Oggigiorno le aziende sono al corrente del rischio di attacchi informatici. I crimini informatici sono sempre in agguato. Oltre ai rischi diretti ai sistemi proprietari, ci sono quelli legati ai soggetti terzi che operano all'interno della supply chain. Maggiore è l'estensione della catena di approvvigionamento, tanto più grande sarà la superficie di attacco. C'è da aggiungere anche che con la diffusione dello smart working e il moltiplicarsi delle connessioni, il lavoro dei Chief Information Security Officer (CISO), ovvero i dirigenti a capo della sicurezza informatica, è diventato molto complicato. Le soluzioni che offre il mercato sono molteplici e diversificate, ma la prima vera difesa resta l'adozione di misure di sicurezza di base.
Introduzione
Fino ad alcuni anni fa rilevare un'anomalia nella rete e difendersi dagli attacchi informatici era piuttosto semplice. Al giorno d'oggi, invece, gli attacchi sono perpetrati da reti di computer tramite vari punti di ingresso hardware e software. Gli utenti malintenzionati sono consapevoli di come la supply chain sia l'anello debole della sicurezza. La criminalità online è sempre in agguato, e anche la supply chain è nel mirino. In questo articolo tratteremo la tematica delle minacce informatiche e dei rischi della supply chain, sulla base di alcune considerazioni di Bruno Filippelli, Sales Director Italia di Semperis, azienda leader con sede nel New Jersey, basata su un team di ricerca e sviluppo distribuito tra San Francisco e Tel Aviv. Filippelli ha elencato cinque consigli per ogni livello di implementazione delle misure di gestione dei rischi, così come definiti nel NIST Cybersecurity Framework. Semperis ha ricevuto i maggiori riconoscimenti del settore ed è stata recentemente inclusa al quarto posto tra le aziende in più rapida crescita dell'area dei tre stati (New York, New Jersey e Connecticut) e al trentacinquesimo posto assoluto nella classifica Technology Fast 500 2020 di Deloitte. Semperis ospita la pluripremiata conferenza Hybrid Identity Protection (www.hipconf.com) ed è accreditata da Microsoft e riconosciuta da Gartner. Opera a livello internazionale e supporta i team di sicurezza nel proteggere gli ambienti ibridi e multi-cloud, assicurare l'integrità e la disponibilità dei servizi critici per le directory aziendali e ridurre il tempo di ripristino del 90%. Semperis aiuta a proteggersi da cyberattacchi, violazioni di dati ed errori operativi. Le principali organizzazioni a livello globale si affidano a Semperis per rilevare le vulnerabilità delle directory, intercettare i cyberattacchi in corso ed eseguire rapidamente il ripristino delle operazioni in seguito a ransomware e ad altre emergenze che rischiano di compromettere irrimediabilmente l'integrità dei dati.
Gestione dei rischi informatici e buone pratiche per la supply chain
Il nuovo imperativo per i CISO è porre in primo piano la valutazione e la prevenzione dei rischi, in virtù del fatto che è fondamentale valutare i rischi legati alla catena di approvvigionamento. È proprio qui che entra in gioco la gestione dei rischi, con tutte le sue sfaccettature. Se negli anni passati il più delle volte i responsabili degli attacchi informatici erano persone, oggi lo scenario è completamente cambiato. Gli attacchi sono infatti perpetrati da reti di computer tramite vari access point. Nel frattempo, anche la supply chain è profondamente mutata. Pensiamo, ad esempio, alla grande produzione di computer, smartphone o altri dispositivi elettronici e componenti il cui assemblaggio viene realizzato all'estero. In passato una PMI si serviva di pochi componenti per realizzare i suoi prodotti, oggi invece si rifornisce da centinaia di aziende sparse in tutto il mondo. In tale scenario le domande da porsi sono diverse. Innanzitutto, occorre capire chi controlla e valuta i soggetti terzi coinvolti nella filiera, chi è in grado di verificare la conformità e l'integrità dei materiali in ciascun passaggio. A questo punto, non resta che fidarsi di ogni soggetto coinvolto nella catena di approvvigionamento, con tutti i rischi che ciò comporta. Ma non basta fidarsi, è necessario anche proteggersi. I rischi della supply chain coprono un ampio raggio d'azione e interessano diversi reparti, da quello legale per la conformità alle norme anti-corruzione, i regolamenti di settore e gli standard internazionali, il reparto approvvigionamenti e acquisti fino alle funzioni trasversali come l'IT e, ovviamente, il CISO.
