The-Risks

I rischi di una soluzione di eProcurement non certificata

 Marco Argilli, Security Director di BravoSolution spiega i vantaggi di una soluzione certificata sulla Gestione dei Servizi IT (ISO20000-1), sulla Sicurezza (ISO27001) e sulla Business Continuity (ISO22301).

Screen Shot 2015-10-26 at 8.06.58 AM

Il software as a service supporta ormai anche processi critici come il Procurement. Ma come garantire sicurezza dei dati, compliance alle normative, continuità operativa del servizio?

L’adozione di servizi applicativi in Cloud  (sia con modello Public che Private) continua a crescere con tassi a due cifre. Le aziende ne colgono i vantaggi: i costi di avviamento sono ridotti, le soluzioni possono essere adottate anche progressivamente, la tecnologia è sempre aggiornata dal provider ed è possibile evolvere facilmente per rispondere alle nuove esigenze del business.

Ma non tutte le soluzioni Cloud sono uguali. Soprattutto quando si parla di processi Business Critical, è necessario valutare con attenzione le caratteristiche del servizio e le garanzie offerte dal provider: continuità del servizio, sicurezza, disponibilità, integrità e riservatezza dei dati sono temi che meritano analisi approfondite prima di prendere una decisione.

Fra i processi di rilevanza strategica per le aziende c’è il Procurement. Le informazioni trattate sono infatti estremamente delicate: fra queste rientrano l’elenco fornitori, i prezzi dei servizi, i dati sull’aggiudicazione di una gara…. Specialista in questo ambito è BravoSolution, multinazionale italiana con oltre 600 clienti e 14 anni di esperienza con varie realtà, alcune delle quali operano in ambiti molto delicati, come Banca D’Italia, il Ministero della difesa in Inghilterra, e l’IRS Internal Revenue Services (l’ente che raccoglie i tributi) in Usa.

Per garantire ai clienti la massima affidabilità, BravoSolution investe sistematicamente in ricerca e sviluppo per  migliorare costantemente la propria offerta tecnologica, anche in termini di compliance con le  certificazioni più  riconosciute a livello mondiale. Si tratta in particolare della ISO 20000-1, standard che riguarda i processi per la progettazione, lo sviluppo e l’erogazione dei servizi, ovvero la “fabbrica del software” e la gestione operativa, che si aggiunge a quella già ottenuta in precedenza, la ISO27001, più focalizzata sulla sicurezza, che garantisce una gestione dei dati nel rispetto dei principi di riservatezza, integrità e disponibilità delle informazioni. A queste si è aggiunta più di recente la ISO 27001, certificazione che riguarda la continuità del servizio erogato.

«L’azione congiunta delle tre certificazioni ISO, in un modello integrato, assicura ai clienti standard di eccellenza per tutto il ciclo di vita della soluzione, da quando viene progettata a quando implementata ed utilizzata, compresa la gestione degli aggiornamenti periodici. Questo approccio protegge i clienti da rischi», spiega Marco Argilli, Client Solutions & Security Director di BravoSolution.

Analizziamo dunque quali sono i rischi  che corre un’azienda se acquista una soluzione non certificata ISO20000-1, ISO27001 e ISO22301.

Partendo dalla ISO 22301: «Il rischio è quello di non avere garanzie di continuità del servizio (business continuity) sia nel caso si verifichi un problema che causa un’interruzione di servizio temporanea, sia in caso di un evento grave, come un incendio o un terremoto che mettono fuori uso il data center», afferma Argilli.

In questo particolare ambito è fondamentale avere un piano per gestire contingenza e ripristino del servizio (Disaster Recovery Plan) e si utilizzano due indicatori chiave: il tempo di recovery (Recovery Time Objective – RTO), ovvero entro quanto tempo dall’incidente viene ripristinato il servizio e il Recovery Point Objective (RPO), ossia il momento fino al quale viene garantito il pieno recupero di dati gestiti dal sistema.

«BravoSolution garantisce al cliente il riavvio del servizio entro 8 ore e il recupero dei dati aggiornati fino ad un’ora prima del disastro», spiega Argilli.

Se la discontinuità di servizio è un rischio  per le aziende di tutti i settori,  il comparto pubblico e regolamentato deve fronteggiarne uno aggiuntivo, che rimanda alla certificazione ISO 20000-1.

«Le stazioni appaltanti soggette al Codice degli Appalti Pubblici, devono rispettare scrupolosamente le normative.  Quando  un ente sceglie  una piattaforma per la gestione degli  acquisti ne valuta senza dubbio la conformità ai regolamenti. Ma questi ultimi, è noto, cambiano continuamente…

Non è detto quindi che la conformità  di oggi varrà anche fra due o tre anni. La certificazione ISO 20000-1 garantisce che sono in atto dei processi specifici per monitorare l’evoluzione delle normative rilevanti (norme vigenti e cogenti) e per valutarne l’impatto sul funzionamento della soluzione erogata ai clienti. Questo è un aspetto fondamentale, tanto nel settore pubblico come per gli operatori che lavorano nel mercato regolamentato».

Tra i vari requisiti che pone la certificazione ISO20000-1, c’è infatti anche quello di predisporre un processo ad hoc per recepire le modifiche normative rilevanti e valutare la conformità della piattaforma nel tempo. Sono procedure specifiche che BravoSolution attua per monitorare le evoluzioni normative nei paesi in cui opera  e recepirle nella progettazione della piattaforma.

Un altro rischio nell’acquistare una soluzione non certificata è che non si ha la certezza della confidenzialità dei dati sensibili che negli acquisti significa prezzi, offerte e valore dei contratti. «Lo standard ISO27001 impone 114 parametri di controllo, per i quali è necessario allestire misure di sicurezza specifiche ai vari livelli. La certificazione prevede un processo di valutazione che prende in considerazione aspetti infrastrutturali, logico-applicativi ed organizzativi. La sicurezza informatica di una soluzione deve essere garantita a tutti i livelli del contesto specifico in cui opera il cliente, ossia attraverso l’attuazione di misure adeguate non solo a livello fisico, ma anche a livello logico e di processo. Molti operatori si limitano a offrire certificazioni per il data center, che rappresenta solo una garanzia per il livello fisico, ossia soltanto uno dei tre tasselli fondamentali lasciando scoperti gli altri due: il livello logico (l’applicazione) e quello organizzativo (i processi e le procedure)», continua Argilli.

Il livello fisico di sicurezza riguarda la protezione del data center che ospita l’applicativo e contempla il servizio di sorveglianza, il controllo accessi, i sistemi antincendio e antifumo, la fornitura di energia elettrica ridondata. Ma ancora più importanti sono le protezioni logiche, del software, come i meccanismi di strong authentication, l’encryption dei dati, la protezione per respingere azioni di hacking, etc. C’è poi un ulteriore livello, quello organizzativo, che riguarda la gestione della piattaforma da parte dei diversi team che si occupano delle attività di progettazione, sviluppo, installazione e manutenzione: viene effettuata una separazione chiara dei compiti e delle responsabilità tra i gruppi di persone impegnate su queste attività che sono governate da processi specifici eseguiti attraverso l’applicazione di procedure formalizzate.

«In assenza di una certificazione ISO27001, tutte queste garanzie decadono, con il rischio di aprire spiacevoli contenziosi che possono portare  anche all’annullamento di una gara d’appalto», puntualizza il manager.

Le certificazioni si confermano dunque un ele­mento differenziante per le tecnologie a supporto di processi business critical in quanto requisito im­prescindibile di cui tener conto nel momento della scelta della soluzione da adottare.