Affidare la sicurezza in outsourcing: quali vantaggi

Senza una sicurezza informatica efficace, le aziende rischiano di perdere denaro e la fiducia dei propri clienti. Viceversa, una sicurezza adeguata permette di mantenere il valore dell'azienda, fidelizzare la clientela e conservare il vantaggio competitivo. Di fronte alla complessità legata alla realizzazione di una sicurezza informatica efficace, molte aziende scelgono l'outsourcing.

Ricordate l'estate del 2001? Non è stato un periodo molto felice per le aziende colpite da minacce quali CodeRed, CodeRed II e Nimda - attacchi che sono costati solo negli Stati Uniti oltre 12,3 miliardi di dollari. Una società ha reso noto di aver dovuto impegnare per una settimana oltre 60 tecnici per sistemare i danni causati da Nimda e la situazione si è normalizzata solo molto tempo dopo.

Per molte realtà questi attacchi - insieme alle discussioni sul cyberterrorismo sollevate dopo l'11 settembre 2001 - sono suonate come un campanello d'allarme che ha posto l'attenzione sulla protezione dei sistemi informativi. Senza una sicurezza efficace, le aziende rischiano di perdere denaro e la fiducia dei clienti. Una sicurezza adeguata permette invece di mantenere il valore dell'azienda, fidelizzare la clientela e conservare il vantaggio competitivo.

Internet e le attività correlate ad esso - e-business, e-commerce, e-retailing -comportano la necessità di proteggere ancora di più le reti aziendali. Falle e vulnerabilità all'interno dei sistemi informativi possono portare a problemi inimmaginabili: ecco perché un programma di sicurezza completo è ormai fondamentale per la sopravvivenza di qualunque azienda. Ma la possibilità di far gestire la sicurezza in outsourcing è una decisione che deve essere intrapresa dalle aziende con grande attenzione.

Il business in Rete: opportunità e minacce
L'e-commerce e l'e-business portano le aziende a spostarsi verso un ambiente di rete aperto e distribuito, tale da permettere a dipendenti, clienti, partner, fornitori e distributori di scambiare e consultare informazioni business-critical. Sfortunatamente, questo tipo di ambiente dà vita a vulnerabilità che permettono a dipendenti in cattiva fede, hacker e altre tipologie di sabotatori - tanto interni quanto esterni - di causare scompiglio nei sistemi aziendali per mezzo di atti vandalici e illegali.

Poiché i clienti e i partner hanno la necessità di accedere a dati relativi a prodotti e servizi attraverso reti aperte come Internet, le aziende devono assicurare l'integrità di queste informazioni, altrimenti rischiano di mettere a repentaglio la loro immagine e il valore del loro brand. L'esigenza di proteggere la propria attività, la propria immagine e credibilità conquistata presso la clientela, stimola la domanda di una gestione efficace della sicurezza dell'informazione.

Ci sono numerosi aspetti che mettono alla prova le aziende, tra questi:

• Incremento di crimini contro le aziende
  Dopo gli attacchi terroristici dell'11 settembre, l'attenzione dei governi si è spostata sempre più verso atti legislativi che prevedano pene più severe nei confronti degli hacker. Studi recenti hanno rilevato un aumento delle vulnerabilità ed evidenziato come alcuni settori siano spesso più colpiti di altri: alta tecnologia, servizi finanziari, media ed energia sono i comparti tenuti maggiormente sotto tiro.
• Aumento dei lavoratori 'mobili'
  Lo sviluppo del telelavoro da parte di dipendenti (dai top manager ai venditori) che si spostano dalla sede con computer portatili o altri pda porta le aziende ad aumentare la sicurezza delle proprie reti non solo per salvaguardare le informazioni e gli asset, ma anche la produttività del personale. Esiste una crescente diffusione del lavoro da remoto, ma le reti LAN e WAN tradizionali sono insufficienti a sostenere un tale allargamento della forza lavoro esterna alle aziende. Aumentando l'accesso remoto alle reti, si fa più urgente la necessità di proteggere e ottimizzare la trasmissione dell'informazione verso questi punti.

