Motivazioni e tematiche di cui tener conto quando si decide di affidarsi a un servizio di sicurezza in outsourcing.
Storicamente, in Italia, risulta spesso non conveniente avere all'interno dell'azienda ciò che è possibile delegare a terzi; insomma è inutile produrre ciò che altri hanno già prodotto. Visto in questi termini l'outsourcing della sicurezza in Italia assume una connotazione completa con proposte articolate che generano servizi totali o parziali, misurati sulle esigenze della clientela. E' infatti possibile individuare quattro motivi scatenanti per i quali i servizi di sicurezza vengono delegati a terze parti: tecnologico, consulenziale, di servizi, economico. Questi fattori decisionali possono essere parziali, ma sono sicuramente frutto dell'analisi del mercato e, soprattutto, derivate dall'esperienza. I quattro motivi, che verranno spiegati di seguito non sono da vedersi come disuniti; al contrario, è necessario tenere presente che tutto ciò che si affermerà riguardo a uno dei punti è valido e automaticamente compreso anche nei seguenti. Ognuno di questi fattori è quindi completamento e ampliamento di tutti i precedenti.
La questione tecnologica
Molto spesso i clienti manifestano una non-volontà di gestire la tecnologia. In questa fascia rientrano principalmente aziende piccole e medie per le quali non risulta conveniente avere presso la propria sede la struttura informatica necessaria per gestire i servizi di sicurezza: nascono in questo modo le proposte di housing e hosting, che stanno evolvendo verso le innovative proposte di servizi in modalità ASP (Application Service Provider). Le soluzioni oggi disponibili sul mercato offrono la possibilità di gestire in outsourcing gli apparati firewall (qualunque sia il loro numero e la loro distribuzione sul territorio), gli acceleratori SSL hardware, la gestione e la configurazione delle VPN (Virtual Private Network) necessarie per realizzare la connessione Extranet. Come conseguenza dell'outsourcing delle VPN, il mercato ha manifestato l'esigenza di centralizzare presso il fornitore del servizio l'hardware e l'infrastruttura necessarie per i meccanismi di Strong Authentication, sia tramite Smart Card sia tramite token USB.
La consulenza specializzata
Nel caso in cui l'infrastruttura tecnologica sia già stata installata, vi è la possibilità che manchino le competenze specifiche per la gestione e la realizzazione del servizio; il know-how è quindi lo scopo principe per cui optare per l'outsourcing. Tipicamente, sfruttano tale soluzione le aziende, spesso PMI, al cui interno mancano strutture di personale dedicato: la risposta dei fornitori a questo tipo di esigenza è la consulenza nella realizzazione e nella gestione del servizio presso il cliente stesso. In quest'ottica vengono erogati servizi di Vulnerability Check, Risk Assessment e Risk Management. Nel caso quest'ultimo sia delegato totalmente vengono coperte anche le problematiche di redazione di procedure interne legate ad aspetti legali e normativi.
Il servizio
La scelta di demandare in outsourcing la completa gestione di un servizio di sicurezza è caratteristica di aziende di medie e grosse dimensioni per le quali è fondamentale disperdere la minor quantità possibile di risorse umane ed economiche al fine di concentrare le proprie potenzialità nel consolidamento e nello sviluppo del loro core business. In questo caso è forte e costante il controllo operato sul fornitore del servizio realizzato tramite la definizione rigorosa di SLA (Service Level Agrrement) concordati durante la stesura del contratto. L'esigenza di avere un outsourcing completo sfocia tipicamente in servizi di Intrusion Detection intesi come completa gestione in tempo reale degli allarmi e delle reazioni alle intrusioni. Questa tipologia di servizio viene richiesta principalmente da realtà aziendali con strutture IT di grosse dimensioni e particolarmente complesse; è questo il motivo per cui in questa fascia rientrano quasi solamente le grandi imprese.
