Le best practice per ingaggiare un consulente di sicurezza o fornitori di IT security in outsourcing
L’aumento esponenziale negli incidenti di sicurezza sta spingendo molte aziende a verificare e irrobustire le proprie difese informatiche. Come parte di questi sforzi, alcuni prevedono di ingaggiare consulenti esterni per eseguire un audit della propria infrastruttura, eseguire dei penetration test o fare attività di altro tipo mirate a individuare eventuali falle – tecnologiche o umane – nella propria organizzazione.
Si tratta senz’altro di attività ammirevoli e che dovrebbero essere considerate favorevolmente da qualsiasi azienda scrupolosa, ma è bene procedere con molta cautela nella selezione e nell’ingaggio di consulenti o aziende di terze parti specializzate nel campo della sicurezza.
A queste strutture si concederà accesso ai propri dati più riservati e a informazioni e infrastrutture che possono essere vitali per il funzionamento dell’azienda.
Spesso i fornitori di sicurezza vengono ingaggiati senza esercitare i normali controlli e le trattative che si applicano a ogni altra transazione di affari
Purtroppo, magari per la fretta di reagire a una vulnerabilità appena scoperta, si tende ad agire senza prendersi il tempo di valutare con attenzione né il soggetto, né la proposta. Paradossalmente, spesso i fornitori di sicurezza vengono ingaggiati senza esercitare le normali attività di controllo e trattativa che si applicano a ogni altra transazione di affari. Il risultato è che spesso si spende molto più di quanto si era pianificato e in qualche caso – paradossalmente – i consulenti di sicurezza finiscono con il creare più rischi per la sicurezza aziendale di quanti ne risolvano.
Ecco alcune best practice da seguire quando si ingaggia un consulente o un fornitore IT per specifici compiti di sicurezza: