Questo articolo prosegue la serie dedicata a temi su cui ci sono i maggiori dubbi e perplessità sulle norme della serie ISO/IEC 27000.
Negli ultimi anni si è concentrata l’attenzione soprattutto sui fornitori di servizi cloud. Questi infatti presentano delle caratteristiche di opacità che altri fornitori, almeno apparentemente, non hanno. Tra queste caratteristiche citiamo la difficoltà di sapere dove sono i server, e quindi i dati, e come è costruita la filiera di fornitura.
Questo approccio ha però fatto sottovalutare la sicurezza per tutti gli altri fornitori.
La ISO/IEC 27001 non prevede un controllo specifico per il cloud, ma ne ha uno relativo alla filiera di fornitura.
Di seguito si propone qualche riflessione in merito ai fornitori non cloud più critici. Molte delle misure sono comunque applicabili anche ai fornitori cloud.
Prima di avviare un rapporto contrattuale è sempre necessario riflettere su quali misure di sicurezza richiedere ai fornitori, anche sulla base del livello di sicurezza ritenuto necessario dal cliente (questa fase è indicata da molti come “analisi del rischio”); in alcuni casi è anche opportuno programmare e condurre un audit preventivo presso la sede del fornitore.
Il contratto con i fornitori deve essere scritto e aggiornato in modo da non diventare obsoleto prima della sua scadenza. Purtroppo è facile vedere contratti inizialmente concepiti per durare due o tre anni, successivamente prorogati di anno in anno e con riferimenti normativi ormai non più applicabili (si trovano ancora contratti con riferimento alla Legge 675 del 1996), nomi dei responsabili del contratto non più nelle rispettive aziende, descrizione dei servizi non più allineata alla realtà.
I contratti dovrebbero includere le modalità con cui sarà affrontato il passaggio di consegne alla conclusione dello stesso. Questa deve includere garanzie sulla portabilità dei dati.
Un fornitore di servizi, soprattutto se informatici, dovrebbe anche mettere a disposizione un sistema di ticketing per comunicare con i clienti (anche considerando che l’email è un mezzo insicuro e inaffidabile). In questo caso è necessario, preventivamente alla firma del contratto, stabilire come modificare i propri processi o strumenti per usarlo.
Spesso si vogliono collocare i server presso un fornitore che garantisce un elevato livello di sicurezza fisica e di infrastrutture. Per questo è necessario:
Quando si richiede ad un fornitore di gestire i propri server, è opportuno richiedere dove sono le sedi da dove opera il personale addetto. Infatti le grandi società di servizi coinvolgono, per il servizio 24/7/365, non solo per quelli cloud, personale in più Paesi e anche di altre imprese.
Un fornitore di hosting dovrebbe inoltre fornire una presentazione delle misure di sicurezza che attua. Tra queste è opportuno prestare particolare attenzione a:
La descrizione delle misure di sicurezza dovrebbe seguire un indice standard. È infatti questa l’origine della “Dichiarazione di applicabilità” (“Statement of applicability”) della ISO/IEC 27001 (all’epoca BS 7799): mettere a disposizione una struttura standard per illustrare le misure di sicurezza di un’organizzazione.
Infine è importante considerare le tariffe richieste per ogni cambiamento o richiesta di servizio. Se sono troppo elevate, infatti, il cliente evita di avanzare richieste fondamentali per la sicurezza come: esecuzione di prove di ripristino dei sistemi dai backup, esecuzione di prove di disaster recovery, vulnerability assessment, aggiornamenti.
Alcuni sviluppatori hanno accesso diretto ai sistemi di produzione del cliente. In questo caso è necessario chiedere a tali fornitori le medesime garanzie dei fornitori di hosting.
Per quanto riguarda gli sviluppi, è sempre opportuno richiedere ai fornitori:
Con gli sviluppatori è necessario chiarire come e con che condizioni è erogato il servizio di assistenza in garanzia, ossia quando sono rilevati bug o vulnerabilità al sistema fornito.
Il personale delle pulizie entra spesso in tutti gli uffici e in tutti i locali. Ciò non ostante, i contratti non considerano i rischi correlati.
Se le pulizie sono fatte quando gli uffici non sono usati (spesso dalle 6 alle 8.30), per un malintenzionato è sufficiente presentarsi all’ingresso vestito in modo adeguato, dire di aver dimenticato le chiavi o il badge, per poter quindi vedersi aprire le porte dagli addetti alle pulizie, vittime della propria gentilezza.
Pertanto è necessario, anche contrattualmente, richiedere che venga fatta della formazione al personale (oppure che partecipi a quella erogata dal cliente stesso al proprio personale). In molti casi è anche opportuno richiedere la lista delle persone addette (e i suoi successivi aggiornamenti), in modo da evitare un eccessivo turn over.
Fornitori di servizi non informatici (per esempio consulenti e studi di elaborazione di paghe e stipendi) devono assicurare la riservatezza dei dati di cui vengono in possesso.
Nel caso questi fornitori accedano ai sistemi informatici del cliente, dovrebbero fornire una descrizione delle misure di sicurezza che attuano: troppo spesso i fornitori, in particolare i consulenti, non prevedono alcun controllo dei client del proprio personale e questo introduce rischi molto elevati nelle aziende clienti.
Molte imprese, in quanto appartenenti ad un Gruppo, devono necessariamente affidarsi a fornitori imposti dalla Casa madre. Tra questi fornitori vi è la Casa madre stessa.
In questi casi si dovrebbero richiedere i livelli di servizio e una descrizione delle misure di sicurezza, nonché l’invio di report periodici. Purtroppo non sempre ciò è possibile e non rimane che accettare il rischio.
Non è sempre semplice trattare con i fornitori, anche considerando che alcuni di essi hanno una notevole forza contrattuale (si pensi ai grandi fornitori di telecomunicazione o a quelli specializzati in specifiche tecnologie).
In un’organizzazione, inoltre, il controllo dei fornitori deve essere gestito da un punto di vista amministrativo e tecnico e non sempre questo è correttamente affrontato organizzando correttamente le persone con le necessarie competenze.
Spesso si crea un rapporto di fiducia con il fornitore. Questo è positivo, ma non deve essere un motivo per non occuparsi più della parte formale e contrattuale del rapporto. Infatti è noto che i rapporti duraturi si fondano su regole condivise.
A cura di: Cesare Gallotti
I Big Data stanno cambiando le regole del commercio online. Finalmente le aziende possono comprendere…
Dal punto di vista tecnico-operativo, le indagini di digital forensics vengono svolte utilizzando specifici strumenti…
Nell’ambito dell’email security esistono diversi protocolli volti a garantire l'autenticità, l'integrità e la riservatezza delle…
Nel panorama della sicurezza informatica, la minaccia di attacchi fisici tramite dispositivi USB malevoli è…
Come per tutti i problemi complessi con cause molteplici, non esiste una soluzione per il…
In un mondo sempre più connesso e digitalizzato, le innovazioni tecnologiche stanno cambiando radicalmente il…