proteggere è l’informazione digitale. Per poterlo fare, la sicurezza
deve proteggere anche gli strumenti che gestiscono tale bene,
ossia le applicazioni, le banche dati e l’hardware. Esiste poi un
tema legato alle piattaforme che ha risvolti sui modelli organiz-
zativi. “La tendenza oggi è quella di non mettere in sicurezza le
singole applicazioni o gruppo di applicazioni – dice Guerrieri –
ma si va a cercare qualcosa che porti la sicurezza a farsi servi-
zio, in modo interconnesso, non più atomico. I clienti ci chiedono
di portare innovazione perché fatti nuovi come il cloud computing
e i temi a esso correlati, il Software as a Service per esempio,
hanno generato un diverso approccio. Si parla di outsourcing,
ma anche di co-sourcing”.
Outsourcing e co-sourcing
Un’azienda può gestire la propria sicurezza in almeno due modi
diversi. Il primo consiste nel realizzare e gestire internamente tutto
quel che serve, eventualmente con una propria specifica unità
operativa o azienda. Con il secondo invece si va a terziarizzare
la realizzazione e la gestione della sicurezza ICT, il cosiddetto out-
sourcing, che diventa co-sourcing quando tra azienda e forni-
tore si crea una vera e propria cooperazione che riguarda anche
solo alcuni aspetti. Su che cosa e come terziarizzare non esiste
ovviamente un’unica risposta ed essa dipende dal tipo e dalle
dimensioni dell’azienda, dalla complessità dei sistemi informativi
e dal livello di sicurezza che ci si pone come obiettivo. Un ulte-
riore fattore che orienta la scelta verso un modello piuttosto che
un altro è la presenza di adeguate competenze interne. “Se da
una parte il co-sourcing riscuote successo affermandosi in modi
più innovativi e visionari rispetto a prima, dall’altra i CSO si con-
frontano con il problema di padroneggiare tecnologie sempre più
sofisticate e con la necessità di sapere in che direzione si muove
il mercato. Ecco perché – prosegue Guerrieri – un partner in
grado di avere una visione ad ampio spettro può sicuramente
rappresentare un aiuto importante per le aziende che si trovano
metrie che ci penalizzano nell’utilizzo di metodologie finalizzate al-
l’ingegnerizzazione e alla razionalizzazione della sicurezza in
azienda, insieme ad una più efficiente misurazione delle perfor-
mance. Un ricorso maggiore a questi metodi potrebbe portare
vantaggi anche alle imprese italiane. Soprattutto oggi che le
aziende introducono strumenti che sfruttano le potenzialità di in-
ternet e i nuovi servizi mobile, allargando in questo modo le pro-
blematiche di sicurezza ICT”. Con la compliance che si conferma
un driver importante, l’impianto normativo della sicurezza ICT in
Italia è complesso, ma anche abbastanza completo e giudicato
adeguato dagli osservatori. Non è su questo che il nostro paese
deve sentirsi in colpa. “In effetti non abbiamo nulla da invidiare dal
punto di vista delle regole a inglesi e tedeschi, due mercati che co-
nosciamo altrettanto bene.” sottolinea Guerrieri. “L’aspetto su cui
l’Italia sconta un certo ritardo è semmai la traduzione delle norme
nelle implementazioni in forma di servizio”.
Cosa chiedono i CSO?
Di capire e di sapere, innanzitutto. “I Chief Security Officer sono
chiamati a reinterpretare il loro ruolo, si vedono affidate maggiori
responsabilità e non operano in compartimenti stagni ma, anzi,
si confrontano sul piano internazionale con altre realtà della pro-
pria o di altre organizzazioni”, spiega Segalli. “Ecco perché sono
interessati a conoscere le best practice, le eccellenze, le migliori
pratiche sia sotto l’aspetto tecnologico sia organizzativo. Dal
punto di vista più operativo, invece, i CSO chiedono strumenti
che li aiutino a gestire aspetti di governance in modo integrato,
che permettano loro di raccogliere informazioni sul campo, veri-
ficare livelli di servizio e generare reportistica per la misurazione
della prestazione. Sicuramente ci chiedono anche innovazione,
che in alcuni casi significa rivisitare la sicurezza già implementata
alla luce delle innovazioni tecnologiche, in altri significa inserire
soluzioni diverse in grado di supportare nuove iniziative in
azienda”. Il bene primario che la sicurezza ICT ha l’obiettivo di
30
maggio-giugno 2011
LA VISIONE COMPLETA DELLA BUSINESS SECURITY
L’outsourcing come soluzione integrata per la business security
Una delle sale di monitoraggio del SOC di Reply
