Cartello Best Practice Sicurezza IT in outsourcing
Credit: Barry Dahl, CC BY 2.0, via Flickr

L’aumento esponenziale negli incidenti di sicurezza sta spingendo molte aziende a verificare e irrobustire le proprie difese informatiche. Come parte di questi sforzi, alcuni prevedono di ingaggiare consulenti esterni per eseguire un audit della propria infrastruttura, eseguire dei penetration test o fare attività di altro tipo mirate a individuare eventuali falle – tecnologiche o umane – nella propria organizzazione.

Si tratta senz’altro di attività ammirevoli e che dovrebbero essere considerate favorevolmente da qualsiasi azienda scrupolosa, ma è bene procedere con molta cautela nella selezione e nell’ingaggio di consulenti o aziende di terze parti specializzate nel campo della sicurezza.

A queste strutture si concederà accesso ai propri dati più riservati e a informazioni e infrastrutture che possono essere vitali per il funzionamento dell’azienda.

Spesso i fornitori di sicurezza vengono ingaggiati senza esercitare i normali controlli e le trattative che si applicano a ogni altra transazione di affari

Purtroppo, magari per la fretta di reagire a una vulnerabilità appena scoperta, si tende ad agire senza prendersi il tempo di valutare con attenzione né il soggetto, né la proposta. Paradossalmente, spesso i fornitori di sicurezza vengono ingaggiati senza esercitare le normali attività di controllo e trattativa che si applicano a ogni altra transazione di affari. Il risultato è che spesso si spende molto più di quanto si era pianificato e in qualche caso – paradossalmente – i consulenti di sicurezza finiscono con il creare più rischi per la sicurezza aziendale di quanti ne risolvano.

Ecco alcune best practice da seguire quando si ingaggia un consulente o un fornitore IT per specifici compiti di sicurezza: 

Fate una richiesta di preventivo formale

Se la tempistica lo consente, fare una richiesta di preventivo dettagliando le esigenze, permetterà di ottenere le proposte più creative, con i prezzi e le condizioni contrattuali più favorevoli. Se la predisponete come un bando di gara aperto, avrete un ulteriore vantaggio: i vendor che sono consapevoli di essere in competizione con altri saranno più inclini a negoziare di quelli che pensano di aver già portato a casa il contratto.

Eseguite un’indagine scrupolosa sul fornitore

Che facciate o meno una gara tra più soggetti, prendetevi comunque il tempo per condurre una due diligence sul fornitore, contattando anche clienti attuali o passati, non limitandovi solo a quelli inclusi in una lista di referenze fornita dal vendor.

Negoziate come fareste con qualsiasi altro fornitore

È una dura verità, ma molte aziende non negoziano gli accordi per la consulenza in materia di security con lo stesso livello di cura e attenzione che applicano agli altri fornitori. Nel migliore dei casi, questo comporta un aumento dei costi. Nel peggiore, si può finire con il compromettere la sicurezza dei dati che si stava cercando di proteggere.

Per esempio, un vendor americano molto conosciuto include nel suo contratto standard la possibilità di rimuovere dati dai sistemi dell’azienda– senza il suo consenso – e trasferirli sui propri server. I dati possono comprendere numeri di carte di credito e altri dati personali sensibili. Il contratto non contiene nessuna informazione sulla compliance con lo standard PCI DSS, solo un paio di frasi sulla sicurezza dei dati e si assume una responsabilità molto limitata nel caso in cui i dati vengano sottratti dai sistemi del fornitore. Non è nemmeno previsto l’obbligo di cancellare i dati al termine del contratto. Questo è inaccettabile.

WHITEPAPER GRATUITI