Minacce informatiche e rischi della supply chain
-
- Tweet
- Pin It
- Condividi per email
-
Le aziende sanno che i criminali informatici sono sempre in agguato. Ma oltre ai rischi diretti ai propri sistemi, ci sono quelli legati ai soggetti terzi che operano nella filiera. Più la catena di approvvigionamento è estesa, maggiore è la superficie di attacco. E con la diffusione dello smart working e il moltiplicarsi delle connessioni, il lavoro dei Chief Information Security Officer (CISO), i dirigenti a capo della sicurezza informatica, è diventato quasi impossibile. Le soluzioni sono tante, ma contro la complessità la prima difesa resta l’adozione di misure di sicurezza di base.
Quindici anni fa era facile, per così dire, rilevare un’anomalia nella rete e difendersi dagli attacchi. Il più delle volte i responsabili erano persone. Oggi invece gli attacchi sono perpetrati da reti di computer tramite vari punti di ingresso hardware e software. Nel frattempo, anche la supply chain è cambiata. In passato una PMI si serviva di pochi componenti per realizzare i suoi prodotti, oggi invece si rifornisce da centinaia di aziende sparse in tutto il mondo. Pensiamo agli smartphone, i componenti e l’assemblaggio vengono realizzati all’estero. Perciò l’azienda che li produce deve gioco forza fidarsi dei fornitori, con tutti i rischi che ne derivano.
Gli utenti malintenzionati sono consapevoli di come la supply chain sia l’anello debole e che tanto le aziende quanto gli Stati tendono a sottovalutare i rischi. Così sfruttano queste debolezze per colpire nel segno. Una falla può derivare, ad esempio, dalle backdoor, che vengono utilizzate da alcuni Stati per scopi legali o di intelligence e sono persino integrate in apparecchiature protette.
Valutazione e prevenzione dei rischi: un imperativo per i CISO
Alla luce di tutto ciò, è fondamentale valutare i rischi legati alla catena di approvvigionamento. È qui che entra in gioco la gestione dei rischi, con tutte le sue sfaccettature. Pensiamo alla produzione di computer, cellulari o altri dispositivi elettronici: chi controlla e valuta i terzi coinvolti nella filiera? Chi è in grado di verificare la conformità e l’integrità dei materiali in ciascun passaggio? Possiamo fare solo una cosa, fidarci di ogni soggetto che opera nella catena, con tutti i rischi che questo comporta. Ma oltre a fidarci, dobbiamo anche proteggerci.
Come gestire i rischi legati a terze parti: principi fondamentali
I rischi della supply chain coprono un ampio raggio e interessano diversi reparti, da quello legale per la conformità alle norme anti-corruzione, ai regolamenti di settore e agli standard internazionali (come l’ISO 37001) al reparto approvvigionamenti e acquisti fino alle funzioni trasversali come l’IT e, naturalmente, il CISO. Per ogni livello di implementazione delle misure di gestione dei rischi, così come definiti nel NIST Cybersecurity Framework, come possiamo analizzare i rischi ed evitarne le conseguenze?
1. Valutare la reputazione del singolo fornitore e il rischio correlato al prodotto
È importante separare la reputazione del fornitore dal prodotto stesso. Ad esempio, una startup può avere una scarsa reputazione perché è attiva da poco nel settore, ma il suo prodotto può essere privo di rischi. Si possono svolgere degli audit per valutare la conformità del fornitore ai vari standard e regolamenti (ISO 27001, GDPR, PCI, FCRA, SOX, HIPAA e così via) e dei controlli Type I o II o SOC 2. Si tratta comunque di valutazioni che riguardano l’azienda, non il prodotto. Nel caso di aziende giovani, è importante avere accesso ai controlli sul prodotto. Anche le revisioni indipendenti del codice sorgente e i report sulle vulnerabilità delle applicazioni possono rivelarsi molto utili, perché prendono in esame sia il software che il grado di penetrabilità in situ.
