Suggerimenti per scegliere fornitori di servizi informatici competenti e adeguati alle esigenze della tua azienda.
In teoria, esternalizzare i servizi informatici dovrebbe essere semplice come ricorrere ad altri partner esterni per altri servizi, come la gestione delle risorse umane, la consulenza contabile o legale.
Ma sei davvero certo di comprendere esattamente per cosa stai pagando il tuo fornitore di servizi IT (ITSP)? In che modo puoi valutare se si tratta di un servizio con un buon rapporto qualità – prezzo? E come puoi essere certo che ti garantisca la sicurezza necessaria?
Le statistiche ufficiali mostrano che nel 2022 il 39% delle aziende del Regno Unito ha subito un attacco informatico (nell’83% dei casi si trattava di phishing) – e i dati riguardanti l’Italia non sono migliori. Da questo sta derivando un ricorso maggiore a fornitori esterni (Managed Service Provider, MSP). [1] che supportino nella sicurezza informatica quelle aziende che non hanno un reparto IT dedicato. Si tratta di una scelta che comporta investimenti minori rispetto al creare un dipartimento informatico interno, e anche per questo è oggi l’approccio preferito dal:
- 36% delle microimprese (<10 dipendenti)
- 57% delle piccole imprese (<50 dipendenti)
- 65% delle medie organizzazioni (51-250 dipendenti)
- 72% delle grandi organizzazioni (oltre 250 dipendenti)
Indipendentemente dalle dimensioni e dal settore, la sfida per tutte le aziende è quella di scegliere un fornitore di servizi IT affidabile e adeguato. Come scegliere quello giusto? Come capire se comprende a pieno le esigenze, il profilo di rischio e la direzione strategica della tua azienda? Come essere sicuri che ti assisterà efficacemente in caso di un incidente cyber? Rispetto ad altri fornitori esterni di servizi, nel caso di un ITSP è più complesso accertarsi che garantisca un’efficace gestione del sistema informatico.
Rischi di supply chain
Sia gli ITSP che gli MSP forniscono alle aziende servizi di assistenza informatica. Come per tutte le terze parti che elaborano dati, c’è il rischio che siano attaccate da criminali, che potrebbero riuscire ad accedere anche alle reti aziendali.
Si tratta di un compromesso: un’azienda può avvalersi dell’esperienza in materia di sicurezza di un ITSP, ma per farlo deve concedergli l’accesso ai propri dati.
In ogni caso, dal momento che i fornitori di servizi sono parte della supply chain, un’azienda ha il diritto di fare delle indagini preliminari per valutarne le capacità e l’affidabilità. Solitamente queste valutazioni si basano su appositi questionari, che possono essere utilizzati prima di sottoscrivere un accordo con un fornitore o anche in seguito, per verificare l’adeguatezza del suo lavoro.
Un’indagine condotta nel Regno Unito ha però evidenziato che la maggior parte delle aziende non adotta questo approccio, basando la valutazione più sul prezzo che sulle competenze. Questo modus operandi che non considera sufficientemente il fattore affidabilità espone le aziende al rischio di perdite economiche, vanificando il risparmio iniziale. Perché? Perché commissionando la gestione dei propri servizi IT a un fornitore esterno l’azienda trasferisce solo una parte del rischio, ma rimane comunque responsabile delle conseguenze di malfunzionamenti dei servizi IT o problemi di sicurezza.
Immagina di aspettare una consegna a domicilio che non arriva: presenterai un reclamo all’azienda da cui hai acquistato il prodotto, non al corriere che si occupa della consegna, corretto? Lo stesso vale se parliamo di servizi informatici: la tua azienda rimarrà comunque responsabile delle conseguenze di qualsiasi guasto ai servizi che dovesse verificarsi. Un ulteriore motivo per accertarsi che i fornitori di servizi IT che scegli siano affidabili.
Case studies
Per comprendere meglio quanto detto, riportiamo alcuni esempi reali di ciò che può accadere quando non vengono seguite queste indicazioni:
La società X ha subito una compromissione delle caselle e-mail che avrebbe potuto essere evitata utilizzando l’autenticazione multifattoriale (MFA), ossia la combinazione di una password e un’altra informazione - come un pin o un dato biometrico. Come conseguenza, è stato compromesso il sistema di fatturazione. Il fornitore di servizi informatici aveva suggerito l’MFA come facoltativa e non necessaria per l’azienda: un consiglio che si è rivelato fondamentalmente errato e ha portato a una frode costata all’organizzazione 95.000 sterline
La società Y aveva installato sui propri dispositivi un sistema di sicurezza tra i più sofisticati sul mercato. Tuttavia, il fornitore IT non aveva informato l’azienda che i propri server non disponevano di un software aggiornato. Un cyber criminale ha sfruttato questa vulnerabilità e ha perpetrato un attacco ransomware costato all’organizzazione 1,5 milioni di sterline.
La società Z ha subito un attacco ransomware e ha contattato il proprio fornitore di servizi informatici. Sebbene il fornitore si sia attivato per porre rimedio alla situazione, non ha coinvolto la società Z, che in qualità di responsabile del trattamento dei dati avrebbe dovuto essere ovviamente chiamata a partecipare all’indagine. Quest’assenza di collaborazione e di condivisione delle informazioni rilevanti circa l’attacco ha ostacolato la capacità della società di comprendere i propri obblighi previsti dal GDPR. Ciò ha comportato un costo aggiuntivo significativo per la società, che ha dovuto svolgere in autonomia ulteriori indagini.
Tutti questi problemi si sono verificati perché le aziende non avevano valutato attentamente gli aspetti contrattuali – addirittura, aspetto preoccupante, alcune non avevano nemmeno stipulato un contratto. Si tratta di un documento fondamentale per garantire che gli obblighi di entrambe le parti siano rispettati e che il fornitore assicuri all’azienda quello che è stato effettivamente richiesto. Un buon fornitore sarà pronto a collaborare con la tua azienda per garantire che i rischi siano gestiti in modo efficace e che la tua azienda sia realmente protetta.
Suggerimenti per le imprese
La guida sulla sicurezza della supply chain [3] pubblicata dal National Cyber Security Centre è sicuramente un documento utile, ma in questo articolo abbiamo riassunto le indicazioni più importanti e una check list che puoi utilizzare nello scegliere il tuo fornitore di servizi IT. Un fornitore affidabile sarà sicuramente in grado di rispondere facilmente a queste domande e a tutti i tuoi dubbi. Una comunicazione efficace ti aiuterà inoltre a valutare la trasparenza del fornitore e la qualità dei suoi servizi. Nel caso in cui ciò non avvenga, è un segnale che forse dovresti valutare un fornitore diverso. Un ulteriore consiglio è quello di fare una rivalutazione annuale dei fornitori, dal momento che le esigenze dell’azienda possono cambiare nel tempo.
Questa guida è stata realizzata in collaborazione con Risk Evolves.
[1] https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2022/cyber-security-breaches-survey-2022#overview
[2] https://www.ncsc.gov.uk/guidance/mapping-your-supply-chain
[3] https://www.ncsc.gov.uk/collection/supply-chain-security
Stefano Pompeo
Senior Underwriter
Il tuo contatto
Stefano Pompeo
Senior Underwriter
Il tuo contatto
Stefano Pompeo
Senior Underwriter