Le best practice per ingaggiare un consulente di sicurezza o fornitori di IT security in outsourcing

Dovete rivolgervi a un consulente per la sicurezza informatica o un fornitore per la security? Ecco le best practice da seguire prima di firmare il contratto per evitare costi eccessivi o fare più danni di quelli che si volevano evitare.

Preparare il contratto con cura

In ogni accordo di consulenza in fatto di security andrebbero dettagliati e negoziati alcuni elementi chiave, tra cui:

Definire il progetto

Il contratto deve chiaramente evidenziare il raggio di attività e l’obiettivo del security assessment (per esempio: l’edificio, i sistemi informatici, i server, la rete eccetera). Questo significa che deve dettagliare un programma dei lavori, con indicate chiaramente le azioni che verranno intraprese da ciascuna delle parti.

Controllo dei costi

Il contratto deve contenere un budget definito, con indicate tutte le voci e le tariffe. Al fornitore non deve poter eccedere la somma stabilita senza un’autorizzazione scritta.

adv
Cloud Communication Business

Nell’era digitale il centralino va in Cloud

La telefonia di nuova generazione è in software-as-a-service: non richiede di installare centralini hardware, gestisce fisso e mobile, e consente di attivare nuove linee o filiali con un clic, abilitando Smart Working e Unified Communication.     SCOPRI DI PIÙ >>

Se il vendor non fosse in grado di fornire un preventivo preciso perché “le attività saranno dettagliate in base ai risultati dell’analisi”, si può considerare di sottoscrivere un programma dei lavori più limitato, che sarà finalizzato a una più precisa definizione delle attività da svolgere e del costo di un assessment di sicurezza completo.

Dettagliare gli aspetti di sicurezza e gli accordi di confidenzialità

Troppo spesso, i contratti di consulenza in materia di security forniscono pochi dettagli sulle misure intraprese per garantire la sicurezza e la confidenzialità delle informazioni.

Visto che il consulente avrà accesso ai dati più sensibili del cliente, e otterrà informazioni critiche sulle sue misure di sicurezza dei propri sistemi, il contratto deve chiaramente definire le misure di sicurezza adottate.

Per esempio, se verranno rimossi dati dai sistemi del cliente, se questi saranno cifrati, quali protocolli saranno utilizzati e prevedere il divieto all’esportazione delle informazioni al di fuori dei confini dell’Italia o dell’Unione Europea. La violazione di questi requisiti dovrà invalidare qualsiasi limitazione o esclusione di responsabilità del fornitore.

Verificare il personale impiegato

Sebbene in Italia non sia possibile eseguire controlli sui precedenti e sul background generico del personale come negli Usa, a parte casi specifici che riguardano i lavori svolti a contatto con i minori, si possono comunque fare alcune considerazioni.

Una struttura formata da persone di comprovata esperienza pluriennale, che hanno magari un percorso accademico e hanno pubblicato ricerche offre più affidamento rispetto a una piccola azienda i cui collaboratori sono noti più per i loro nickname in “leet specch” che per nome e cognome.

Garanzie

Sebbene nessun fornitore di security possa fornire garanzie sull’effettiva e duratura sicurezza dei sistemi informatici di un cliente a seguito di un audit, il vendor dovrà essere disponibile a garantire che agirà in conformità con le leggi e i regolamenti e in base alle best practice riconosciute nell’industria di riferimento.

Responsabilità

La maggior parte dei vendor di security applicherà forti limitazioni alla propria responsabilità nei confronti del cliente per le azioni eseguite durante l’erogazione del servizio.

In assoluto, non c’è nulla di sbagliato in questo approccio, ma al fornitore non dovrebbe essere permesso di limitare le responsabilità che derivano dalla violazione degli accordi di confidenzialità o da azioni e omissioni che denotano una grave negligenza o che sono condotte con dolo dai suoi collaboratori.

In questi casi, è opportuno richiedere una responsabilità illimitata o che corrisponda almeno a un importo molto considerevole.

Evitate che i risultati possano diventare pubblici

Data la potenziale sensibilità e delicatezza dei risultati finali dell’audit, può essere prudente consultare il proprio legale per fare in modo che il suo contenuto e le comunicazioni che lo riguardano possano essere tutelate dalle prerogative del rapporto avvocato-cliente o altra dottrina applicabile nel proprio caso.

Cercando di avere un ruolo di maggior peso nell’ingaggio di consulenti di secyurity, le aziende possono assicurarsi di ricevere le analisi desiderate senza rischiare di sforare il budget e tutelando al massimo i propri sistemi e le informazioni più delicate che contengono. Ogni vendor o consulente che si rispetti dovrebbe essere disponibile a discutere questi punti in dettaglio prima della firma di un contratto.[/groups_member]