l'outsourcer per verificare che le cose stanno andando precisamente per il verso giusto. Pagina 11 di 13

12 GLOSSARIO Firewall Soluzione che si occupa di consentire il flusso del traffico dati da e verso la rete seguendo determinate regole impostate dall'amministratore di sistema. Intrusion Detection System Soluzione per la identificazione delle intrusioni in una rete informatica. Malware Con questo termine si identificano programmi e codici che possono compromettere il funzionamento dei sistemi informativi aprendoli in alcuni casi anche a minacce esterne. In questa categoria rientrano virus, spyware e altre tipologie di programma 'maligno'. Peer-to-Peer Tecnologie per la connessione diretta di due computer e lo scambio di file e informazioni Risk Assessment Procedura di analisi per determinare il valore di rischio legato a una determinata situazione o minaccia. Service Level Agreement Accordi con il fornitore che stabiliscono dei livelli minimi di servizio e possono eventualmente prevedere penali in caso di mancato rispetto Social networking Forma di comunicazione in rete che mette in contatto una o più persone con interessi e obiettivi comuni Spam Messaggi di posta elettronica indesiderati in genere inviati in massa. In alcuni casi cercano anche di frodare il mittente, ad esempio richiedendo numeri di carte di credito o coordinate bancarie, per cui si parla di phishing. Pagina 12 di 13

13 . Documento reperibile, assieme ad altre monografie, nella sezione Dossier del sito Documento pubblicato su licenza Periodici Italia Pagina 13 di 13