Come determinare i costi complessivi di gestione reali dell ... - RSA
Come determinare i costi complessivi di gestione reali dell ... - RSA
Come determinare i costi complessivi di gestione reali dell ... - RSA
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
White paper<br />
<strong>Come</strong> <strong>determinare</strong> i <strong>costi</strong><br />
<strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> <strong>reali</strong><br />
<strong>dell</strong>’autenticazione a due fattori
Che cosa si deve considerare per l’implementazione <strong>di</strong> una<br />
soluzione <strong>di</strong> autenticazione a due fattori, oltre al costo del<br />
<strong>di</strong>spositivo utente?<br />
Le organizzazioni richiedono da sempre agli utenti la<br />
verifica <strong>dell</strong>’identità prima <strong>di</strong> garantire loro l’accesso<br />
ad aree o risorse <strong>di</strong> valore. Che si tratti <strong>di</strong> un agente<br />
<strong>di</strong> dogana che controlla i passaporti, del <strong>di</strong>pendente<br />
<strong>di</strong> una banca che richiede al cliente un documento <strong>di</strong><br />
identità per un prelievo o <strong>di</strong> un’azienda che impone<br />
ai <strong>di</strong>pendenti l’utilizzo <strong>di</strong> un badge con fotografia per<br />
l’ingresso nella sede, lo scopo è lo stesso: impe<strong>di</strong>re<br />
l’accesso non autorizzato. Il tipo <strong>di</strong> identificazione<br />
richiesta <strong>di</strong>pende <strong>di</strong> solito dal valore <strong>dell</strong>a<br />
risorsa protetta.<br />
Ai nostri giorni, le organizzazioni richiedono<br />
l’autenticazione <strong>di</strong> <strong>di</strong>pendenti, partner aziendali<br />
e clienti prima <strong>di</strong> concedere l’accesso a dati<br />
e risorse <strong>di</strong> valore <strong>dell</strong>’azienda.<br />
Gli elementi <strong>di</strong> costo<br />
Esistono numerosi elementi che influiscono sui <strong>costi</strong> <strong>reali</strong> <strong>di</strong><br />
una soluzione <strong>di</strong> autenticazione a due fattori. In primo luogo,<br />
vi sono gli elementi riconducibili al costo <strong>di</strong> acquisizione dei<br />
“prodotti”. Tutte le soluzioni <strong>di</strong> autenticazione a due fattori<br />
prevedono due principali componenti del prodotto:<br />
– Dispositivo utente. Il <strong>di</strong>spositivo utente <strong>costi</strong>tuisce<br />
l’elemento <strong>di</strong> appartenenza esclusiva ad un in<strong>di</strong>viduo.<br />
Può trattarsi <strong>di</strong> un token che genera una password casuale<br />
da utilizzare una sola volta, <strong>di</strong> una smart card, <strong>di</strong> un lettore<br />
<strong>di</strong> impronte <strong>di</strong>gitali, <strong>di</strong> un telefono cellulare, <strong>di</strong> un personal<br />
computer o <strong>di</strong> un qualsiasi altro <strong>di</strong>spositivo che può essere<br />
strettamente associato all’utente.<br />
– Server <strong>di</strong> autenticazione. Il server <strong>di</strong> autenticazione<br />
è il componente che riceve le informazioni dall’utente<br />
e determina se questi ha fornito i dati corretti. Impone<br />
inoltre al sistema <strong>di</strong> concedere o negare l’accesso<br />
e fornisce l’interfaccia amministrativa.<br />
1 White paper <strong>RSA</strong><br />
Un’organizzazione può accertare l’identità degli utenti<br />
remoti con varie modalità, ognuna <strong>dell</strong>e quali implica<br />
livelli <strong>di</strong> sicurezza, praticità d’uso e <strong>costi</strong> <strong>di</strong>fferenti.<br />
L’autenticazione a due fattori, che richiede all’utente<br />
remoto <strong>di</strong> fornire sia informazioni che altri elementi<br />
<strong>di</strong> appartenenza esclusiva all’utente, quali token,<br />
smart card o immagine biometrica, è uno dei meto<strong>di</strong><br />
più comunemente utilizzati dalle organizzazioni per<br />
l’accertamento <strong>dell</strong>’identità. Il presente white paper<br />
in<strong>di</strong>ca i fattori dai quali <strong>di</strong>pendono i <strong>costi</strong> <strong>complessivi</strong><br />
<strong>di</strong> <strong>gestione</strong> <strong>di</strong> una soluzione <strong>di</strong> autenticazione a due<br />
