top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

Quanto è sicuro il tuo fornitore di Sicurezza?


 

Esiste una relazione tra l’affidabilità e la sicurezza dell’Azienda alla quale si intende affidare il compito di valutare e migliorare la propria sicurezza ed il risultato che si intende raggiungere.

Può un processo di acquisto basato esclusivamente sulla convenienza economica garantire il risultato e tutelare l’investimento nel tempo?

 

 


 

Premessa

Occorre in prima istanza rilevare una distinzione di approccio tra due macro tipologie di Aziende che, a vario titolo ed esperienza e forti della propria professionalità e reputazione, compongono il panorama delle Aziende che operano nel comparto della sicurezza delle informazioni:

  • IT Company

    L’IT Company è un’Azienda che offre combinazioni di prodotti Hardware e Software (tramite tecnologie proprie o distribuendo quelle di vari vendor) le quali, unitamente ai propri servizi professionali di integrazione, concorrono a realizzare una soluzione in risposta alle specifiche esigenze di sicurezza manifestate dal Cliente.
     
  • Advisory Company

    L’Advisory company è un’Azienda che offre esclusivamente la propria consulenza ed i propri servizi in modo indipendente da tecnologie, prodotti e vendor, focalizzandosi sul processo di business del Cliente e sulla sua messa in sicurezza, guidandolo nell’adozione di un processo che lo metta in condizione di governare la propria sicurezza nel tempo, supportandolo nel trarre il massimo beneficio dagli strumenti e dalle soluzioni disponibili presso l’Azienda o sul mercato.

 

Dato che la ricetta per una governance della sicurezza efficace ed efficiente passa da un sapiente e gestito insieme di tutti gli elementi sopra citati (prodotti, soluzioni, servizi e processi), non si può affermare che una tipologia di Azienda sia migliore in senso assoluto rispetto ad un’altra, pur rilevando in esse una sostanziale differenza di approccio e quindi di contributo atteso.

Sarà piuttosto il livello di maturità del processo di governance della propria sicurezza a determinare quale sia l’Azienda migliore, o più utile in un determinato momento, in funzione delle caratteristiche di quest’ultima e dei risultati che si vogliono ottenere.

In ogni caso, nel momento in cui ci si affida ad una Azienda al fine di analizzare e migliorare il livello di sicurezza di un processo di business, risultano valide alcune considerazioni:

  • La scelta di un’Azienda quale terza parte verificatrice, non precedentemente coinvolta nella progettazione, nello sviluppo o nell’esercizio del processo di business che si intende analizzare, contribuisce a garantire una maggiore obiettività ed indipendenza dell’analisi.
  • La scelta di un’Azienda che non abbia alcun interesse diretto correlabile alla vendita di prodotti, tecnologie, soluzioni, o servizi di system integration contribuisce a ridurre il rischio di potenziali conflitti d’interesse riferibili all’attuazione del piano di rientro derivante dall’analisi o nell’affiancamento per lo scouting e la validazione delle più corrette scelte tecnologiche da adottare.

 

Caratteristiche delle Aziende

Nel prendere in esame un’Azienda, alla quale affidare il compito di valutare e concorrere al progressivo miglioramente della sicurezza della propria sicurezza aziendale, occorre – a nostro avviso - tenere presenti alcuni parametri fondamentali (tangibili o meno) fortemente caratterizzanti ed indicativi dell’attenzione che l’Azienda stessa conferisce alla propria postura in tema di sicurezza:

 

Parametro

Obiettivo

Caratteristica

Fatturato specifico

Verificare il focus dell’Azienda rispetto ai servizi di sicurezza

Capacità di ingaggio verso servizi e Clienti assimilabili a quelli oggetto della fornitura

Referenze

Verificare le capacità di ingaggio dell’Azienda

Capacità di ingaggio verso servizi e Clienti assimilabili a quelli oggetto della fornitura

Certificazioni aziendali

(Es. PCI DSS)

Verificare le credenziali dell’Azienda

Capacità di investimento in standard di mercato a garanzia della qualità e sicurezza dei servizi resi

Sistema di Gestione Integrato
(es. ISO 9001 e 27001)

Valutare la governance dell’azienda

Capacità di monitorare e migliorare la qualità dei servizi erogati e la sicurezza delle informazioni elaborate e trasmesse

Certificazioni del personale
(es. OPST, CISA, COBIT ecc.)

