AIEA (Associazione Italiana Information Systems Auditors) e CLUSIT (Associazione Italiana per la Sicurezza Informatica) hanno pubblicato i risultati del gruppo di studio congiunto dedicato all’outsourcing IT  (pdf, 1.4 M).

Obiettivo dello studio

Il documento analizza il ciclo di vita del processo di outsourcing informatico identificandone i principali rischi potenziali.
Lo studio è strutturato in tre capitoli:

• nel primo capitolo si descrive l’outsourcing IT usando il modello PDCA (Plan, Do, Check, Act)
• nel secondo capitolo si affrontano gli aspetti contrattuali, di SLA (Service Level Agreements), e di sicurezza
• nel terzo capitolo si approfondisce il tema dell’IS Auditing dell’outsourcing IT.

Composizione del Gruppo di Ricerca

• Coordinamento: Claudio Bacchieri, CISM AIEA AEM
• Gruppo di Ricerca
• Alessandro Dellepiane, CISA AIEA UniCredit Audit
• Alessandro Ierardi AIEA Consorzio Operativo Gruppo MPS
• Guido Leone, CISA AIEA EDS Italia
• Simona Napoli, CISA, CISM AIEA KPMG
• Andrea Pasquinucci, Phd, CISA, CISSP CLUSIT UCCI.IT
• Mihaela Popa, CISA, CISM AIEA UniCredit Audit
• Massimiliano Rinalducci, CISA AIEA UniCredit Audit
• Daniela Rocca CLUSIT Consulente Legale
• Clarice Rosa, CISA AIEA Banca Intesa

Indice del documento

• Obiettivi e struttura dello studio
• Destinatari
• Introduzione
• 1. Aspetti generali
• 1.1. Cenni sulla storia e sull’evoluzione dell’outsourcing
• 1.2. Ciclo di vita dei contratti di outsourcing
• 1.2.1. Analisi (PLAN)
• 1.2.1.1. Motivazioni e Rischi
• 1.2.1.2. Tipologie di outsourcing dei servizi ICT
• 1.2.1.2.1. L’outsourcing globale
• 1.2.1.2.2. L’outsourcing selettivo
• 1.2.1.2.3. Insourcing (Società posseduta)
• 1.2.1.2.4. Joint Venture (Società partecipata)
• 1.2.1.2.5. Consorzio
• 1.2.1.3. I principali servizi ICT oggetto di outsourcing
• 1.2.1.4. Il Contratto e gli aspetti legali dell’outsourcing
• 1.2.1.4.1. Gli aspetti contrattuali
• 1.2.1.4.2. Una possibile definizione metagiuridica
• 1.2.1.4.3. Caratteristiche dell’outsourcing: gestire la “necessaria incertezza”
• 1.2.2. Implementazione e gestione del contratto (DO)
• 1.2.2.1. L’implementazione del contratto
• 1.2.2.2. La gestione del contratto e gli aspetti organizzativi
• 1.2.3. I controlli e le verifiche del contratto (CHECK)
• 1.2.3.1. Monitoraggio dei livelli di servizio
• 1.2.3.2. Le attività di auditing
• 1.2.4. Evoluzione e revisione del contratto (ACT)
• 1.2.4.1. Come funziona la pianificazione delle modifiche
• 1.2.4.2. Il Piano di innovazione
• 1.2.4.3. Valutazione dell’efficacia del servizio
• 1.3. Fattori critici di successo
• 2. La sicurezza e il contratto
• 2.1. Aspetti legali dei contratti ICT e della sicurezza Informatica
• 2.1.1. La formulazione del contratto
• 2.1.2. “Sicurezza” in quali contratti?
• 2.2. Il contratto di outsourcing di servizi informatici
• 2.2.1. Il contenuto degli articoli
• 2.3. La riservatezza dei dati e delle informazioni
• 2.3.1. Sicurezza e protezione dei “Dati” e delle “Informazioni”
• 2.3.2. La definizione delle specifiche tecniche
• 2.3.3. La clausola sulla riservatezza
• 2.4. La sicurezza nei servizi di outsourcing ICT
• 2.4.1. Una soluzione non realizzabile
• 2.4.2. … e la soluzione contrattuale
• 2.4.3. I servizi e gli SLA
• 2.4.3.1. Le verifiche degli SLA
• 2.4.4. I servizi di outsourcing della sicurezza ICT
• 2.4.5. Aspetti essenziali di un contratto di outsourcing ICT
• 2.5. Il contratto di outsourcing ict e gli SLA
• 3. L’auditing nell’outsourcing IT
• 3.1. L’audit come progetto
• 3.1.1. Analisi preliminare dei macro-rischi
• 3.1.2. Identificazione e sviluppo di un sistema di controllo
• 3.1.3. Esecuzione dei controlli
• 3.1.4. Reporting
• 3.1.5. Follow-up
• 3.2. Il coinvolgimento dell’auditing
• 3.2.1. Aggancio al ciclo di vita e opportuno coinvolgimento dell’auditor
• 3.3. Classificazione dei rischi dell’outsourcing
• 3.3.1. Il contratto e la parte legale
• 3.3.1.1. Le esternalità del contratto di Outsourcing
• 3.3.1.2. Aspetti legati alla gestione delle risorse umane
• 3.3.1.3. Il rischio legale correlato all’audit
• 3.3.1.4. Audit dell’outsourcer da parte di uno “User Auditor”
• 3.3.1.5. Case Study – La Banca come cliente: il contesto di riferimento internazionale e nazionale
•  3.3.2. La sicurezza
• 3.3.3. Gli SLA ed il loro monitoraggio
• 3.3.3.1. I principali rischi sottostanti gli SLA
• 3.3.4. La Governance
• 3.4 l’esecuzione dell’audit
• 3.4.1 L’Audit nell’ottica dell’Outsourcer
• 3.4.1.1 Audit interno dell’Outsourcer
• 3.4.1.2 Audit dell’Outsourcer da parte di un “Service Auditor”
• 3.4.1.3 La struttura di “Gestione della Compliance” dell’Outsourcer
• 3.4.2. Gli strumenti: le checklist di controllo
• 3.4.2.1. Obiettivo di controllo: Il contratto e la parte legale
• 3.4.2.2. Obiettivo di controllo: La sicurezza
• 3.4.2.3. Obiettivo di controllo: Gli SLA ed il loro monitoraggio
• 3.4.2.4. Obiettivo di controllo: La Governance
• Appendice
• A.1 Definizioni
• A.2 Classificazioni
• Bibliografia