fattori e fornisce alle organizzazioni uno schema per<br />
confrontare i <strong>costi</strong> <strong>di</strong> prodotti simili.<br />
In secondo luogo, le organizzazioni devono considerare le spese<br />
<strong>di</strong> manutenzione annuali che in genere includono l’assistenza<br />
telefonica al cliente e gli aggiornamenti software perio<strong>di</strong>ci.<br />
In terzo luogo, devono essere analizzati attentamente i <strong>costi</strong><br />
<strong>di</strong> implementazione, che possono variare notevolmente in<br />
base all’ambiente in cui la soluzione opererà. Ad esempio,<br />
le organizzazioni devono considerare se sono presenti<br />
prodotti aggiuntivi <strong>di</strong> terze parti o se sarà necessario ricorrere<br />
all’integrazione <strong>di</strong> servizi professionali per il completamento<br />
<strong>dell</strong>a soluzione.<br />
Infine, per <strong>determinare</strong> i <strong>costi</strong> <strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> vanno<br />
considerati i <strong>costi</strong> <strong>di</strong> <strong>gestione</strong> or<strong>di</strong>naria. Tra questi vi sono<br />
i <strong>costi</strong> degli amministratori, <strong>dell</strong>’implementazione e le spese<br />
previste per l’assistenza agli utenti.<br />
Sono molti i fattori da considerare per <strong>determinare</strong> i <strong>costi</strong><br />
<strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> <strong>di</strong> una soluzione <strong>di</strong> autenticazione<br />
a due fattori, oltre al mero costo del <strong>di</strong>spositivo utente.
Confronto dei <strong>costi</strong> <strong>di</strong> acquisizione<br />
Dispositivi utente<br />
Nel confrontare i <strong>costi</strong> dei <strong>di</strong>spositivi utente, le organizzazioni<br />
devono pensare anche a tutte le spese associate all’acquisizione<br />
<strong>dell</strong>a soluzione, inclusi i <strong>costi</strong> dei <strong>di</strong>spositivi e <strong>di</strong> eventuali<br />
apparecchiature speciali o software necessari. Se ad esempio<br />
si sta valutando l’adozione <strong>di</strong> una soluzione con smart card,<br />
è necessario considerare anche le spese correlate all’acquisto<br />
e alla fornitura agli utenti <strong>di</strong> lettori <strong>di</strong> smart card e <strong>di</strong> software<br />
client o middleware. Naturalmente, se tutti gli utenti interessati<br />
sono già dotati <strong>di</strong> sistemi con lettori integrati, tali <strong>costi</strong> non<br />
saranno da calcolare e si potranno considerare solo le spese<br />
associate alla fornitura <strong>dell</strong>e smart card e <strong>di</strong> eventuale<br />
software client.<br />
Alcuni <strong>di</strong>spositivi utente hanno una durata variabile, che<br />
influisce sul costo. Ad esempio, una soluzione token, che<br />
assicura una maggiore durata, è inizialmente più <strong>di</strong>spen<strong>di</strong>osa,<br />
ma comporterà un costo annuale inferiore rispetto a una<br />
soluzione <strong>di</strong> durata minore. Per tale motivo è importante<br />
stabilire un limite per i <strong>costi</strong> <strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> (TCO)<br />
e selezionare il prodotto che meglio si adatta al periodo <strong>di</strong><br />
tempo considerato. È opportuno evitare <strong>di</strong> procedere a un<br />
confronto su un periodo <strong>di</strong> cinque anni in caso <strong>di</strong> <strong>di</strong>spositivi<br />
che offrono una durata <strong>di</strong> tre anni, poiché questo potrebbe<br />
causare un riacquisto non necessario dei token nel quarto<br />
anno e <strong>di</strong>storcere in modo significativo i risultati.<br />
Ma per quale motivo un <strong>di</strong>spositivo utente ha una durata<br />
predefinita? La risposta è semplice. Molte organizzazioni<br />
preferiscono <strong>di</strong>stribuire i <strong>di</strong>spositivi <strong>di</strong> autenticazione con<br />
Costo <strong>di</strong> acquisizione relativo<br />
date <strong>di</strong> scadenza <strong>di</strong>verse, in modo da evitare la sostituzione<br />
<strong>di</strong> tutti i <strong>di</strong>spositivi contemporaneamente. Grazie al feedback<br />