2. Sottoporre il fornitore a un questionario esaustivo e personalizzato
Molte aziende hanno questionari uguali per tutti i fornitori. Ma il loro obiettivo è valutare il prodotto nell’ambiente di destinazione, per questo andrebbero differenziati. In altre parole, il questionario destinato ai provider di servizi cloud dovrebbe essere diverso da quello per le aziende che forniscono software per uso interno. Inoltre è importante accertarsi che le politiche di sicurezza interne siano utili per valutare la posizione di rischio e il prodotto del fornitore. Di conseguenza, il questionario deve essere personalizzato in base al tipo di prodotto e alle funzionalità che offre.
3. Attuare un programma di revisioni e valutazioni periodiche
Quando si ricorre a prodotti e materiali di terzi, non bisogna dare per scontato che saranno sempre adeguati. Un prodotto che non ha dato problemi nell’arco degli ultimi dieci anni va comunque sottoposto a una revisione periodica per evitare di esporsi a nuove vulnerabilità emergenti. È consigliabile valutare la sicurezza dei prodotti di terze parti almeno una volta l’anno per accertarsi che siano sempre pianificati e applicati patch e aggiornamenti. Questa revisione richiede un solido processo di test e implementazione in modo da scartare gli interventi inutili.
4. Gestire i cambiamenti in modo adeguato
La gestione dei cambiamenti è strettamente legata alla catena di approvvigionamento ed è essenziale per affrontare i rischi derivati da terzi. Dalla catena entrano nuovi componenti nell’organizzazione, che devono essere valutati da tutti i soggetti interessati. Se da un lato è necessaria la loro autorizzazione, dall’altro occorre renderli responsabili della valutazione dei nuovi prodotti, componenti o servizi che riguardano il loro ambito di lavoro. Ognuno di loro deve condurre una valutazione dei rischi diversa a seconda dell’offerta ricevuta. Una gestione ottimale dei cambiamenti, unita a una revisione periodica, è essenziale per scegliere i fornitori giusti e ridurre i rischi.
5. Considerare i rischi interni ed esterni
Oltre al prodotto, ci sono molti rischi aleatori che possono influire sulla supply chain, come i fattori umani e geopolitici. Nel primo caso, ad esempio, è difficile affidarsi a un fornitore che cambia spesso dirigenti: dietro a un prodotto di qualità c’è sempre un gruppo dirigenziale stabile. Sul fronte geopolitico, il rischio di uno Stato va monitorato con attenzione. Ad esempio, se un fornitore di software ha sede in un Paese dilaniato dalla guerra, è possibile che la valutazione della sicurezza sia ridotta a causa appunto del conflitto in corso.
Bruno Filippelli, Sales Director Italia, Semperis
Contenuti correlati
-
I quattro trend nel futuro della supply chain secondo Remira ItaliaInvestire nella connettività digitale, spingere verso tracciabilità e trasparenza, trovare nuove strategie per rendere le supply chain più resilienti, garantire l’integrità e la coerenza dei dati: queste le quattro tendenze identificate da Remira Italia, azienda specializzata nell’offerta...
-
Accordo fra Bonfiglioli Consulting ed expert.ai per offrire soluzioni in ottica di digitalizzazioneBonfiglioli Consulting, pioniere italiano della filosofia “lean thinking” specializzato da oltre 50 anni nell’ottimizzazione ed efficientamento delle operations, ha siglato un accordo con expert.ai, azienda leader nell’implementazione di soluzioni enterprise di intelligenza artificiale per creare valore di business....
-
Supply chain globale, il percorso in salita delle aziende italiane tra disponibilità, prezzi e normativeNegli ultimi mesi, i costi energetici elevati, le previsioni economiche negative e la difficile situazione del mercato globale hanno catalizzato l’attenzione dell’opinione pubblica. La congestione della supply chain non è stato uno degli argomenti principali. La situazione...
-
Supply chains: still vulnerable: V rapporto McKinsey sulle supply chainLa quinta edizione dell’ indagine annuale McKinsey ‘Global Supply Chain Leader Survey’ è stata condotta tra i dirigenti senior del settore delle forniture di diversi settori e aree geografiche. Il sondaggio, condotto tra aprile e giugno 2024, ha...
