|
GESTIONE DELLA SICUREZZA |
I problemi di sicurezza
vanno affrontati con tre punti fissi di partenza:
>> |
la sicurezza va "annegata
dentro il sistema", quando è "imposta a posteriori"
risulta molto meno efficace |
>> |
la sicurezza è anzitutto
un problema di struttura e gestione della relazione |
>> |
gli strumenti tecnici, che pure
sono necessari, non possono sostituire carenze nella impostazione
della relazione. |
|
|
Nelle relazioni di outsourcing internazionale "gestire
la sicurezza" significa "garantire" due aspetti:
la riservatezza delle informazioni
proprietarie, e la continuità del servizio.
Il processo per arrivare a tali "garanzie" è illustrato
nello standard ISO 17799 "Best practices in information security",
che deriva dalla metodologia universalmente accettata per definire
le polizze di assicurazione. L'idea di fondo è che la "garanzia"
non può essere "assoluta" (la sicurezza totale
non esiste), ma deve essere commensurata al rischio.
I due aspetti citati (riservatezza dei dati e continuità del servizio),
quindi, vanno analizzati in dettaglio nelle loro componenti
di rischio -un processo noto come modellazione dei pericoli. Identificati
i pericoli, si prendono in considerazione le possibili soluzioni
ed i relativi costi. Le soluzioni rientrano in tre casistiche: preventive
(tecnologiche o procedurali), di outsourcing, e assicurative.
La ISO 17799 consente che il raffronto tra pericoli e soluzioni possa
essere fatto tramite una analisi quantitativa (più dettagliata
ma più difficile) oppure tramite una analisi qualitativa
(meno esigente in termini di dati e in pratica più diffusa).
Il risultato della analisi è la lista delle
soluzioni/ accorgimenti (strumenti tecnici, procedure, e contratti
di assicurazione) che più risponde alle esigenze del cliente
nella specifica relazione che si sta definendo.
|
|