dei clienti, <strong>RSA</strong> ha rilevato che è preferibile per le aziende<br />
clienti poter pre<strong>di</strong>re e pianificare la fine del ciclo <strong>di</strong> vita<br />
<strong>di</strong> un <strong>di</strong>spositivo piuttosto che trovarsi con un’unità che<br />
improvvisamente cessa <strong>di</strong> funzionare a causa <strong>dell</strong>a scadenza<br />
<strong>dell</strong>a batteria.<br />
Token 2 anni Token 3 anni Token 4 anni Token 5 anni<br />
Un altro fattore da considerare nella valutazione del costo dei<br />
<strong>di</strong>spositivi è la qualità del <strong>di</strong>spositivo e la garanzia offerta dal<br />
fornitore. I guasti si verificano con più frequenza in caso <strong>di</strong><br />
<strong>di</strong>spositivi <strong>di</strong> scarsa qualità e i <strong>costi</strong> associati alla sostituzione<br />
del <strong>di</strong>spositivo possono vanificare velocemente il risparmio<br />
iniziale. Mancata produttività dei <strong>di</strong>pendenti, <strong>costi</strong> <strong>di</strong> help<br />
desk, spese per la reimplementazione e l’acquisto <strong>di</strong> nuovi<br />
<strong>di</strong>spositivi sono anch’essi elementi che fanno lievitare<br />
notevolmente i <strong>costi</strong> <strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong>.<br />
A volte i fornitori utilizzano il basso costo <strong>di</strong> un <strong>di</strong>spositivo<br />
utente come strumento <strong>di</strong> marketing per ottenere nuovi<br />
contratti. Tuttavia, come già spiegato, il <strong>di</strong>spositivo utente<br />
è solo uno dei componenti <strong>dell</strong>a soluzione complessiva e<br />
non deve <strong>costi</strong>tuire l’unica base su cui fondare una decisione.<br />
In realtà, alcune <strong>dell</strong>e soluzioni che si considerano potrebbero<br />
non richiedere alcun <strong>di</strong>spositivo utente: in tal caso il costo<br />
<strong>dell</strong>’acquisizione <strong>di</strong> tali <strong>di</strong>spositivi sarà pari a zero.<br />
Suggerimento: il prezzo dei <strong>di</strong>spositivi utente viene in genere<br />
stabilito in base al quantitativo <strong>di</strong> prodotti acquistati. Per ottenere<br />
risultati affidabili, tenere conto <strong>dell</strong>o sconto applicato sul volume<br />
<strong>di</strong> acquisto e calcolare <strong>di</strong> conseguenza il costo per il numero <strong>di</strong><br />
<strong>di</strong>spositivi. Una tattica molto comune utilizzata dai fornitori per<br />
cercare <strong>di</strong> battere la concorrenza è confrontare il prezzo dei<br />
<strong>di</strong>spositivi dando maggior risalto al prezzo più scontato,<br />
senza precisare il quantitativo per cui si ottiene tale sconto.<br />
Figura 1. Un esempio<br />
<strong>di</strong> costo <strong>di</strong> acquisizione<br />
relativo confrontato con<br />
i <strong>costi</strong> annuali <strong>di</strong> <strong>di</strong>spositivi<br />
<strong>di</strong> durata variabile<br />
White paper <strong>RSA</strong><br />
Costo <strong>di</strong> acquisizione<br />
Costi annuali<br />
2
Server <strong>di</strong> autenticazione<br />
Il server <strong>di</strong> autenticazione è uno dei componenti <strong>dell</strong>a<br />
soluzione a cui va prestata particolare attenzione, dato<br />
che i prodotti offerti dai vari fornitori presentano <strong>di</strong>fferenze<br />
notevoli dal punto <strong>di</strong> vista <strong>dell</strong>e funzioni. Oltre alle funzioni<br />
base <strong>di</strong> autenticazione utente, il server <strong>di</strong> autenticazione<br />
deve essere dotato <strong>di</strong> una console <strong>di</strong> <strong>gestione</strong> per<br />
l’esecuzione <strong>di</strong> operazioni fondamentali quali aggiunta ed<br />
eliminazione <strong>di</strong> utenti, nonché assegnazione o riassegnazione<br />
dei <strong>di</strong>spositivi. Deve inoltre fornire servizi <strong>di</strong> backup e/o <strong>di</strong><br />
replica, al fine <strong>di</strong> garantire <strong>di</strong>sponibilità continua. Inoltre,<br />
grazie alla funzionalità self-service, gli utenti possono<br />
eseguire autonomamente operazioni <strong>di</strong> base come<br />
reimpostare il PIN o richiedere una password <strong>di</strong> emergenza.<br />
