La scelta di un fornitore IT adatto è una tappa fondamentale per le PMI, al fine di garantire la cybersicurezza dell’azienda. Un fornitore competente non si limita a proteggere l’infrastruttura tecnica, ma può anche offrire soluzioni di sicurezza su misura, adeguate alle esigenze specifiche dell’impresa.
Molte PMI esternalizzano una parte importante delle loro attività informatiche e di cybersicurezza a fornitori esterni. Questa decisione può essere sensata dal punto di vista dell’efficienza, ma richiede una selezione accurata e accordi chiari per minimizzare i rischi. Ecco alcune raccomandazioni importanti per collaborare con un fornitore IT:
Definizione chiara delle responsabilità
Anche se affidate la gestione IT a un fornitore, la responsabilità complessiva per la cybersicurezza della vostra azienda resta a vostro carico. Questo significa che dovete assicurarvi che tutte le misure di sicurezza siano correttamente implementate e che la vostra azienda sia comunque responsabile in caso di danni.
Il contratto con il fornitore IT deve definire chiaramente le responsabilità concordate. In particolare, devono essere stabilite in modo preciso le misure tecniche e organizzative di cybersicurezza, come gli aggiornamenti di sicurezza e i protocolli di emergenza.
È importante inoltre definire in che modo viene stabilita la responsabilità in caso di mancato rispetto delle misure di sicurezza concordate, che comporta un incidente o un danno. Regole chiare sulla responsabilità sono fondamentali per essere coperti in caso di emergenza.
Rispetto dei requisiti minimi
Ogni volta che viene introdotto un nuovo sistema o software IT, devono essere effettuati controlli di sicurezza. Questi controlli devono essere eseguiti non solo prima dell’introduzione, ma anche regolarmente durante l’utilizzo, per individuare tempestivamente eventuali vulnerabilità.
Assicuratevi inoltre che il fornitore IT rispetti gli standard di sicurezza pertinenti per il vostro settore o per la vostra azienda. Verificate che i fornitori IT siano in possesso di certificazioni riconosciute in ambito sicurezza, come la norma ISO 27001 per la sicurezza delle informazioni.
Condizioni generali e requisiti contrattuali
Esaminate attentamente le condizioni generali (CG) e tutte le clausole contrattuali del fornitore IT. Queste devono contenere disposizioni chiare sulla sicurezza dei dati, la riservatezza e gli obblighi del segreto professionale.
Assicuratevi che il fornitore IT non si limiti alla manutenzione dei sistemi, ma garantisca anche il rispetto dei requisiti relativi alla protezione dei dati e alla cybersicurezza. Controllate inoltre che gli obblighi di riservatezza siano ben definiti. Per i dati particolarmente sensibili (es. dati sanitari o finanziari), il fornitore IT deve avere accesso solo alle informazioni strettamente necessarie e trattarle in modo assolutamente confidenziale.
Misure di sicurezza per l’archiviazione dei dati nel cloud
Se la vostra azienda utilizza servizi cloud, accertatevi che il fornitore IT rispetti i requisiti di sicurezza relativi all’archiviazione e al trattamento dei dati nel cloud. Esaminate anche le condizioni generali del fornitore cloud e verificate che le misure di sicurezza e le politiche di protezione dei dati siano trasparenti e conformi alle disposizioni legali.
Il fornitore cloud deve poter dimostrare di rispettare gli standard di sicurezza, come l’esecuzione di audit regolari e la crittografia dei dati. È importante includere nel contratto una clausola che stabilisca che solo i collaboratori autorizzati del fornitore cloud possano accedere ai dati. Inoltre, deve essere definita una regola chiara sulla sovranità dei dati: dovete mantenere il pieno controllo dei vostri dati, incluso il diritto di recuperarli o cancellarli in qualsiasi momento.
Monitoraggio e piano di emergenza
Il fornitore IT deve essere in grado di garantire un monitoraggio continuo e di fornirvi rapporti regolari sugli incidenti di sicurezza o sulle vulnerabilità rilevate. Questo vi aiuta a individuare e correggere rapidamente eventuali falle nella sicurezza.
Stabilite chiaramente anche come il fornitore IT debba intervenire in caso di incidente di sicurezza. Un piano di emergenza ben definito e tempi di reazione rapidi sono essenziali per poter agire immediatamente in caso di attacco.
Per maggiori informazioni
Raccomandazione – Collaborare con fornitori esterni di servizi IT