In che modo possiamo analizzare i rischi ed evitarne le conseguenze?
In che modo è possibile gestire i rischi legati a terze parti?
Ecco spiegati alcuni principi fondamentali da tenere bene a mente.
- Valutare la reputazione del singolo fornitore e il possibile rischio correlato al prodotto
È fondamentale saper distinguere la reputazione del fornitore dal prodotto stesso. Ad esempio, una startup può avere una scarsa reputazione in quanto attiva da poco tempo nel settore, ma il suo prodotto può essere privo di rischi. Si possono svolgere degli audit interni per valutare la conformità del fornitore ai vari standard e regolamenti. Si tratta in ogni caso di valutazioni che riguardano l'azienda, non il prodotto. Nel caso di aziende giovani, è importante avere accesso ai controlli sul prodotto. Anche le revisioni indipendenti del codice sorgente e i report sulle vulnerabilità delle applicazioni possono rivelarsi molto utili, poiché prendono in esame sia il software che il grado di penetrabilità.
- Sottoporre il fornitore a un questionario esaustivo e personalizzato
Molte aziende forniscono questionari identici per tutti i fornitori. Tuttavia, il loro obiettivo è valutare il prodotto nell'ambiente di destinazione, per questo andrebbero differenziati. In altre parole, il questionario destinato ai provider di servizi cloud dovrebbe essere diverso da quello per le aziende che forniscono software per uso interno. Inoltre, è di rilevante importanza accertarsi che le politiche interne di sicurezza siano utili per valutare la posizione di rischio e il prodotto del fornitore. Di conseguenza, il questionario deve essere personalizzato in base al tipo di prodotto e alle funzionalità che offre.
- Attuare un programma di revisioni e valutazioni periodiche
Quando si ricorre a prodotti e materiali di terzi, non si può essere certi che saranno sempre adeguati. Ad esempio, anche se un prodotto non ha dato problemi nell'arco degli ultimi dieci anni, va comunque sottoposto a una revisione periodica per evitare di esporsi a nuove vulnerabilità emergenti. È consigliabile valutare la sicurezza dei prodotti di terze parti almeno con cadenza annuale al fine di accertarsi che siano sempre pianificati e applicati patch e aggiornamenti. Questa revisione richiede un solido processo di test e implementazione in modo da scartare gli interventi inutili.
- Gestire i cambiamenti in modo adeguato
La gestione dei cambiamenti è strettamente legata alla supply chain ed è essenziale per affrontare i rischi derivati da terzi. Dalla catena entrano nuovi componenti nell'organizzazione, che devono essere attentamente valutati da tutti i soggetti interessati. Se da un lato è necessaria la loro autorizzazione, dall'altro occorre renderli responsabili della valutazione dei nuovi prodotti, componenti o servizi che riguardano il loro ambito di lavoro. Ognuno di loro deve condurre una valutazione dei rischi diversa a seconda dell'offerta ricevuta. Una gestione ottimale dei cambiamenti, unita a una revisione periodica, è essenziale per scegliere i fornitori giusti e ridurre i rischi.
- Considerare i rischi interni ed esterni
Oltre al prodotto, ci sono anche molti rischi aleatori che possono influire sulla supply chain, ad esempio è difficile affidarsi a un fornitore che cambia spesso dirigenti. Dietro a un prodotto di qualità c'è sempre un gruppo dirigenziale stabile.
Riferimenti
Sito web: http://www.semperis.com/
Twitter: https://twitter.com/SemperisTech
LinkedIn: https://www.linkedin.com/company/semperis
Facebook: https://www.facebook.com/SemperisTech
YouTube: https://www.youtube.com/channel/UCycrWXhxOTaUQ0sidlyN9SA