Alcuni fornitori offrono le funzionalità separatamente,<br />
fornendole come moduli aggiuntivi, con un costo a parte.<br />
Ad esempio, non è insolito per un fornitore stabilire il prezzo<br />
del server <strong>di</strong> backup come opzione separata e caricare un<br />
ulteriore 50% sull’importo <strong>di</strong> partenza oppure offrire una<br />
funzionalità self-service a un costo aggiuntivo piuttosto<br />
elevato. In altri casi, il fornitore determina il prezzo dei<br />
server <strong>di</strong> autenticazione in base alle funzioni per cui può<br />
essere utilizzato. Per evitare spiacevoli sorprese, è importante<br />
confrontare le funzionalità e le capacità offerte dal server<br />
<strong>di</strong> autenticazione.<br />
$40.000<br />
35.000<br />
30.000<br />
25.000<br />
20.000<br />
15.000<br />
10.000<br />
5.000<br />
0<br />
Licenza base<br />
Licenza base e backup<br />
Licenza base, backup e funzionalità self-service<br />
Vendor A<br />
3 White paper <strong>RSA</strong><br />
Vendor B<br />
Vendor C<br />
Figura 2. Confronto dei <strong>costi</strong> <strong>di</strong> autenticazione <strong>di</strong> tre noti<br />
fornitori <strong>di</strong> soluzioni <strong>di</strong> autenticazione a due fattori per<br />
licenze base per 250 utenti, con valutazioni relative ai servizi<br />
<strong>di</strong> backup e alle funzionalità self-service per l’utente.<br />
Il server <strong>di</strong> autenticazione<br />
è uno dei componenti <strong>dell</strong>a<br />
soluzione a cui va prestata<br />
particolare attenzione, dato che<br />
i prodotti offerti dai vari fornitori<br />
presentano <strong>di</strong>fferenze notevoli<br />
dal punto <strong>di</strong> vista <strong>dell</strong>e funzioni.<br />
Potrebbero esserci altri <strong>costi</strong> nas<strong>costi</strong> da considerare.<br />
Ad esempio, potrebbe essere necessario l’acquisto <strong>di</strong> ulteriori<br />
componenti, come un server RADIUS e/o un database, oltre<br />
a quello del server <strong>di</strong> autenticazione. Nel calcolo del costo<br />
totale del server <strong>di</strong> autenticazione devono essere considerati<br />
anche questi <strong>costi</strong>.<br />
La Figura 2 mostra che i prezzi <strong>dell</strong>e offerte base <strong>di</strong> tutti e tre<br />
i fornitori sono simili. Tuttavia, il fornitore A offre un prodotto<br />
con maggiori funzionalità, tutte comprese nell’offerta base,<br />
mentre il prezzo dei prodotti dei fornitori B e C lievita<br />
notevolmente una volta incluse nel costo totale<br />
importanti funzionalità.<br />
Suggerimento: il prezzo dei server <strong>di</strong> autenticazione viene in<br />
genere calcolato in base al numero degli utenti e il costo per<br />
utente <strong>di</strong>minuisce con l’aumentare del numero <strong>di</strong> utilizzatori.<br />
<strong>Come</strong> per i <strong>di</strong>spositivi <strong>di</strong> autenticazione, è importante anche<br />
in questo caso conoscere il quantitativo che determina una<br />
riduzione del prezzo, al fine <strong>di</strong> procedere a un confronto<br />
accurato dei <strong>costi</strong> <strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> (TCO).<br />
Manutenzione annuale<br />
I <strong>costi</strong> <strong>di</strong> manutenzione annuale vengono in genere calcolati<br />
come una percentuale del prezzo del server <strong>di</strong> autenticazione<br />
e variano a seconda del fornitore. La Figura 3 mostra che per<br />
i <strong>costi</strong> <strong>di</strong> manutenzione annuale il fornitore A addebita il 21%,<br />
il fornitore B il 20% e il fornitore C il 25%. Considerando le<br />
<strong>di</strong>fferenze <strong>di</strong> prezzo originarie dei server, il costo annuale<br />
del servizio offerto dal fornitore A è notevolmente inferiore.<br />
Si tratta <strong>di</strong> un aspetto estremamente importante, dato che<br />
il costo <strong>dell</strong>a sola manutenzione è pari o superiore al costo<br />
originario del software in un periodo <strong>di</strong> quattro o cinque anni<br />
e rappresenta quin<strong>di</strong> un elemento non trascurabile dei <strong>costi</strong><br />
<strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> (TCO).