Service Level Agreement e responsabilità legali
I livelli di servizio richiesti al fornitore sono strettamente legati all'impatto legale generato dalla decisione di avvalersi di una strategia di outsourcing della sicurezza. Le varie tipologie di SLA dipendono fortemente dal tipo di outsourcing scelto: si parte da una forma di controllo molto semplice in cui gli unici due parametri imposti sono l'MTBF (Mean Time Between Failures, cioè il tempo medio tra due avarie) e l'MTTR (Mean Time To Repair, cioè il tempo di riparazione medio). Nei confronti dei livelli di servizio vengono concordati dei parametri atti a misurare l'effettiva disponibilità nel tempo del servizio erogato, in senso lato possiamo parlare di MTBF ed MTTR del servizio stesso e non più dell'hardware. In questi termini il principale elemento da concordare col cliente è, paradossalmente, che cosa significhi esattamente "non disponibilità del servizio"; ad esempio un sistema di Intrusion Detection può non avere dei parametri molto stringenti, ma comprendere una clausola che garantisca la piena efficienza del servizio in condizioni di aumenti sensibili delle sessioni o nei periodi subito successivi ad attacchi.
Mediare i valori
E' chiaro quindi che una delle principali difficoltà nella gestione di un servizio in outsourcing è quella di mediare insieme al cliente tali valori, ciò anche in forza del fatto che a livelli di servizio maggiori corrispondono canoni economici che possono, almeno in prima battuta, dissuadere il cliente. Bilanciare quindi, con somma attenzione, i fattori tempo e denaro è un'operazione complessa e onerosa che, d'altro canto, se condotta con professionalità e onestà, ha il vantaggio indotto di far accrescere la stima del cliente nei confronti del fornitore.
Report indispensabili
Tutto questo implica il fatto che qualsiasi fornitore di servizi di outsourcing di sicurezza deve essere in grado di offrire al suo cliente una dettagliata reportistica sullo stato del servizio erogato; soltanto tale strumento di misura, infatti, avvalora le clausole inserite nello SLA. Per mantenere un'immagine che ben si sposa col concetto di outsourcing è spesso consuetudine fornire questi dati in modo elettronico: tipicamente sono report che vengono proposti direttamente sul sito Web del fornitore, a cui viene dedicata un'apposita area protetta per la consultazione. Trattandosi di argomenti delicati, in cui si viene naturalmente a contatto con informazioni riservate, bisogna garantire il cliente anche da un punto di vista legale. Già in fase di discussione di offerta conviene proporre un documento di "non disclosure agreement" che serve a garantire il cliente riguardo alla non diffusione dei dati di cui si viene a conoscenza. In generale un documento redatto come scrittura privata è sufficiente, a patto che comprenda comunque articoli e codici tratti dalla legislazione vigente.
L'assicurazione
A fronte di quanto prevede la legge e delle quasi certe richieste del cliente riguardo all'inserimento di penali all'interno degli SLA, risulta fondamentale per qualsiasi azienda fornitrice di servizi di outsourcing della sicurezza stipulare assicurazioni che possano metterla al riparo da eventuali rivalse da parte del committente. Esistono già forme assicurative che tutelano tanto il fornitore del servizio quanto il danneggiamento o la distruzione volontaria o involontaria dei singoli dati. Altro aspetto fondamentale riguardo la normativa nazionale e internazionale è quello di poter fornire una precisa aderenza a esse a seconda dei casi e dei clienti che lo richiedano. Importante è quindi sapere di potere erogare servizi che rispettino la normativa AIPA, la BS7799 dell'ente inglese BSI, che viene ripresa dall'europea ISO17799, che offrono delle linee guida per la gestione dei servizi di sicurezza. Un'ultima normativa di respiro europeo, poco utilizzata a causa degli enormi sforzi umani ed economici necessari per conformarvisi, è quella denominata ITSEC, ripresa e ampliata da una denominata "Common Criteria" che ha lo scopo di certificare nell'ambito della sicurezza sistemi informatici sia hardware che software. E' chiaro a questo punto che il mazzo di chiavi della sicurezza, già di per sé grosso e pesante, tenderà ad aumentare sempre più nei prossimi anni, almeno fino a quando la sicurezza non sarà diventata concetto comune a tutti ed elemento imprescindibile in una architettura di rete.