-
Rfid: un mercato destinato a valere 40,9 miliardi di dollari entro il 2032Il rapporto “Mercato Rfid – Previsioni globali fino al 2032″ realizzato da MarketsandMarkets prevede che le dimensioni del settore Rfid cresceranno a un Cagr dell’11,1% dal 2023 al 2032. Prevede inoltre che tale mercato varrà 40,9 miliardi di dollari...
-
Il 20% dei produttori utilizza la sicurezza di rete come prima linea di difesa contro gli attacchi informaticiSecondo un recente sondaggio condotto dalla società di ricerche ABI Research sullo stato della tecnologia nel settore manifatturiero, i produttori hanno individuato la sicurezza OT della rete come principale ambito di investimento per quanto concerne la sicurezza...
-
Ransomware, Kaspersky registra +20% di attacchi ai sistemi industrialiKaspersky ha pubblicato il report Q2 2024 sulla cybersecurity degli Industrial Control Systems (ICS), rivelando un aumento del 20% degli attacchi ransomware rispetto al trimestre precedente. Il report sottolinea la crescente minaccia ai settori delle infrastrutture critiche...
-
Security Summit, in 200 a Verona per fare il punto sulla cybersecuritySi è conclusa con successo la 13a edizione di Security Summit Verona, il convegno organizzato da Clusit, Associazione Italiana per la Sicurezza Informatica, con Astrea, agenzia di comunicazione ed eventi specializzata nel settore della sicurezza informatica: oltre 200...
-
La cybersecurity Cisco entra nell’ospedale Santobono Pausilipon di NapoliLa cybersecurity di Cisco entra nell’Azienda Ospedaliera di Rilievo Nazionale Santobono Pausilipon (AORN), unica Azienda Ospedaliera pediatrica del Sud Italia, nonché uno dei principali poli nazionali di riferimento nell’assistenza per infanti, sia nel settore dell’emergenza-urgenza che dell’alta...
-
A Gefran il premio “Procurement e Supply Management Excellence Awards”Gefran è stata insignita con il “Procurement and Supply Management Excellence Awards 2024” dall’Associazione Italiana Acquisti e Supply Management (Adaci), il principale ente nazionale di rappresentanza per chi opera negli approvvigionamenti, supply management, gestione materiali, logistica e...
Scopri le novità scelte per te
-
I quattro trend nel futuro della supply chain secondo Remira Italia
Investire nella connettività digitale, spingere verso tracciabilità e trasparenza, trovare nuove strategie per rendere le supply chain...
-
Accordo fra Bonfiglioli Consulting ed expert.ai per offrire soluzioni in ottica di digitalizzazione
Bonfiglioli Consulting, pioniere italiano della filosofia “lean thinking” specializzato da oltre 50 anni nell’ottimizzazione ed efficientamento delle operations, ...
Notizie Tutti ▶
-
Identità digitale, gli obiettivi PNRR già raggiuntiL’Osservatorio Digital Identity del Politecnico di Milano afferma che l’obiettivo italiano nel PNRR di...
-
Osservatorio Mecspe, un terzo degli imprenditori è pronto a richiedere gli incentivi del Piano Transizione 5.0 entro fine annoQuasi la metà degli imprenditori ha espresso un parere positivo sulle misure contenute nel...
-
I quattro trend nel futuro della supply chain secondo Remira ItaliaInvestire nella connettività digitale, spingere verso tracciabilità e trasparenza, trovare nuove strategie per rendere...
Prodotti Tutti ▶
-
Ingegneria in cloud e assistenti AI nella suite di progettazione B&RAlla fiera SPS di quest’anno a Norimberga, in Germania, B&R ha annunciato un importante...
-
Rockwell Automation dà vita alle operazioni autonome utilizzando Nvidia OmniverseRockwell Automation ha annunciato l’integrazione delle interfacce di programmazione delle applicazioni (API) di Nvidia Omniverse...
-
Unitronic Access, i remote I/O multiprotocollo con tecnologia IO-Link di LappLAPP ha presentato alla fiera SPS 2024 di Norimberga le più recenti innovazioni sviluppate...