Suggerimento: nel confrontare le offerte <strong>di</strong> manutenzione,<br />
considerare sempre le ore <strong>di</strong> assistenza tecnica, i servizi on-line<br />
e le con<strong>di</strong>zioni previste per le nuove versioni del software.<br />
Alcuni fornitori offrono un contratto <strong>di</strong> manutenzione che<br />
include la fornitura gratuita al cliente <strong>di</strong> tutte le nuove versioni<br />
del software, mentre altri richiedono il pagamento <strong>di</strong> una quota<br />
a volte elevata per ogni versione con mo<strong>di</strong>fiche sostanziali<br />
rispetto alle release precedenti.<br />
Implementazione<br />
Il costo <strong>di</strong> implementazione <strong>di</strong> un servizio <strong>di</strong> autenticazione<br />
può variare notevolmente da un fornitore all’altro e rientra<br />
in genere in due categorie principali: <strong>di</strong>stribuzione agli utenti<br />
e integrazione del sistema.<br />
La <strong>di</strong>stribuzione include il costo <strong>di</strong> assegnazione e consegna<br />
agli utenti dei <strong>di</strong>spositivi, nonché la formazione degli utenti<br />
stessi. I <strong>costi</strong> <strong>di</strong> <strong>di</strong>stribuzione dovrebbero risultare simili<br />
quando si confrontano più soluzioni e <strong>di</strong>fferire soltanto se le<br />
soluzioni richiedono interventi molto <strong>di</strong>versi dal punto <strong>di</strong> vista<br />
sostanziale. Ad esempio, se i sistemi per gli utenti devono<br />
essere aggiornati con lettori <strong>di</strong> schede, vanno previste spese<br />
per l’assistenza tecnica. Anche i <strong>costi</strong> <strong>di</strong> formazione per gli<br />
utenti dovrebbero risultare simili. Alcuni fornitori, tuttavia,<br />
offrono strumenti e risorse per la formazione on-line che<br />
contribuiscono a farli <strong>di</strong>minuire.<br />
$80.000<br />
70.000<br />
60.000<br />
50.000<br />
40.000<br />
30.000<br />
20.000<br />
10.000<br />
0<br />
Licenza base<br />
Licenza base e backup<br />
Licenza base, backup e funzionalità self-service<br />
Vendor A<br />
Vendor B<br />
Vendor C<br />
Suggerimento: per posizionarsi in modo più vantaggioso,<br />
alcuni fornitori possono fornire confronti dei <strong>costi</strong> <strong>complessivi</strong><br />
<strong>di</strong> <strong>gestione</strong> (TCO) su un periodo <strong>di</strong> cinque anni e ripetere<br />
l’in<strong>di</strong>cazione dei <strong>costi</strong> <strong>di</strong> acquisto e <strong>di</strong>stribuzione dei <strong>di</strong>spositivi<br />
nel quarto anno per i concorrenti. Si tratta <strong>di</strong> dati ridondanti e<br />
superflui, dato che un <strong>di</strong>spositivo con un ciclo <strong>di</strong> vita <strong>di</strong> cinque<br />
anni non deve essere riacquistato né ri<strong>di</strong>stribuito durante il<br />
periodo <strong>di</strong> valutazione dei <strong>costi</strong> <strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> (TCO).<br />
I <strong>costi</strong> <strong>di</strong> integrazione del sistema sono i <strong>costi</strong> associati alle<br />
attività <strong>di</strong> preparazione che consentono alla soluzione <strong>di</strong><br />
funzionare nell’ambiente in uso. Alcune soluzioni possono<br />
richiedere interventi <strong>di</strong> personalizzazione, mentre altre sono<br />
preconfigurate per l’utilizzo. Un contratto per la fornitura<br />
<strong>di</strong> servizi professionali ha un costo compreso in genere tra<br />
i 2000 e i 2500 dollari al giorno. La personalizzazione può<br />
includere mo<strong>di</strong>fiche a uno schema <strong>di</strong> database o lo sviluppo<br />
<strong>di</strong> agenti per la protezione <strong>di</strong> specifiche risorse.<br />
È importante valutare la compatibilità <strong>dell</strong>a soluzione con<br />
altri prodotti <strong>di</strong> terze parti e/o l’entità <strong>dell</strong>’intervento richiesto<br />
ai servizi professionali per rendere la soluzione funzionante.<br />
Un fornitore che offre certificazioni e documentazione relativa<br />
all’interoperabilità <strong>dell</strong>e proprie soluzioni con i prodotti <strong>di</strong><br />
