Fornitori di servizi per le aziende con i piedi per terra

A cura di:Cesare Gallotti Ore

Questo articolo prosegue la serie dedicata a temi su cui ci sono i maggiori dubbi e perplessità sulle norme della serie ISO/IEC 27000.

Negli ultimi anni si è concentrata l’attenzione soprattutto sui fornitori di servizi cloud. Questi infatti presentano delle caratteristiche di opacità che altri fornitori, almeno apparentemente, non hanno. Tra queste caratteristiche citiamo la difficoltà di sapere dove sono i server, e quindi i dati, e come è costruita la filiera di fornitura.

Questo approccio ha però fatto sottovalutare la sicurezza per tutti gli altri fornitori.

La ISO/IEC 27001 non prevede un controllo specifico per il cloud, ma ne ha uno relativo alla filiera di fornitura.

Di seguito si propone qualche riflessione in merito ai fornitori non cloud più critici. Molte delle misure sono comunque applicabili anche ai fornitori cloud.

Misure comuni

Prima di avviare un rapporto contrattuale è sempre necessario riflettere su quali misure di sicurezza richiedere ai fornitori, anche sulla base del livello di sicurezza ritenuto necessario dal cliente (questa fase è indicata da molti come “analisi del rischio”); in alcuni casi è anche opportuno programmare e condurre un audit preventivo presso la sede del fornitore.

Il contratto con i fornitori deve essere scritto e aggiornato in modo da non diventare obsoleto prima della sua scadenza. Purtroppo è facile vedere contratti inizialmente concepiti per durare due o tre anni, successivamente prorogati di anno in anno e con riferimenti normativi ormai non più applicabili (si trovano ancora contratti con riferimento alla Legge 675 del 1996), nomi dei responsabili del contratto non più nelle rispettive aziende, descrizione dei servizi non più allineata alla realtà.

I contratti dovrebbero includere le modalità con cui sarà affrontato il passaggio di consegne alla conclusione dello stesso. Questa deve includere garanzie sulla portabilità dei dati.

Un fornitore di servizi, soprattutto se informatici, dovrebbe anche mettere a disposizione un sistema di ticketing per comunicare con i clienti (anche considerando che l’email è un mezzo insicuro e inaffidabile). In questo caso è necessario, preventivamente alla firma del contratto, stabilire come modificare i propri processi o strumenti per usarlo.

Housing

Spesso si vogliono collocare i server presso un fornitore che garantisce un elevato livello di sicurezza fisica e di infrastrutture. Per questo è necessario:

  • prevedere un sopralluogo prima della firma del contratto, in modo da osservare se veramente il sito presenta le caratteristiche di sicurezza attese;
  • verificare se è monitorata la capacità complessiva delle infrastrutture (consumo di energia, UPS e generatori) e della rete, anche con report periodici.

Hosting

Quando si richiede ad un fornitore di gestire i propri server, è opportuno richiedere dove sono le sedi da dove opera il personale addetto. Infatti le grandi società di servizi coinvolgono, per il servizio 24/7/365, non solo per quelli cloud, personale in più Paesi e anche di altre imprese.

Un fornitore di hosting dovrebbe inoltre fornire una presentazione delle misure di sicurezza che attua. Tra queste è opportuno prestare particolare attenzione a:

  • misure richieste dalla normativa sulla protezione dei dati personali e impegno ad adeguarle con il cambio di normativa;
  • messa a disposizione di report periodici;
  • tipi ed estensione dei backup, se offerti dal fornitore, e loro modalità di conservazione (preferibilmente in sito diverso da quello primario); spesso i clienti reputano il backup incluso nell’offerta, ma non sempre questo è vero;
  • tipo di soluzione di disaster recovery incluso nelle prestazioni;
  • modalità di gestione delle utenze e delle autorizzazioni del fornitore e del cliente; è importante infatti avere garanzie sulla corretta gestione degli amministratori di sistema da parte del fornitore e potere avere la massima collaborazione nella gestione degli utenti del cliente;
  • modalità di gestione degli aggiornamenti e delle patch; queste devono essere tempestive, ma il fornitore potrebbe assicurarle con tempi diversi da quelli ottimali per il cliente.

