Fornitori di servizi per le aziende con i piedi per terra
Questo articolo prosegue la serie dedicata a temi su cui ci sono i maggiori dubbi e perplessità sulle norme della serie ISO/IEC 27000.
Negli ultimi anni si è concentrata l’attenzione soprattutto sui fornitori di servizi cloud. Questi infatti presentano delle caratteristiche di opacità che altri fornitori, almeno apparentemente, non hanno. Tra queste caratteristiche citiamo la difficoltà di sapere dove sono i server, e quindi i dati, e come è costruita la filiera di fornitura.
Sicurezza dei fornitori IT e servizi cloud: riflessioni e misure critiche
Questo approccio ha però fatto sottovalutare la sicurezza per tutti gli altri fornitori.
La ISO/IEC 27001 non prevede un controllo specifico per il cloud, ma ne ha uno relativo alla filiera di fornitura.
Di seguito si propone qualche riflessione in merito ai fornitori non cloud più critici. Molte delle misure sono comunque applicabili anche ai fornitori cloud.
Misure comuni per la sicurezza dei fornitori IT
Prima di avviare un rapporto contrattuale è sempre necessario riflettere su quali misure di sicurezza richiedere ai fornitori, anche sulla base del livello di sicurezza ritenuto necessario dal cliente (questa fase è indicata da molti come “analisi del rischio”); in alcuni casi è anche opportuno programmare e condurre un audit preventivo presso la sede del fornitore.
Il contratto con i fornitori deve essere scritto e aggiornato in modo da non diventare obsoleto prima della sua scadenza. Purtroppo è facile vedere contratti inizialmente concepiti per durare due o tre anni, successivamente prorogati di anno in anno e con riferimenti normativi ormai non più applicabili (si trovano ancora contratti con riferimento alla Legge 675 del 1996), nomi dei responsabili del contratto non più nelle rispettive aziende, descrizione dei servizi non più allineata alla realtà.
I contratti dovrebbero includere le modalità con cui sarà affrontato il passaggio di consegne alla conclusione dello stesso. Questa deve includere garanzie sulla portabilità dei dati.
Un fornitore di servizi, soprattutto se informatici, dovrebbe anche mettere a disposizione un sistema di ticketing per comunicare con i clienti (anche considerando che l’email è un mezzo insicuro e inaffidabile). In questo caso è necessario, preventivamente alla firma del contratto, stabilire come modificare i propri processi o strumenti per usarlo.
Sicurezza per servizi di housing e hosting
Spesso si vogliono collocare i server presso un fornitore che garantisce un elevato livello di sicurezza fisica e di infrastrutture. Per questo è necessario:
- prevedere un sopralluogo prima della firma del contratto, in modo da osservare se veramente il sito presenta le caratteristiche di sicurezza attese;
- verificare se è monitorata la capacità complessiva delle infrastrutture (consumo di energia, UPS e generatori) e della rete, anche con report periodici.
Hosting
Quando si richiede ad un fornitore di gestire i propri server, è opportuno richiedere dove sono le sedi da dove opera il personale addetto. Infatti le grandi società di servizi coinvolgono, per il servizio 24/7/365, non solo per quelli cloud, personale in più Paesi e anche di altre imprese.
Un fornitore di hosting dovrebbe inoltre fornire una presentazione delle misure di sicurezza che attua. Tra queste è opportuno prestare particolare attenzione a:
- misure richieste dalla normativa sulla protezione dei dati personali e impegno ad adeguarle con il cambio di normativa;
- messa a disposizione di report periodici;
- tipi ed estensione dei backup, se offerti dal fornitore, e loro modalità di conservazione (preferibilmente in sito diverso da quello primario); spesso i clienti reputano il backup incluso nell’offerta, ma non sempre questo è vero;
- tipo di soluzione di disaster recovery incluso nelle prestazioni;
- modalità di gestione delle utenze e delle autorizzazioni del fornitore e del cliente; è importante infatti avere garanzie sulla corretta gestione degli amministratori di sistema da parte del fornitore e potere avere la massima collaborazione nella gestione degli utenti del cliente;
- modalità di gestione degli aggiornamenti e delle patch; queste devono essere tempestive, ma il fornitore potrebbe assicurarle con tempi diversi da quelli ottimali per il cliente.
La descrizione delle misure di sicurezza dovrebbe seguire un indice standard. È infatti questa l’origine della “Dichiarazione di applicabilità” (“Statement of applicability”) della ISO/IEC 27001 (all’epoca BS 7799): mettere a disposizione una struttura standard per illustrare le misure di sicurezza di un’organizzazione.
Infine è importante considerare le tariffe richieste per ogni cambiamento o richiesta di servizio. Se sono troppo elevate, infatti, il cliente evita di avanzare richieste fondamentali per la sicurezza come: esecuzione di prove di ripristino dei sistemi dai backup, esecuzione di prove di disaster recovery, vulnerability assessment, aggiornamenti.
Sviluppo delle applicazioni
Alcuni sviluppatori hanno accesso diretto ai sistemi di produzione del cliente. In questo caso è necessario chiedere a tali fornitori le medesime garanzie dei fornitori di hosting.
Per quanto riguarda gli sviluppi, è sempre opportuno richiedere ai fornitori:
- specifiche di sicurezza del software, attraverso una descrizione delle funzionalità di sicurezza (per esempio dei meccanismi di identificazione e autenticazione, di gestione delle autorizzazioni, di logging, di crittografia per i dati at rest e in transito, di controllo dell’integrità delle transazioni) e dell’architettura di sicurezza;
- regole di sviluppo sicuro;
- risultati dei vulnerability assessment sul prodotto;
- documentazione per l’amministrazione del prodotto.
Con gli sviluppatori è necessario chiarire come e con che condizioni è erogato il servizio di assistenza in garanzia, ossia quando sono rilevati bug o vulnerabilità al sistema fornito.
Pulizie
Il personale delle pulizie entra spesso in tutti gli uffici e in tutti i locali. Ciò non ostante, i contratti non considerano i rischi correlati.
Se le pulizie sono fatte quando gli uffici non sono usati (spesso dalle 6 alle 8.30), per un malintenzionato è sufficiente presentarsi all’ingresso vestito in modo adeguato, dire di aver dimenticato le chiavi o il badge, per poter quindi vedersi aprire le porte dagli addetti alle pulizie, vittime della propria gentilezza.
Pertanto è necessario, anche contrattualmente, richiedere che venga fatta della formazione al personale (oppure che partecipi a quella erogata dal cliente stesso al proprio personale). In molti casi è anche opportuno richiedere la lista delle persone addette (e i suoi successivi aggiornamenti), in modo da evitare un eccessivo turn over.
Altri fornitori di servizi
Fornitori di servizi non informatici (per esempio consulenti e studi di elaborazione di paghe e stipendi) devono assicurare la riservatezza dei dati di cui vengono in possesso.
Nel caso questi fornitori accedano ai sistemi informatici del cliente, dovrebbero fornire una descrizione delle misure di sicurezza che attuano: troppo spesso i fornitori, in particolare i consulenti, non prevedono alcun controllo dei client del proprio personale e questo introduce rischi molto elevati nelle aziende clienti.
Fornitori obbligatori
Molte imprese, in quanto appartenenti ad un Gruppo, devono necessariamente affidarsi a fornitori imposti dalla Casa madre. Tra questi fornitori vi è la Casa madre stessa.
In questi casi si dovrebbero richiedere i livelli di servizio e una descrizione delle misure di sicurezza, nonché l’invio di report periodici. Purtroppo non sempre ciò è possibile e non rimane che accettare il rischio.
Conclusioni
Non è sempre semplice trattare con i fornitori, anche considerando che alcuni di essi hanno una notevole forza contrattuale (si pensi ai grandi fornitori di telecomunicazione o a quelli specializzati in specifiche tecnologie).
In un’organizzazione, inoltre, il controllo dei fornitori deve essere gestito da un punto di vista amministrativo e tecnico e non sempre questo è correttamente affrontato organizzando correttamente le persone con le necessarie competenze.
Spesso si crea un rapporto di fiducia con il fornitore. Questo è positivo, ma non deve essere un motivo per non occuparsi più della parte formale e contrattuale del rapporto. Infatti è noto che i rapporti duraturi si fondano su regole condivise.
A cura di: Cesare Gallotti
Lavora dal 1999 nel campo della sicurezza delle informazioni, della qualità e della gestione dei servizi IT.
Ha condotto progetti di consulenza per la pubblica amministrazione e per il settore privato. Opera, sia in Italia che all’estero, come Lead Auditor ISO/IEC 27001, ISO 9001, ISO/IEC 200000 e ISO 22301. Ha progettato ed erogato corsi di Quality Assurance e di certificazione Lead Auditor ISO/IEC 27001 e ITIL Foundation.
Tra gli attestati si segnalano: le certificazioni AICQ SICEV Lead Auditor ISO/IEC 27001, IRCA Lead Auditor 9001, CISA, ITIL Expert e CBCI, la qualifica come Lead Auditor ISO/IEC 20000 e il perfezionamento postlaurea in “Computer Forensics e investigazioni digitali”.