L’attuale scenario di mercato globale è caratterizzato da una forte propensione delle aziende e delle pubbliche amministrazioni all’esternalizzazione e all’affidamento di differenti tipologie di servizi a fornitori esterni.
Indice degli argomenti
Privacy dei dati personali ed outsourcing dei servizi
Tale tendenza comporta che anche la conservazione o elaborazione di dati personali venga parzialmente affidata a una o più terze parti. Partendo da tale fotografia, non si può che ribadire l’esigenza dell’azienda a gestire in maniera efficace il processo di scelta del fornitore, non solo a fini di compliance alle principali normative, ma di protezione dei dati stessi che vengono esternalizzati. Si rende quindi necessario limitare i rischi legati all’inefficienza dei processi di business esternalizzati ma anche a quelli di perdita di integrità, disponibilità o riservatezza del patrimonio informativo aziendale.
Inoltre è necessario ricordare come non sempre la scelta del fornitore viene effettuata in accordo con le strutture centrali di business e con quelle preposte alla gestione e al controllo delle informazioni, quali l’IT Security e l’apparato legale aziendale. Possiamo citare a tal proposito una serie di servizi di fornitura che vengono selezionati in maniera autonoma da funzioni aziendali periferiche quali il Marketing, l’Amministrazione o la Contabilità. I principi di centralizzazione del controllo e di integrazione delle strutture preposte al controllo dei dati, al processo di selezione del fornitore diviene quindi un elemento pregnante del processo di selezione e gestione stessa.
Come strutturare la gestione dei fornitori garantendo la privacy dei dati sensibili
Per queste ragioni diventa indispensabile strutturare un processo di gestione dei fornitori centralizzato che tenga conto dei rischi dei rischi legati alla sicurezza delle informazioni in ottica di protezione del business aziendale, di compliance ai requisiti cogenti e delle best practice di cyber security.
Al fine di raggiungere tale obiettivo diviene necessaria l’adozione di un sistema interdisciplinare di policy e procedure, univoco e formalizzato, che ne garantisca la corretta gestione.
In particolar modo la policy aziendale inerente al controllo e gestione dei fornitori dovrebbe tenere conto delle esigenze dettate dal business a livello di performance del servizio richiesto, dell’adesione dei servizi esternalizzati alle policy interne e alle normative vigenti e dei relativi rischi correlati ma anche, e in particolare, dei rischi strettamente legati alle informazioni che vengono date in gestione al fornitore.
I principi di carattere generali enunciati dalla policy devono quindi venire declinati in procedure di livello inferiore che possano fornire delle istruzioni maggiormente operative sul tema. In particolare, dovrebbero essere enunciate le fasi di selezione dei fornitori necessarie e dovrebbe essere valutato il rischio correlato a tale processo di esternalizzazione.
Si rende quindi necessaria l’adozione di strumenti operativi atti a valutare i rischi legati alla perdita di riservatezza, integrità e disponibilità delle informazioni aziendali attraverso uno strumento di risk assessment.
Tali rischi dovrebbero essere calcolati dai Service Owner, dal Business e dall’IT Security congiuntamente e in cooperazione, al fine di ottenere un rischio residuo accettabile da parte dell’azienda, che tenga conto: delle esigenze di performance del servizio, dei costi della sua esternalizzazione o mantenimento all’interno dell’azienda e delle misure di sicurezza che possono minimizzare i rischi inerenti alla comunicazione/dislocazione di dati aziendali.
L’analisi rischi di un fornitore per la sicurezza dei dati
Per poter quindi considerare tale analisi efficace dovranno essere stabiliti:
- KPI (Key performance indicators) e SLA (Service level Agreement richiesti), su indicazione del Service owner interessato;
- Budget a disposizione, su indicazione del Business Owner interessato;
- Obiettivi di sicurezza e compliance auspicabili, con il coinvolgimento della funzione aziendale di IT Security e del dipartimento Legale
Focalizzando la nostra attenzione sugli obiettivi di sicurezza che vengono stabiliti aziendalmente, sarà necessario richiedere ai potenziali fornitori di soddisfare i livelli di riservatezza, integrità e disponibilità delle informazioni stabiliti dalla politica di sicurezza delle informazioni aziendale.
Come valutare se il fornitore è sicuro per affidargli i dati personali
Per poter valutare realmente l’aderenza del fornitore a tali principi stabiliti, il modello potrebbe tenere conto di due livelli differenti di controllo:
- Autodichiarazione, effettuata dal potenziale fornitore stesso, sui livelli di sicurezza delle informazioni garantiti e sulle misure implementate (anche attraverso la presentazione di eventuali certificazioni in ambito di IT Security)
- Checklist fornita dall’azienda inerente a una serie di obiettivi da raggiungere in ambito IT Security
Inoltre, per i fornitori attuali, potrebbe essere esercitato dall’azienda il diritto di audit a campione casuale o in seguito ad eventuali anomalie emerse durante l’assessment.
Obiettivi per la sicurezza dei dati e la cyber security aziendale
Sorge spontaneo a questo punto domandarsi quali obiettivi risulterebbero accettabili dall’azienda ai fini di garantire la sicurezza delle informazioni esternalizzate. A tal proposito si può scegliere tra un’ampia gamma di framework di controllo e linee guida stabiliti a livello internazionale per la cyber security (es. NIST, ISO/IESC 27001, NIS). Il più fruibile per tale scopo, in quanto organizzato proprio per obiettivi, risulta essere lo standard per la creazione e il mantenimento di un sistema della gestione della sicurezza delle informazioni (SGSI), ossia l’ISO27001. Utilizzando inoltre i controlli enunciati nell’Annex A dello stesso standard, l’azienda si troverebbe una checklist di controlli completa e customizzabile a seconda della tipologia di servizio richiesto.
In conclusione, possiamo affermare che il sistema di selezione dei fornitori più efficace risulterebbe un sistema integrato, unico e condiviso aziendalmente, che tenga conto dei rischi associati all’esternalizzazione del servizio in oggetto. Tale modello permetterebbe inoltre di tenere costantemente monitorato il patrimonio informativo aziendale affidato a terze parti e di garantirne la sicurezza, a tutela del business aziendale e nel rispetto dei principi normativi vigenti.