La descrizione delle misure di sicurezza dovrebbe seguire un indice standard. È infatti questa l’origine della “Dichiarazione di applicabilità” (“Statement of applicability”) della ISO/IEC 27001 (all’epoca BS 7799): mettere a disposizione una struttura standard per illustrare le misure di sicurezza di un’organizzazione.

Infine è importante considerare le tariffe richieste per ogni cambiamento o richiesta di servizio. Se sono troppo elevate, infatti, il cliente evita di avanzare richieste fondamentali per la sicurezza come: esecuzione di prove di ripristino dei sistemi dai backup, esecuzione di prove di disaster recovery, vulnerability assessment, aggiornamenti.

Sviluppo delle applicazioni

Alcuni sviluppatori hanno accesso diretto ai sistemi di produzione del cliente. In questo caso è necessario chiedere a tali fornitori le medesime garanzie dei fornitori di hosting.

Per quanto riguarda gli sviluppi, è sempre opportuno richiedere ai fornitori:

  • specifiche di sicurezza del software, attraverso una descrizione delle funzionalità di sicurezza (per esempio dei meccanismi di identificazione e autenticazione, di gestione delle autorizzazioni, di logging, di crittografia per i dati at rest e in transito, di controllo dell’integrità delle transazioni) e dell’architettura di sicurezza;
  • regole di sviluppo sicuro;
  • risultati dei vulnerability assessment sul prodotto;
  • documentazione per l’amministrazione del prodotto.

Con gli sviluppatori è necessario chiarire come e con che condizioni è erogato il servizio di assistenza in garanzia, ossia quando sono rilevati bug o vulnerabilità al sistema fornito.

Pulizie

Il personale delle pulizie entra spesso in tutti gli uffici e in tutti i locali. Ciò non ostante, i contratti non considerano i rischi correlati.

Se le pulizie sono fatte quando gli uffici non sono usati (spesso dalle 6 alle 8.30), per un malintenzionato è sufficiente presentarsi all’ingresso vestito in modo adeguato, dire di aver dimenticato le chiavi o il badge, per poter quindi vedersi aprire le porte dagli addetti alle pulizie, vittime della propria gentilezza.

Pertanto è necessario, anche contrattualmente, richiedere che venga fatta della formazione al personale (oppure che partecipi a quella erogata dal cliente stesso al proprio personale). In molti casi è anche opportuno richiedere la lista delle persone addette (e i suoi successivi aggiornamenti), in modo da evitare un eccessivo turn over.

Altri fornitori di servizi

Fornitori di servizi non informatici (per esempio consulenti e studi di elaborazione di paghe e stipendi) devono assicurare la riservatezza dei dati di cui vengono in possesso.

Nel caso questi fornitori accedano ai sistemi informatici del cliente, dovrebbero fornire una descrizione delle misure di sicurezza che attuano: troppo spesso i fornitori, in particolare i consulenti, non prevedono alcun controllo dei client del proprio personale e questo introduce rischi molto elevati nelle aziende clienti.

Fornitori obbligatori

Molte imprese, in quanto appartenenti ad un Gruppo, devono necessariamente affidarsi a fornitori imposti dalla Casa madre. Tra questi fornitori vi è la Casa madre stessa.

In questi casi si dovrebbero richiedere i livelli di servizio e una descrizione delle misure di sicurezza, nonché l’invio di report periodici. Purtroppo non sempre ciò è possibile e non rimane che accettare il rischio.

Conclusioni

Non è sempre semplice trattare con i fornitori, anche considerando che alcuni di essi hanno una notevole forza contrattuale (si pensi ai grandi fornitori di telecomunicazione o a quelli specializzati in specifiche tecnologie).

In un’organizzazione, inoltre, il controllo dei fornitori deve essere gestito da un punto di vista amministrativo e tecnico e non sempre questo è correttamente affrontato organizzando correttamente le persone con le necessarie competenze.

Spesso si crea un rapporto di fiducia con il fornitore. Questo è positivo, ma non deve essere un motivo per non occuparsi più della parte formale e contrattuale del rapporto. Infatti è noto che i rapporti duraturi si fondano su regole condivise.

