Per definizione, gestire i processi di business di un’azienda cliente presuppone una partnership molto solida. L’elaborazione e la conservazione di dati sensibili e di valore strategico attribuiscono infatti all’outsourcer una responsabilità importante sul business del cliente, cui far fronte con un combinato disposto di processi, competenze, certificazioni, infrastrutture e applicativi sicuri e resilienti. È quindi compito dell’outsourcer offrire garanzie e tutele che risultano sempre più precise e puntuali.
La sicurezza delle informazioni è un tema centrale per i CIO di tutte le aziende che esternalizzano i processi di business. Risulta quindi del tutto naturale che, relativamente alla protezione del dato, agli outsourcer vengano posti requisiti stringenti e sistemici, che riguardano sì i tool adottati, ma anche le persone, i device e il modo stesso di lavorare.
Outsourcing e compliance: verso requisiti sempre più rigorosi
Per approfondire il tema abbiamo interpellato Microdata Group, azienda italiana che, operando come BPO per grandi gruppi bancari e assicurativi, ha sviluppato negli anni una notevole esperienza in merito.
Andrea Crestani, Compliance Manager dell’azienda, sottolinea come negli ultimi anni le aziende abbiano cambiato approccio. “Le richieste relative alle implementazioni di sicurezza sono diventate sempre più specifiche, puntali e dettagliate, evidenziando un incremento di attenzione al tema”. In altri termini, da una situazione in cui l’outsourcer definiva in autonomia le misure da adottare per garantire un certo livello di sicurezza, si è passati all’imposizione (e poi al controllo) della misura stessa. Ciò è dipeso da molteplici fattori, tra cui la sempre maggiore centralità del digitale all’interno dei processi di business e un’evoluzione nel ruolo del CIO, che è sempre più determinante a livello decisionale, e quindi (naturalmente) esigente. Fondamentale, inoltre, è stata la crescita del ruolo dell’outsourcer, che in molti casi oggi è considerato un’estensione, addirittura una business unit dell’azienda.
Logicamente, porre requisiti molto dettagliati è auspicabile per un CIO, poiché rafforza il livello di protezione dei propri dati, a tutela della reputazione aziendale e della conformità normativa. A titolo d’esempio, c’è differenza tra concordare una generica attività di log management e imporre in modo preciso i tracciati che l’azienda partner deve registrare e conservare, oppure tra richiedere un backup puntuale ed esigere la ridondanza dei dati su due data center differenti, distanti chilometri tra loro. Ce lo conferma Gianluca Siboni, ICT Governance Manager di Microdata Group, spiegando che un ragionamento analogo vale anche per le certificazioni: un conto è richiedere genericamente la ISO 27001, un altro è definire in modo specifico gli ambiti della certificazione, tra cui il data center. Solo in quest’ultimo caso, cioè quando le richieste sono particolarmente approfondite, l’azienda cliente può dirsi certa della conformità di tutto il processo, ovvero di ciò che ha effettivamente “acquistato”.
“Rispetto a qualche anno fa – spiega Carolina Cortellini, cofondatrice e CEO di Microdata Group – c’è anche una sensibilità molto diversa rispetto al tema della compliance. Potremmo dire che è meno formale e più sostanziale. I clienti non si limitano ai questionari e alle dichiarazioni, ma vogliono giustamente visitare l’azienda per capire come vengono trattati in concreto i loro dati e i documenti. Microdata Group è sempre stata collaborativa e all’avanguardia in questo, sostenendo audit di clienti da sempre e rispondendo alle richieste di verifica dei CIO in modo puntuale e preciso, perché per noi sono importanti la trasparenza e chiarezza”.
Anche questo aspetto dimostra una forte evoluzione del tema: dai tradizionali questionari ad assessment da remoto, che comunque presuppongono l’assunzione di responsabilità del provider, si fa un passo oltre e oggi si verifica attivamente che i processi e le misure di sicurezza dichiarate corrispondano a quelle effettive.
I 3 pillar per la sicurezza dei dati: processi, persone, infrastruttura
I requisiti posti dalle aziende riguardano tre ambiti: processi, persone e infrastruttura, laddove quest’ultima comprende le misure tecniche di protezione del dato digitale, ma anche tutto ciò che riguarda i documenti cartacei.