Verificare l’investimento nella formazione delle risorse umane

Capacità di fornire servizi professionali tramite personale competente ed aggiornato

Adozione di metodologie e best practice internazionali

(es. OSSTMM, ISO, OWASP)

Verificare l’investimento ed il contributo verso gli standard di mercato

Capacità di erogare i propri servizi in modo sistematico, consistente e ripetibile

Contribuzione allo sviluppo delle metodologie e best practice adottate

Verificare l’investimento in ricerca e sviluppo

Capacità costante di mantenere ed aggiornare le proprie competenze nonostante il continuo evolversi del contesto

CV del personale tecnico

Verificare le competenze del personale

Capacità di attrarre e trattenere talenti

Personale assunto Vs. consulenti  & Turnover del personale

Verificare l’assetto operativo

Capacità di mantenere riservate le informazioni apprese

Polizze assicurative

Verificare la copertura del rischio

Capacità di assicurare una copertura economica verso i rischi connessi ai propri servizi

Case history, success story

Verificare la reputazione

Capacità di concludere con successo progetti assimilabili a quelli oggetto della fornitura

Report di esempio (anonimizzati)

Verificare la qualità dei servizi

Capacità di erogare servizi di qualità

 

 

Caratteristiche dei Servizi

Un servizio, come ad esempio un Penetration Test, non è un bene con caratteristiche tangibili e riconoscibili in modo univoco dal mercato (come per esempio può essere un prodotto), è piuttosto una promessa che l’Azienda si impegna a soddisfare, sulla base delle proprie caratteristiche e capacità. Ne risultano servizi molto diversi tra di loro, pur riferendosi tutti a metodologie e standard di mercato internazionali ed avendo accezioni simili.

Risulta quindi evidente che le aziende che possiedono in misura diversa le caratteristiche prese in esame attraverso la tabella precedente, si esprimeranno diversamente in tema di qualità dei servizi resi differenziandosi necessariamente anche in termini di offerta economica, proprio in funzione dell’investimento che l’Azienda ha profuso (o meno) per ottenere e mantenere tali caratteristiche.

 

Conclusioni

Dal momento in cui un’Azienda che si occupa di sicurezza è coinvolta sul Cliente, essa stessa concorre con la propria postura (e non solo con i servizi resi) a determinare il livello di Sicurezza del Cliente.

Il rapporto di reciproca fiducia con l’Azienda di Sicurezza non si esaurisce al termine del progetto: dato che si sono condivise informazioni sostanziali rispetto alla sicurezza ed alle vulnerabilità connesse ai  propri processi di business, sarà la postura dell’Azienda prescelta che garantirà un adeguato livello di sicurezza di tali informazioni nel tempo.

Un approccio volto a garantire il maggior ritorno d’investimento dovrebbe prevedere uno screening delle Aziende e dei relativi servizi, secondo i parametri che le caratterizzano e rispetto al livello ritenuto adeguato dal Cliente, seguito da una comparazione (a parità dei livelli attesi e riscontrati) delle rispettive offerte economiche.

Una selezione basata esclusivamente sul fattore economico rischia di escludere proprio quelle Aziende la cui postura in tema di sicurezza costituisce un valore aggiunto, esponendo potenzialmente la sicurezza delle informazioni ad un rischio aggiuntivo.

 

27/02/2015 - Andrea Orlandini, Customer Director @ Mediaservice.net