A cura di: Cesare Gallotti

Profilo Autore
Cesare Gallotti

Lavora dal 1999 nel campo della sicurezza delle informazioni, della qualità e della gestione dei servizi IT.
Ha condotto progetti di consulenza per la pubblica amministrazione e per il settore privato. Opera, sia in Italia che all’estero, come Lead Auditor ISO/IEC 27001, ISO 9001, ISO/IEC 200000 e ISO 22301. Ha progettato ed erogato corsi di Quality Assurance e di certificazione Lead Auditor ISO/IEC 27001 e ITIL Foundation.
Tra gli attestati si segnalano: le certificazioni AICQ SICEV Lead Auditor ISO/IEC 27001, IRCA Lead Auditor 9001, CISA, ITIL Expert e CBCI, la qualifica come Lead Auditor ISO/IEC 20000 e il perfezionamento postlaurea in “Computer Forensics e investigazioni digitali”.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Andrea Rigoni – Intervista al Cyber Crime Conference 2018

Andrea Rigoni – Intervista al Cyber Crime Conference 2018

A cura di:Redazione Ore Pubblicato il

[video_embed video=”266053650″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”900″ height=”460″] Andrea Rigoni Advisor internationale di Cyber Defence La minaccia verso le infrastrutture critiche cresce, e spesso le PMI non sono adeguatamente attrezzate, ma anche le grandi aziende rischiano di farsi trovare impreparate dalle nuove evoluzioni degli attacchi. È difficile giudicare un strategia di sicurezza finché non si…

Campagna Abbonamenti 2020 – ICT Security Magazine

Campagna Abbonamenti 2020 – ICT Security Magazine

A cura di:Redazione Ore Pubblicato il

E’ attiva la Campagna Abbonamenti 2020 alla Rivista ICT Security Magazine ICT Security, prima pubblicazione italiana dedicata in forma esclusiva alla sicurezza informatica e alla business continuity, si pone l’obiettivo di coinvolgere i più importanti attori del settore, aziende e istituzioni pubbliche, per la diffusione degli elementi conoscitivi legati a tutti gli aspetti della Cyber Security….

Trasparenza, accesso civico e sicurezza dei dati

Trasparenza, accesso civico e sicurezza dei dati

A cura di:Maurizio Lucca Ore Pubblicato il

La luce invade un corpo e diviene trasparente agli occhi dell’osservatore, rendendo l’immagine nella sua dimensione naturale, e più questa intensità aumenta più è possibile togliere tutte le oscurità, sicché nel linguaggio e nell’analisi giuridica la “trasparenza” ha assunto una molteplicità di definizioni, accomunate dall’esigenza di celebrare la chiarezza e regolarità del procedimento (principio di…

L’Industrial Internet Consortium concentra la sua attenzione sui servizi agli utenti finali della tecnologia IIoT

L’Industrial Internet Consortium concentra la sua attenzione sui servizi agli utenti finali della tecnologia IIoT

A cura di:Redazione Ore Pubblicato il

L’Industrial Internet Consortium (IIC, società che si occupa di accelerare lo sviluppo aziendale tramite l’IIoT) ha annunciato un nuovo programma creato per favorire l’adozione dell’IIoT nell’industria ed aiutare gli utenti IT e OT a risolvere i problemi reali che si trovano ad affrontare nelle loro aziende. Il programma, denominato IIC Accelerator Program, comprende diverse iniziative…

Il fenomeno dei Deepfake e le implicazioni cruciali per la Cybersecurity

Il fenomeno dei Deepfake e le implicazioni cruciali per la Cybersecurity

A cura di:Giovanni Villarosa Ore Pubblicato il

La misinformazione è un inganno. La disinformazione è un imbroglio Toba Beta Preambolo: avete idea di quante captazioni “vocali” giornaliere siamo vittime, spesso inconsapevoli, e quanto è grande la galassia dei microfoni che ascoltano tutti i giorni la nostra voce, senza soluzione di continuità? Un hacker falsifica la voce di un dipendente appartenete ad una società operativa…

DFA Open Day 2018

DFA Open Day 2018

A cura di:Redazione Ore Pubblicato il

Come ogni anno l’Associazione Digital Forensics Alumni (DFA) organizza un evento formativo gratuito, della durata di una giornata dove i soci dell’associazione, in veste di relatori, appronfondiscono le tematiche più attuali nell’ambito della digital forensics e delle investigazioni digitali. 5 luglio 2018 dalle 13:30 alle 18:00 Università degli Studi di Milano – Aula Malliani Via…