Gestione interna della sicurezza: le sfide
Mai come oggi la sicurezza rappresenta una elemento cruciale per la produttività di un'azienda, tuttavia occorre superare una serie di ostacoli per implementare e gestire adeguatamente programmi di sicurezza in-house.

• Mancanza di professionisti qualificati
  L'offerta di personale IT è scarsa. Secondo The Meta Group, nell'arco di qualche anno le aziende dovranno fare i conti con un deficit di un milione di professionisti IT. Il personale esperto nella sicurezza informatica è ancora più raro, costoso e difficile da conservare a causa dell'intensa domanda di mercato. Tutto ciò riduce la capacità di un'azienda di salvaguardare efficacemente il proprio patrimonio di informazioni.
• Insufficienza di risorse e infrastrutture per supportare una sicurezza 24x7
  
• Crescente complessità delle tecnologia
• Mancanza di tempo
  

La soluzione è fuori
Per un numero sempre maggiore di aziende di ogni dimensione, dare in outsourcing la sicurezza significa aumentare la protezione delle informazioni affidandole a un team di esperti.

Gartner Dataquest ha rilevato come i Managed Security Services - definiti come la gestione e il monitoraggio in outsourcing dei sistemi di sicurezza - rappresentino il segmento in più forte crescita del mercato dei servizi per la sicurezza dell'informazione.

Per le aziende che devono affrontare le sfide della sicurezza, i servizi in outsourcing rappresentano un'alternativa assai più efficace. Ecco alcuni vantaggi:

• Mantenere l'immagine positiva dell'azienda
  Proteggendo gli asset da danni, furti e uso inappropriato, i Managed Security Services aiutano le aziende ad evitare pubblicità negativa e a ridurre i fermi di rete che possono causare perdite di redditività e malcontento nei clienti.
• Libertà di concentrarsi sulla crescita dell'azienda
  A livello strategico, i Managed Security Services consentono alle aziende di concentrare le risorse IT su iniziative strategiche maggiormente correlate alle priorità del business.
• Migliorare la protezione delle informazioni
  Data la crescente complessità e importanza delle reti e dei sistemi informativi attuali, i Managed Security Services offrono un programma di gestione della sicurezza completo.

Un buon provider di Managed Security Services può offrire alle aziende diversi vantaggi:

• Esperienza e know-how di un team di esperti
  La competenza degli analisti e dei tecnici di un MSSP che gestiscono e controllano i dispositivi di sicurezza su base continuativa rappresenta una risorsa preziosa. Questi analisti ricercano e neutralizzano quotidianamente incidenti e attacchi: ciò significa che sono molto più consapevoli delle minacce potenziali e assai più preparati a rispondere rispetto allo staff interno di un'azienda.
• Condivisione della responsabilità con un partner fidato
  I provider propongono parametri SLA (Service Level Agreement) che rappresentano un'obbligazione contrattuale. I MSSP mettono a disposizione know-how dedicato con una considerevole esperienza nel rilevamento delle intrusioni e nella risposta agli incidenti.
• Gestione affidabile 24x7
  Buona parte delle aziende si rivolge ai provider affidandovi le attività di monitoraggio e di risposta agli incidenti, due compiti che richiedono vigilanza costante. Caratteristica di un MSSP è quella di fornire un ambiente 24x7 che cura le reti e le infrastrutture dei clienti per assicurare la protezione proprio negli orari in cui la maggior parte degli hacker tende a scatenarsi.
• Ottimizzazione dei prodotti di sicurezza già installati
  Un buon provider di Managed Security Services si accerta che le soluzioni acquistate siano installate, implementate e integrate in modo da restituire il valore che un'azienda si attende e di cui necessita.
• Un approccio conveniente alla gestione della sicurezza Ricorrendo ai servizi di un MSSP per proteggere le risorse informative, un'azienda può evitare di incorrere nei forti costi di personale associati all'assunzione, alla formazione e al mantenimento di professionisti della sicurezza. I Managed Security Services riducono il total cost of ownership, permettendo di trasferire le spese di personale tra i costi variabili. Dal momento che i servizi gestiti vengono fatturati su base mensile, è inoltre possibile ottimizzare al meglio il budget dedicato alla sicurezza.

William Beer, Director Professional Services
Fonte: Symantec