Sicurezza informatica: scegliere un fornitore affidabile per la tua azienda.

CloudFlare è stato affetto da un grave “data leak”: quali i rischi per le aziende?

Non si parla mai abbastanza di sicurezza informatica aziendale, soprattutto con gli imprenditori. Nelle aziende più piccole ma spesso anche in molte PMI – dove le risorse IT molte volte sono in outsourcing – questo tema viene in qualche modo “celato” all’imprenditore o al top management.
I motivi sono vari, non voglio analizzarli ora, ma il risultato è il medesimo: i livelli di protezione rischiano di essere  inadeguati, figli soprattutto di una mancanza di investimenti mirati. Poi, quando accade l’incidente, non si bada a spese per rimediare. 
Tra i vari aspetti che un imprenditore deve prendere in considerazione, c’è la pretesa che i fornitori scelti dal proprio reparto IT (che sia interno o esterno non fa differenza) siano il più possibile affidabili. Per affidabile intendo:
  • compliance con la legislazione
  • reattivo nel supporto in caso di incidente
  • abbia una infrastruttura con elevati standard di sicurezza e performance
Il recente caso di “data leak” CloudBleed accaduto a CloudFlare, uno dei principali fornitori di Content Delivery Network al mondo – con migliaia di clienti – mi ha fatto riflettere su questo aspetto.
Ma cosa è successo? Secondo quanto dichiarato da CloudFlare, a causa di un bug c’è la possibilità che tutti i siti web che utilizzano alcune delle funzionalità, abbiano subito una perdita di dati. In teoria, anche username e password dei propri utenti. 
In questo articolo, Iubenda spiega nel dettaglio quanto è accaduto.
Due sono gli aspetti interessanti.

Primo, cosa devo fare se un mio fornitore ha un incidente del genere?

La situazione non è banale, anche alla luce della nuova normativa prevista dal GDPR (General Data Protection Regulation) che entrerà definitivamente in vigore il 25 maggio 2018. Ci sono degli adempimenti che già oggi le aziende devono compiere. E dal 2018 le cose potrebbero complicarsi dal punto di vista normativo. Di questo ne parlerò più approfonditamente in post specifici.

Secondo, quando si sceglie un fornitore IT si tiene conto di questi aspetti?

Ovvero: che tipo di supporto avremo nel caso in cui ci sia un incidente presso l’infrastruttura del fornitore? Quali sono i tempi previsti di risoluzione? Quale livello di rapporto abbiamo con i referenti del fornitore?
Giusto per fare un esempio: chi ha scelto CloudFlare invece di Akamai, ha tenuto conto (anche) di queste variabili?
Le implicazioni sono molte: questo è uno dei motivi per cui, quando posso, cerco di spiegare all’imprenditore questi aspetti, coinvolgendolo perlomeno nelle fasi iniziali, altrimenti la possibilità di avere una soluzione della quale non si conosco rischi e opportunità, diventa una certezza.