Per quanto concerne il primo aspetto, “Il cliente vuole avere contezza di come sono gestiti e presidiati i processi, – spiega Crestani – com’è organizzata l’azienda, come sono distribuite le responsabilità e quali certificazioni sono presenti, tenendo conto che alcune di queste, come ISO 27001, oggi sono un punto di partenza. Ci stiamo infatti concentrando sulle analisi dei processi in cloud e della business continuity, che Microdata mette a disposizione da anni, per garantire la continuità operativa dei nostri clienti”.
Per quanto concerne il pillar delle persone, un requisito fondamentale è la formazione, per la quale le richieste vanno nel dettaglio, comprendendo e indagando gli argomenti, la pianificazione e i materiali. Per questo motivo Microdata ha strutturato da diversi anni un’Academy interna, dedicata esclusivamente alla formazione del personale a 360 gradi, il cui monte ore annuo si aggira intorno alle 14.000 ore di formazione erogate, tra attività interne e con formatori esterni. In più, è pretesa una conoscenza approfondita dell’azienda cliente: dalle sue policy al modello organizzativo, fino al codice etico, proprio perché il provider in molti casi è considerato un ufficio interno di quell’impresa.
Infine, ma certamente non per importanza, le aziende pongono solidi requisiti tecnici di protezione del dato. Gianluca Siboni ci spiega che “dati per scontati l’antivirus e le utenze personali, i temi del momento sono la Multi Factor Authentication, che a breve verrà estesa a tutti gli utenti e non solo a quelli privilegiati, l’encryption e il log management. Tra i requisiti più specifici del mondo finance, che Microdata è già strutturata per potersoddisfare, vi è la Data Loss Prevention, il SIEM e i servizi SOC. Il penetration test, che prima veniva considerato come un’attività aggiuntiva, oggi viene dato abbastanza per scontato, cambiandone così anche la frequenza: in alcuni casi, infatti, quella annuale non è più considerata congrua per un outsourcer.
Temi molto sentiti da tutti coloro che, come Microdata Group, sviluppano software internamente sono la code review e la SSDLC (Secure Software Development Life Cycle), richieste sempre più frequenti all’interno dei questionari, soprattutto in ambito finance. In particolare, questi temi hanno assunto rilevanza dopo il fenomeno Log4J, che ha dimostrato quanto una singola vulnerabilità nel software potesse creare problematiche generalizzate”.
Outsourcer e smart working: come gestirlo a regola d’arte
Tema di grande attualità, lo smart working ha un impatto su chi gestisce dati e processi dei clienti poiché introduce vulnerabilità ad hoc.
È possibile quindi lavorare in smart working nonostante tutti i requisiti e le policy cui è soggetto un outsourcer? La risposta è affermativa e, anche qui, i CIO impongono requisiti puntuali. O quanto meno dovrebbero farlo. “Prima che questa esigenza diventasse impositiva – spiega Crestani – abbiamo impostato lo smart working fornendo appositi strumenti aziendali, imponendo di lavorare solo in luoghi idonei, non in luoghi pubblici e in maniera controllata, assicurando la possibilità di garantire il servizio al cliente e attraverso la definizione di una Policy specifica”.
In particolare, già prima della pandemia era stata predisposta in Microdata Group un’infrastruttura desktop virtuale (VDI), successivamente implementata ed estesa a tutto il personale, così da abilitare la gestione centralizzata di tutte le macchine e, soprattutto, evitare che i dati possano risiedere in locale. In aggiunta, per un ulteriore layer di protezione, l’azienda ha separato l’ambiente di collegamento da quello di produzione e ha adottato VPN (Virtual Private Network) e Multi Factor Authentication.
Alla luce di questo quadro così tecnico e guidato da normative sempre più specifiche, la centralità del dato come fattore determinante per le organizzazioni risulta determinante. È chiaro quindi quanto un CIO abbia la responsabilità di scegliere partner e outsourcer per la propria organizzazione che siano in grado di rispondere a questi puntuali requisiti e che abbia massimo presidio su queste tematiche. Per affiancare aziende come banche e assicurazioni serve esperienza, poiché non ci si improvvisa partner BPO e, questo, tutti i CIO lo sanno perfettamente.