terze parti già in uso presso l’azienda cliente riduce o elimina<br />
la necessità <strong>di</strong> avvalersi <strong>di</strong> servizi professionali aggiuntivi.<br />
Per il calcolo dei <strong>costi</strong> <strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> (TCO) è molto<br />
importante potersi basare su un preventivo dei servizi<br />
professionali necessari stilato dai <strong>di</strong>versi fornitori che si<br />
stanno valutando.<br />
Figura 3. Confronto del costo complessivo <strong>di</strong> <strong>di</strong>versi<br />
server <strong>di</strong> autenticazione in un periodo <strong>di</strong> cinque anni,<br />
con valutazione <strong>dell</strong>e spese <strong>di</strong> manutenzione.<br />
White paper <strong>RSA</strong><br />
4
Manutenzione or<strong>di</strong>naria<br />
Esistono <strong>costi</strong> per la <strong>gestione</strong> quoti<strong>di</strong>ana associati al<br />
funzionamento <strong>di</strong> ciascun server <strong>di</strong> autenticazione. Quasi<br />
sempre viene designato un amministratore per la <strong>gestione</strong><br />
<strong>dell</strong>e operazioni <strong>di</strong> assegnazione <strong>di</strong> utenti e <strong>di</strong>spositivi<br />
e per l’assistenza agli utenti in caso <strong>di</strong> problemi quali<br />
PIN <strong>di</strong>menticati, <strong>di</strong>fficoltà legate ai <strong>di</strong>spositivi o alla<br />
sincronizzazione dei server. In generale, alcune attività <strong>di</strong><br />
manutenzione or<strong>di</strong>naria possono essere ridotte al minimo<br />
fornendo agli utenti funzionalità self-service. Se una soluzione<br />
non include funzionalità self-service, sarà necessario calcolare<br />
<strong>costi</strong> amministrativi aggiuntivi, poiché il personale IT dovrà<br />
occuparsi <strong>di</strong> problemi che potrebbero invece essere gestiti<br />
senza alcun intervento.<br />
Un’altra spesa <strong>di</strong> <strong>gestione</strong> da considerare riguarda la necessità<br />
estemporanea <strong>di</strong> sostituire un <strong>di</strong>spositivo <strong>di</strong> autenticazione<br />
perso. È ragionevole supporre che la percentuale <strong>di</strong> per<strong>di</strong>te<br />
sia simile per tutte le soluzioni <strong>di</strong> autenticazione basate su<br />
<strong>di</strong>spositivi utente ed è necessario calcolare il costo <strong>dell</strong>a<br />
sostituzione e <strong>dell</strong>a reimplementazione <strong>dell</strong>e suddette unità.<br />
Tale costo include sia il prezzo del <strong>di</strong>spositivo che le spese<br />
<strong>di</strong> <strong>di</strong>stribuzione.<br />
Per quanto riguarda i <strong>di</strong>spositivi danneggiati, è necessario<br />
prestare attenzione alla qualità e alla garanzia offerte da<br />
ciascun fornitore. I prodotti che si guastano <strong>di</strong> frequente<br />
costeranno alla fine molto <strong>di</strong> più. Alcuni fornitori offrono<br />
garanzia illimitata, mentre altri addebitano il costo <strong>di</strong><br />
eventuali servizi estesi.<br />
5 White paper <strong>RSA</strong><br />
Le soluzioni che non si basano su <strong>di</strong>spositivi utente <strong>di</strong><br />
autenticazione spesso comportano spese per le transazioni<br />
che devono essere calcolate nei <strong>costi</strong> <strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong>.<br />
Ad esempio, nel caso <strong>di</strong> una soluzione che fornisce una<br />
password monouso per il telefono cellulare <strong>di</strong> un utente,<br />
si deve considerare anche il costo del servizio <strong>di</strong> invio del<br />
messaggio. Ciò richiede una stima sia del numero <strong>di</strong> transazioni<br />
che del costo del servizio <strong>di</strong> messaggistica per transazione.<br />
Suggerimento: richiedere al fornitore le metriche dei test e le<br />
percentuali <strong>di</strong> guasto dei <strong>di</strong>spositivi. I <strong>di</strong>spositivi <strong>di</strong> elevata<br />
qualità garantiscono una maggiore sod<strong>di</strong>sfazione <strong>dell</strong>’utente<br />
