A cura di Gastone Nencini, Country Manager Trend Micro Italia
Non c’è niente che mette più paura a un CISO che la tanto temuta “minaccia interna”. Parte della questione risiede nel fatto che gestire effettivamente il rischio in quest’area è complesso e richiede un grande dispendio di tempo, dovuto anche al fatto di dover collaborare con altri reparti, come ad esempio le Risorse Umane. E in ogni caso è molto difficile riuscire a fermare un dipendente con intenti maligni.
Abbiamo parlato di minacce interne e di come combatterle per anni, ma quanti CISO impongono gli stessi controlli per ridurre al minimo il rischio all’interno dei loro fornitori? Sono troppi quelli che ancora fanno affidamento su contratti stipulati dai loro predecessori, o magari non rivisti per mesi o anni, pensando che la “relazione di fiducia” farà andare tutto bene. È essenziale un approccio più rigoroso e sistematico, perché le persone che lavorano per provider esterni non hanno gli stessi legami emozionali o culturali con l’azienda, che potrebbero farli riflettere due volte prima di pensare di impossessarsi di dati sensibili. Un altro rischio è che i cyber criminali possano utilizzare il fornitore come un mezzo per infiltrarsi nell’azienda. Ad esempio, Target è stato hackerato non direttamente ma attraverso un fornitore che aveva un livello di sicurezza inferiore. Gli eventuali attaccanti potrebbero addirittura corrompere i dipendenti del fornitore o farsi assumere come staff.
La responsabilità è di chi sceglie il fornitore
Come eliminare quindi i rischi dai fornitori esterni? Prima di tutto i responsabili IT dovrebbero riunirsi con il procurement e il personale dell’ufficio legale per essere sicuri di scegliere il fornitore adatto. Si raccomanda anche di rivedere qualsiasi tipo di contratto una volta all’anno, a meno che non ci siano cambi maggiori come acquisizioni o fusioni tra i fornitori. Come per i contratti esistenti è importante effettuare una valutazione del rischio in base alle priorità, per esempio definire a quale tipo di dati i fornitori possono accedere, per quale scopo e in quale quantità. Bisogna ovviamente valutare gli elementi di sicurezza, come le tecnologie in dotazione e le policy in atto. Di certo la minaccia interna non potrà mai essere neutralizzata completamente dalla tecnologia, ma i rischi possono essere abbassati. Parallelamente si consiglia di guardare come il fornitore tratta il proprio staff, se c’è una buona remunerazione e cultura di impresa e se si ricorda regolarmente l’importanza della sicurezza dei dati e le conseguenze di manipolare o sottrarre informazioni critiche.
La verità è che la responsabilità è di chi sceglie il fornitore. Nessuno ricorderà il nome di quel provider che ha sottratto i dati dei clienti all’azienda e con il nuovo regolamento generale europeo sulla Data Protection ci sarà ancora più pressione per gestire questo tipo di rischi in maniera efficace. Pena multe molte salate, che potrebbero arrivar fino al 4% del fatturato annuo.
Sarà importante quindi stipulare bene i contratti per ridurre al minimo il rischio di una violazione interna, rendendo chiare soprattutto le conseguenze di possibili falle. Con il nuovo regolamento europeo sarà molto più difficile nascondere le violazioni e passare inosservati, rivedere i rapporti con i propri fornitore deve essere quindi considerato una priorità.