I rischi della supply chain coprono un ampio raggio e interessano diversi reparti, da quello legale per la conformità alle norme anti-corruzione, ai regolamenti di settore e agli standard internazionali (come l’ISO 37001) al reparto approvvigionamenti e acquisti fino alle funzioni trasversali come l’IT e, naturalmente, il CISO.
Per ogni livello di implementazione delle misure di gestione dei rischi, così come definiti nel NIST Cybersecurity Framework, come possiamo analizzare i rischi ed evitarne le conseguenze?
Lo spiega in questo articolo Bruno Filippelli, Sales Director Italia, Semperis,
di cui riportiamo qui di seguito le riflessioni.
Le aziende sanno che i criminali informatici sono sempre in agguato. Ma oltre ai rischi diretti ai propri sistemi, ci sono quelli legati ai soggetti terzi che operano nella filiera. Più la catena di approvvigionamento è estesa, maggiore è la superficie di attacco. E con la diffusione dello smart working e il moltiplicarsi delle connessioni, il lavoro dei Chief Information Security Officer (CISO), i dirigenti a capo della sicurezza informatica, è diventato quasi impossibile. Le soluzioni sono tante, ma contro la complessità la prima difesa resta l’adozione di misure di sicurezza di base.
Quindici anni fa era facile, per così dire, rilevare un’anomalia nella rete e difendersi dagli attacchi. Il più delle volte i responsabili erano persone. Oggi invece gli attacchi sono perpetrati da reti di computer tramite vari punti di ingresso hardware e software. Nel frattempo, anche la supply chain è cambiata. In passato una PMI si serviva di pochi componenti per realizzare i suoi prodotti, oggi invece si rifornisce da centinaia di aziende sparse in tutto il mondo. Pensiamo agli smartphone, i componenti e l’assemblaggio vengono realizzati all’estero. Perciò l’azienda che li produce deve gioco forza fidarsi dei fornitori, con tutti i rischi che ne derivano.
Gli utenti malintenzionati sono consapevoli di come la supply chain sia l’anello debole e che tanto le aziende quanto gli Stati tendono a sottovalutare i rischi. Così sfruttano queste debolezze per colpire nel segno. Una falla può derivare, ad esempio, dalle backdoor, che vengono utilizzate da alcuni Stati per scopi legali o di intelligence e sono persino integrate in apparecchiature protette.
Valutazione e prevenzione dei rischi: un imperativo per i CISO
Alla luce di tutto ciò, è fondamentale valutare i rischi legati alla catena di approvvigionamento. È qui che entra in gioco la gestione dei rischi, con tutte le sue sfaccettature. Pensiamo alla produzione di computer, cellulari o altri dispositivi elettronici: chi controlla e valuta i terzi coinvolti nella filiera? Chi è in grado di verificare la conformità e l’integrità dei materiali in ciascun passaggio? Possiamo fare solo una cosa, fidarci di ogni soggetto che opera nella catena, con tutti i rischi che questo comporta. Ma oltre a fidarci, dobbiamo anche proteggerci.
Come gestire i rischi legati a terze parti: principi fondamentali
- Valutare la reputazione del singolo fornitore e il rischio correlato al prodotto
È importante separare la reputazione del fornitore dal prodotto stesso. Ad esempio, una startup può avere una scarsa reputazione perché è attiva da poco nel settore, ma il suo prodotto può essere privo di rischi. Si possono svolgere degli audit per valutare la conformità del fornitore ai vari standard e regolamenti (ISO 27001, GDPR, PCI, FCRA, SOX, HIPAA e così via) e dei controlli Type I o II o SOC 2. Si tratta comunque di valutazioni che riguardano l’azienda, non il prodotto. Nel caso di aziende giovani, è importante avere accesso ai controlli sul prodotto. Anche le revisioni indipendenti del codice sorgente e i report sulle vulnerabilità delle applicazioni possono rivelarsi molto utili, perché prendono in esame sia il software che il grado di penetrabilità in situ.
- Sottoporre il fornitore a un questionario esaustivo e personalizzato
Molte aziende hanno questionari uguali per tutti i fornitori. Ma il loro obiettivo è valutare il prodotto nell’ambiente di destinazione, per questo andrebbero differenziati. In altre parole, il questionario destinato ai provider di servizi cloud dovrebbe essere diverso da quello per le aziende che forniscono software per uso interno. Inoltre è importante accertarsi che le politiche di sicurezza interne siano utili per valutare la posizione di rischio e il prodotto del fornitore. Di conseguenza, il questionario deve essere personalizzato in base al tipo di prodotto e alle funzionalità che offre.
- Attuare un programma di revisioni e valutazioni periodiche
Quando si ricorre a prodotti e materiali di terzi, non bisogna dare per scontato che saranno sempre adeguati. Un prodotto che non ha dato problemi nell’arco degli ultimi dieci anni va comunque sottoposto a una revisione periodica per evitare di esporsi a nuove vulnerabilità emergenti. È consigliabile valutare la sicurezza dei prodotti di terze parti almeno una volta l’anno per accertarsi che siano sempre pianificati e applicati patch e aggiornamenti. Questa revisione richiede un solido processo di test e implementazione in modo da scartare gli interventi inutili.
- Gestire i cambiamenti in modo adeguato
La gestione dei cambiamenti è strettamente legata alla catena di approvvigionamento ed è essenziale per affrontare i rischi derivati da terzi. Dalla catena entrano nuovi componenti nell’organizzazione, che devono essere valutati da tutti i soggetti interessati. Se da un lato è necessaria la loro autorizzazione, dall’altro occorre renderli responsabili della valutazione dei nuovi prodotti, componenti o servizi che riguardano il loro ambito di lavoro. Ognuno di loro deve condurre una valutazione dei rischi diversa a seconda dell’offerta ricevuta. Una gestione ottimale dei cambiamenti, unita a una revisione periodica, è essenziale per scegliere i fornitori giusti e ridurre i rischi.
- Considerare i rischi interni ed esterni
Oltre al prodotto, ci sono molti rischi aleatori che possono influire sulla supply chain, come i fattori umani e geopolitici. Nel primo caso, ad esempio, è difficile affidarsi a un fornitore che cambia spesso dirigenti: dietro a un prodotto di qualità c’è sempre un gruppo dirigenziale stabile. Sul fronte geopolitico, il rischio di uno Stato va monitorato con attenzione. Ad esempio, se un fornitore di software ha sede in un Paese dilaniato dalla guerra, è possibile che la valutazione della sicurezza sia ridotta a causa appunto del conflitto in corso.