e riducono i <strong>costi</strong> <strong>di</strong> <strong>gestione</strong> e <strong>di</strong> <strong>di</strong>stribuzione.<br />
Esempio <strong>di</strong> <strong>costi</strong> <strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> (TCO)<br />
La Figura 4 mostra un esempio <strong>di</strong> confronto dei <strong>costi</strong><br />
<strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> (TCO) per 250 utenti in un periodo<br />
<strong>di</strong> cinque anni, considerando i fornitori A, B e C (fornitori<br />
<strong>di</strong> sistemi <strong>di</strong> autenticazione a due fattori tra<strong>di</strong>zionali). In<br />
questo esempio, vengono analizzati tutti i <strong>costi</strong> descritti in<br />
precedenza, presupponendo quanto <strong>di</strong> seguito in<strong>di</strong>cato:<br />
– Un amministratore deve essere in grado <strong>di</strong> gestire<br />
un’installazione <strong>di</strong> 1.000 utenti, considerando che il<br />
sistema è dotato <strong>di</strong> funzionalità self-service per gli utenti<br />
che limita le chiamate all’help desk. Per lo scopo <strong>di</strong> questo<br />
esercizio, viene calcolato un quarto del costo annuo <strong>di</strong> un<br />
amministratore a tempo pieno, pari a 60.000 dollari.<br />
– I <strong>di</strong>spositivi persi, rubati o non recuperabili rappresentano<br />
per ogni anno il cinque per cento del totale dei <strong>di</strong>spositivi.<br />
– I <strong>costi</strong> <strong>di</strong> <strong>di</strong>stribuzione sono pari a 20 dollari per <strong>di</strong>spositivo.<br />
– Il contratto standard per la fornitura <strong>di</strong> servizi professionali<br />
ha una durata <strong>di</strong> cinque anni a un costo me<strong>di</strong>o <strong>di</strong><br />
2.000 dollari al giorno.<br />
Se una soluzione non include funzionalità selfservice<br />
sarà necessario calcolare <strong>costi</strong> aggiuntivi,<br />
poiché il personale IT dovrà occuparsi <strong>di</strong> problemi<br />
che, in caso contrario, verrebbero gestiti senza<br />
richiederne l’intervento.
Costi <strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> (TCO) in un periodo <strong>di</strong> cinque anni<br />
Dispositivi <strong>di</strong> autenticazione $ 21.500<br />
Server <strong>di</strong> autenticazione con funzionalità <strong>di</strong> backup e self-service<br />
Manutenzione/assistenza – cinque anni<br />
Costi <strong>di</strong> implementazione<br />
Servizi professionali<br />
Amministratore – cinque anni<br />
Costi <strong>di</strong> sostituzione dei <strong>di</strong>spositivi persi – cinque anni<br />
Reimplementazione <strong>di</strong> <strong>di</strong>spositivi persi<br />
Costi <strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> (TCO) totali in cinque anni<br />
Conclusioni<br />
Sono molti i fattori da considerare per <strong>determinare</strong> i <strong>costi</strong><br />
<strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> <strong>di</strong> una soluzione <strong>di</strong> autenticazione<br />
a due fattori, oltre al mero costo del <strong>di</strong>spositivo utente. Alcuni<br />
fornitori cercano <strong>di</strong> promuoversi sul mercato come alternativa<br />
economica, proponendo a prezzo concorrenziale il solo costo<br />
del <strong>di</strong>spositivo. Esistono tuttavia altri <strong>costi</strong>, come quelli legati<br />
ad hardware e software aggiuntivo, manutenzione or<strong>di</strong>naria,<br />
servizi professionali, nonché spese amministrative <strong>di</strong> varia<br />
natura, che devono essere considerati per <strong>determinare</strong> i <strong>costi</strong><br />
<strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> <strong>reali</strong> <strong>di</strong> una soluzione <strong>di</strong> autenticazione<br />
a due fattori.<br />
Fornitore A Fornitore B Fornitore C<br />
$ 16.500<br />
$ 5.287 $ 1.250<br />
$ 21.500 $ 39.500<br />
$ 17.325 $ 26.875 $ 39.500<br />
$ 5.000 $ 5.000 $ 5.000<br />
$ 0 $ 10.000 $ 10.000<br />
$ 75.000 $ 75.000 $ 75.000<br />
$ 5.375 $ 1.321 $ 312<br />
$ 1.250 $ 1.250 $ 1.250<br />
$ 141.950 $ 146.233 $ 171.812<br />
Figura 4. L’esempio mostra che, in un periodo <strong>di</strong> cinque anni, il fornitore A offre<br />
