Sicurezza in Outsourcing

Reti aziendali, VPN, mail server ormai fanno parte della vita quotidiana e sono divenuti strumenti di lavoro su cui facciamo affidamento. La rete aziendale ferma per qualche ora, la mancata possibilità di accedere alla mail, la perdita di dati o un virus che blocca il nostro PC sono imprevisti che causano ritardi e perdite di tempo a catena. Le truffe su Internet nell'ultimo anno sono raddoppiate e molte di queste sono state possibili grazie a sistemi informativi non sufficientemente sicuri.

La sicurezza informatica non è una astrusa serie di regole per mettere in difficoltà il centro Edp o far spendere soldi all'imprenditore ma permette di limitare i danni derivanti dagli incidenti informatici, di proteggere il patrimonio informativo aziendale, di preservarne l'immagine e anche di ottemperare alle normative vigenti (tra cui la tanto famosa 196/2003 con il Dps — Documento programmatico della sicurezza). Gli accorgimenti e le tecnologie da impiegare ai fini della sicurezza sono sempre in evoluzione. Ecco perché è sempre più comune ricorrere all'outsourcing (Outside resourcing).

In Italia gli MSSP provider (MSSPManaged Security Service Provider) – le aziende cioè che offrono tali servizi – sono molti e scegliere quello a cui affidarsi è un compito molto impegnativo. Abbiamo esaminato un campione degli MSSP italiani che offrono soluzioni professionali a pagamento.

Un elenco ragionato

Per conto di Internet Pro (www.internetpro.it) abbiamo fatto una indagine tra gli MSSP cercando di capire le differenti impostazioni, i servizi offerti e i relativi costi.

Il frutto di questo lavoro è stato pubblicato sul numero di Marzo 2006 di Internet Pro che mi ha gentilmente dato il permesso di diffondere via web il relativo pdf. Nell'articolo è possibile trovare:

Sicurezza in outsourcing (pdf 1,5 MB). Gestire la sicurezza in outsourcing: come scegliere un MSSP. Interviste con i migliori MSSP italiani.

Oltre all'articolo è possibile scaricare una tabella che mette a confronto 35 MSSP italiani (.pdf).

Qui sotto un esempio delle informazioni disponibili nella tabella scaricabile.

Azienda ADA Consulting Srl Datamat SpA Digitaltrust
Anno di costituzione 1999 1971 1995
Telefono 0541-326155 06-50271 02-29061262
E-mail info@adaconsulting.net info@datamat.it info@digtaltrust.biz
Sito Web www.adaconsulting.net www.datamat.it www.digitaltrust.biz
Sede principale Santarcangelo di Romagna (RN) Roma Milano
Aree geografiche di intervento Emilia-Romagna, Marche, Veneto, Toscana Italia, Estero Tutta Europa
Fatturato 2004 (migliaia di euro) € 240 € 17.093
Numero di dipendenti 3 1297 12
Tipologie di clienti
Grandi aziende Si
PMI Si
Pubblica amministrazione Si No
Certificazioni dell'azienda o del Personale
BS 7799 Corso BS 7799 Si No
ISO 17799 No Si No
Certificazioni Qualità No UNI EN ISO 9001:2000
SOC (Security Operation Center)
SOC proprietario No
SOC presso terzi No No
Accesso riservato e protetto No
Presenza personale 24x7x365 No
Servizi erogati in outsourcing
Analisi rischi (Risk Analysis) Si
Analisi minacce (Threat analysis) Si
Analisi vulnerabilità Si
Gestione Firewall No
Content Filtering No
Antivirus No
Intrusion analysis Si
Intrusion detection No
Penetration Testing (interni ed esterni) Si
Honeypot No No
Login e Auditing centralizzato No
Gestione VPN No
Monitoraggio di rete No
User Management No
Verifica aggiornamenti so, antivirus, sw applicativi Si
Disaster recovery No Si
Forensic Analysis (conservazione delle prove informatiche con modalità tecniche idonee a garantirne l'integrità necessaria per un eventuale utilizzo processuale) Si No
Security Compliancy Verification (verifica periodica dell'aderenza alle specifiche.) Si
Privacy (196/2003) Si Non come singolo servizio
Legal Consulting No No
Servizi aggiuntivi
Formazione del personale relativamente alla sicurezza Si
Servizi di consulenza Si
Prova gratuita No No
Consulenza per certificazione ISO17799 No Si No
Consulenza per adempimenti previsti dalla legge sulla Privacy (196/2003) Si No
Eventuali altri servizi Servizi sistemistici, networking Analisi di maturità dei processi di sicurezza secondo lo standard ISO/IEC 21827 (SSE-CMM) Firma digitale, conservazione e archiviazione sostitutiva, Circuiti informativi chiusi,
Costi e Contratto
Outsourcing sicurezza No
Previsto SLA
Tempi di intervento da 1h a 24h 1h a 4h
Penali No No
Modello di prezzi adottato (es. in base al numero di client e server, ecc.) Per i servizi forfettari in base al numero dei client/server.
Per gli altri servizi a consuntivo.
In base ai numeri server, al sistema operativo, alla raggiungibilità delle risorse dall'esterno, alla tipologia e alla criticità degli applicativi.
Prezzo indicativo (start up e canone annuo) per gestione sicurezza in un'azienda ipotetica con:
- File server Interno (so Windows)
- Server estero (so Windows) con Mail server e Web Site
- 10 postazioni client
- VPN per collegare 2 portatili dall'esterno
Da 1430 € Start Up: 1.600 €
Canone menisle: 400 € + Incident Response: Senza Client

Contattaci subito
roberto.ghislandi@webmarketinggarden.it