Gli svantaggi onesti di un ISMS open source
La fiducia si costruisce nominando gli svantaggi, non nascondendoli.
Gli argomenti contro il nostro stesso modello
Sviluppiamo software di compliance open source, quindi abbiamo un motivo per essere onesti su dove è più debole. Nominare gli svantaggi è il modo in cui si guadagna la fiducia.
Ecco i quattro che contano, e cosa facciamo per ciascuno.
Se ospita autonomamente, si fa carico del peso operativo: aggiornamenti, backup, disponibilità e sicurezza del server. Molte aziende del Mittelstand non dispongono di capacità libera per questo.
La nostra risposta: un'opzione ospitata elimina l'onere operativo, mentre l'hosting autonomo resta disponibile per chi desidera il pieno controllo dei dati.
L'open source raramente include un contratto di supporto enterprise. Il supporto della community varia nei tempi e il piano gratuito è per sua natura basato sul massimo impegno.
La nostra risposta: esistono piani di supporto e hosting a pagamento per i team che hanno bisogno di una risposta garantita, e diciamo chiaramente che il piano gratuito non è un SLA.
Un SaaS statunitense ben finanziato avrà spesso più integrazioni certificate e maggiore rifinitura. Alcune funzionalità che richiedono tempo di sviluppo appartengono al piano premium anziché a quello gratuito.
La nostra risposta: per la maggior parte delle aziende del Mittelstand il collo di bottiglia ai sensi della NIS 2 è la struttura e un audit trail pulito, non il numero di integrazioni. Costruiamo prima di tutto per questa esigenza.
L'open source è uno strumento, non un consulente. Struttura il lavoro e registra le prove, ma le valutazioni discrezionali restano Sue: se un rischio sia accettabile, se una misura sia proporzionata ai sensi dell'articolo 21(1) NIS 2.
Questo vale per ogni strumento, aperto o chiuso. Nessun software esonera dall'obbligo che il § 30 BSIG impone al soggetto.
Domande frequenti
La versione gratuita è davvero gratuita o è una prova?
È gratuita all'uso, non una prova a tempo limitato. Prevediamo di finanziare il progetto tramite formazione, hosting e offerte dei partner anziché tramite licenze per postazione.
Cosa succede se il progetto viene abbandonato?
Poiché il codice è aperto (AGPL), Lei lo conserva e può ospitarlo autonomamente o crearne un fork. Non resta in difficoltà come può accadere quando un fornitore chiuso cessa l'attività.
Ho bisogno di personale IT per gestirlo?
Solo se ospita autonomamente. L'opzione ospitata elimina l'onere operativo; l'hosting autonomo è pensato per i team che desiderano il pieno controllo.
È pronto per l'audit fin da subito?
Produce la struttura e l'audit trail che un revisore si aspetta. Le decisioni sostanziali continua a prenderle e documentarle Lei.
L'open source è più rischioso per i dati di compliance sensibili?
Codice aperto non significa dati aperti. I dati risiedono dove li ospita; con l'hosting nella UE o autonomo possono restare interamente sotto il Suo controllo.