i <strong>costi</strong> <strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> più bassi, nonostante i <strong>di</strong>spositivi utente che<br />
fornisce siano i più costosi in assoluto tra quelli dei tre fornitori presi in esame.<br />
White paper <strong>RSA</strong><br />
6
Scheda per il computo dei <strong>costi</strong> <strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> (TCO)<br />
<strong>dell</strong>’autenticazione a due fattori<br />
Dispositivi <strong>di</strong> autenticazione 1<br />
Costi <strong>di</strong> garanzia estesa per i <strong>di</strong>spositivi 2<br />
Costi <strong>di</strong> implementazione iniziale 3<br />
Costi <strong>di</strong> sostituzione <strong>di</strong>spositivi persi 4<br />
Dispositivi danneggiati – <strong>costi</strong> <strong>di</strong> sostituzione 5<br />
Server <strong>di</strong> autenticazione<br />
Server <strong>di</strong> backup per l’autenticazione<br />
Modulo self-service utente<br />
Manutenzione server <strong>di</strong> autenticazione 6<br />
Server RADIUS<br />
Manutenzione server RADIUS 7<br />
Server <strong>di</strong> database<br />
Manutenzione database 7<br />
Costi per servizi professionali 8<br />
Amministrazione/<strong>gestione</strong> 9<br />
Costi help desk 10<br />
Totale<br />
Note<br />
1 Costo iniziale per l’acquisto dei <strong>di</strong>spositivi.<br />
2 Spese per l’estensione <strong>dell</strong>a garanzia dei <strong>di</strong>spositivi per tutto il periodo preso in analisi.<br />
3 Stima del costo <strong>di</strong> implementazione dei primi <strong>di</strong>spositivi (circa 20 dollari/utente).<br />
4 Costo per la sostituzione e la reimplementazione <strong>di</strong> <strong>di</strong>spositivi persi dall’utente (costo del <strong>di</strong>spositivo più costo <strong>dell</strong>’implementazione).<br />
5 Costo per la sostituzione e la reimplementazione <strong>di</strong> <strong>di</strong>spositivi danneggiati o non funzionanti (<strong>costi</strong> dei <strong>di</strong>spositivi pari a zero se coperti<br />
dalla garanzia del fornitore; i <strong>costi</strong> <strong>di</strong> reimplementazione vengono applicati comunque).<br />
6 Spese <strong>di</strong> manutenzione annue per il server principale, più il server <strong>di</strong> backup, più il modulo self-service per gli utenti, moltiplicato per<br />
il periodo <strong>di</strong> analisi dei <strong>costi</strong> <strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> (TCO).<br />
7 Calcolare la spesa <strong>di</strong> manutenzione annuale per i prodotti <strong>di</strong> terze parti e moltiplicarla per il numero <strong>di</strong> anni per procedere al confronto<br />
con i <strong>costi</strong> <strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> (TCO).<br />
8 Preventivo del fornitore per installazione, integrazione, sviluppo <strong>di</strong> report personalizzati, implementazione e test.<br />
9 Costo annuale stimato per il personale amministrativo necessario moltiplicato per il periodo <strong>di</strong> analisi dei <strong>costi</strong> <strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> (TCO).<br />
10 Costo annuale stimato per il personale <strong>di</strong> help desk necessario moltiplicato per il periodo <strong>di</strong> analisi dei <strong>costi</strong> <strong>complessivi</strong> <strong>di</strong> <strong>gestione</strong> o TCO<br />
(i <strong>costi</strong> saranno più elevati senza la funzionalità self-service per gli utenti).<br />
7 White paper <strong>RSA</strong><br />
<strong>RSA</strong> Fornitore B Fornitore C<br />
incl.<br />
incl.<br />
incl.<br />
incl.<br />
incl.<br />
incl.<br />
incl.<br />
incl.<br />
<strong>RSA</strong> e <strong>RSA</strong> Security sono marchi o marchi registrati <strong>di</strong> <strong>RSA</strong> Security Inc. negli Stati<br />
Uniti e/o in altri paesi. EMC è un marchio registrato <strong>di</strong> EMC Corporation. Tutti gli altri<br />
prodotti o servizi citati nel presente documento sono marchi registrati <strong>di</strong> proprietà<br />
dei rispettivi titolari. © 2010 <strong>RSA</strong> Security Inc. Tutti i <strong>di</strong>ritti riservati.<br />
2FTCO WP 0110