I servizi di infrastruttura in outsourcing riducono i rischi (e migliorano la sicurezza)?

Quindi supponendo che il titolo sia la domanda, allora come hai notato la risposta dipende. Se l'azienda non ha le risorse o le competenze per affrontare i rischi associati all'hosting della propria infrastruttura, l'outsourcing è l'approccio a rischio inferiore. Naturalmente, l'outsourcing viene fornito con i propri rischi, che possono essere mitigati solo finanziariamente tramite accordi sul livello di servizio.

A proposito, per quanto riguarda il codice sorgente, ne estrapolo persino quello per il mio codice (il codice cliente è ospitato dal cliente o mantenuto interno). Per me il rischio sembra basso ma come una piccola azienda la ricompensa nel tempo e nello sforzo risparmiati è notevole.

L'outsourcing, sia che si tratti di provider di servizi gestiti, sviluppatori o altre terze parti, dovrebbe essere strutturato in modo tale da permetterti di accedere alle stesse informazioni di reporting e gestione come se avessi tenuto il servizio in casa. Ciò potrebbe includere risultati di test di sicurezza, statistiche sugli allarmi e sugli eventi ecc.

Come accennato, questi requisiti DEVONO essere scritti in contratti di terzi, altrimenti i fornitori hanno pochissime motivazioni per includerli.

Il ISF ha lavorato per sviluppare uno standard sulla sicurezza di terze parti e l'International Standards Organization ha appena accettato la bozza quindi una volta pubblicata questo darà una guida utile.

Come citato da @Graham, l'outsourcing ha i suoi rischi. E i rischi esistenti non sono andati, sono solo ridotti.

Quindi la domanda è: vedi trasferimento del rischio come migliore?
Non ti stai liberando del rischio, lo stai solo spingendo verso qualcun altro da gestire.
Ti va bene? Dipende davvero dai fattori e dai rischi aziendali.

A proposito, vorrei mettere in dubbio che gli outsourcer lo farebbero meglio di inhouse - ma come hai già detto, dipende dalle capacità dell'organizzazione.

Dal punto di vista del business, le startup dovrebbero sempre esternalizzare il più possibile. Anche se sono in grado di gestire meglio la propria infrastruttura, dovrebbero concentrarsi sulla propria attività di avvio e ora sull'infrastruttura di rete. Inoltre, possedere la tua infrastruttura è un grande investimento: i soldi investiti meglio nella tua startup. Il noleggio è molto più economico nel breve termine.

Detto ciò, a lungo termine, le aziende tendono a trasferire più funzioni IT all'interno dell'azienda. Molte società di outsourcing sono "carrozzerie" con un costante turnover di dipendenti, pochi dei quali durano più di un anno. Dopo un pentest o una valutazione di sicurezza, i nostri clienti trovano molti problemi con le aziende in outsourcing che li spingono a portare più roba in casa.