Minacce informatiche e rischi della supply chain
-
- Tweet
- Pin It
- Condividi per email
-
Le aziende sanno che i criminali informatici sono sempre in agguato. Ma oltre ai rischi diretti ai propri sistemi, ci sono quelli legati ai soggetti terzi che operano nella filiera. Più la catena di approvvigionamento è estesa, maggiore è la superficie di attacco. E con la diffusione dello smart working e il moltiplicarsi delle connessioni, il lavoro dei Chief Information Security Officer (CISO), i dirigenti a capo della sicurezza informatica, è diventato quasi impossibile. Le soluzioni sono tante, ma contro la complessità la prima difesa resta l’adozione di misure di sicurezza di base.
Quindici anni fa era facile, per così dire, rilevare un’anomalia nella rete e difendersi dagli attacchi. Il più delle volte i responsabili erano persone. Oggi invece gli attacchi sono perpetrati da reti di computer tramite vari punti di ingresso hardware e software. Nel frattempo, anche la supply chain è cambiata. In passato una PMI si serviva di pochi componenti per realizzare i suoi prodotti, oggi invece si rifornisce da centinaia di aziende sparse in tutto il mondo. Pensiamo agli smartphone, i componenti e l’assemblaggio vengono realizzati all’estero. Perciò l’azienda che li produce deve gioco forza fidarsi dei fornitori, con tutti i rischi che ne derivano.
Gli utenti malintenzionati sono consapevoli di come la supply chain sia l’anello debole e che tanto le aziende quanto gli Stati tendono a sottovalutare i rischi. Così sfruttano queste debolezze per colpire nel segno. Una falla può derivare, ad esempio, dalle backdoor, che vengono utilizzate da alcuni Stati per scopi legali o di intelligence e sono persino integrate in apparecchiature protette.
Valutazione e prevenzione dei rischi: un imperativo per i CISO
Alla luce di tutto ciò, è fondamentale valutare i rischi legati alla catena di approvvigionamento. È qui che entra in gioco la gestione dei rischi, con tutte le sue sfaccettature. Pensiamo alla produzione di computer, cellulari o altri dispositivi elettronici: chi controlla e valuta i terzi coinvolti nella filiera? Chi è in grado di verificare la conformità e l’integrità dei materiali in ciascun passaggio? Possiamo fare solo una cosa, fidarci di ogni soggetto che opera nella catena, con tutti i rischi che questo comporta. Ma oltre a fidarci, dobbiamo anche proteggerci.
Come gestire i rischi legati a terze parti: principi fondamentali
I rischi della supply chain coprono un ampio raggio e interessano diversi reparti, da quello legale per la conformità alle norme anti-corruzione, ai regolamenti di settore e agli standard internazionali (come l’ISO 37001) al reparto approvvigionamenti e acquisti fino alle funzioni trasversali come l’IT e, naturalmente, il CISO. Per ogni livello di implementazione delle misure di gestione dei rischi, così come definiti nel NIST Cybersecurity Framework, come possiamo analizzare i rischi ed evitarne le conseguenze?
1. Valutare la reputazione del singolo fornitore e il rischio correlato al prodotto
È importante separare la reputazione del fornitore dal prodotto stesso. Ad esempio, una startup può avere una scarsa reputazione perché è attiva da poco nel settore, ma il suo prodotto può essere privo di rischi. Si possono svolgere degli audit per valutare la conformità del fornitore ai vari standard e regolamenti (ISO 27001, GDPR, PCI, FCRA, SOX, HIPAA e così via) e dei controlli Type I o II o SOC 2. Si tratta comunque di valutazioni che riguardano l’azienda, non il prodotto. Nel caso di aziende giovani, è importante avere accesso ai controlli sul prodotto. Anche le revisioni indipendenti del codice sorgente e i report sulle vulnerabilità delle applicazioni possono rivelarsi molto utili, perché prendono in esame sia il software che il grado di penetrabilità in situ.
2. Sottoporre il fornitore a un questionario esaustivo e personalizzato
Molte aziende hanno questionari uguali per tutti i fornitori. Ma il loro obiettivo è valutare il prodotto nell’ambiente di destinazione, per questo andrebbero differenziati. In altre parole, il questionario destinato ai provider di servizi cloud dovrebbe essere diverso da quello per le aziende che forniscono software per uso interno. Inoltre è importante accertarsi che le politiche di sicurezza interne siano utili per valutare la posizione di rischio e il prodotto del fornitore. Di conseguenza, il questionario deve essere personalizzato in base al tipo di prodotto e alle funzionalità che offre.
3. Attuare un programma di revisioni e valutazioni periodiche
Quando si ricorre a prodotti e materiali di terzi, non bisogna dare per scontato che saranno sempre adeguati. Un prodotto che non ha dato problemi nell’arco degli ultimi dieci anni va comunque sottoposto a una revisione periodica per evitare di esporsi a nuove vulnerabilità emergenti. È consigliabile valutare la sicurezza dei prodotti di terze parti almeno una volta l’anno per accertarsi che siano sempre pianificati e applicati patch e aggiornamenti. Questa revisione richiede un solido processo di test e implementazione in modo da scartare gli interventi inutili.
4. Gestire i cambiamenti in modo adeguato
La gestione dei cambiamenti è strettamente legata alla catena di approvvigionamento ed è essenziale per affrontare i rischi derivati da terzi. Dalla catena entrano nuovi componenti nell’organizzazione, che devono essere valutati da tutti i soggetti interessati. Se da un lato è necessaria la loro autorizzazione, dall’altro occorre renderli responsabili della valutazione dei nuovi prodotti, componenti o servizi che riguardano il loro ambito di lavoro. Ognuno di loro deve condurre una valutazione dei rischi diversa a seconda dell’offerta ricevuta. Una gestione ottimale dei cambiamenti, unita a una revisione periodica, è essenziale per scegliere i fornitori giusti e ridurre i rischi.
5. Considerare i rischi interni ed esterni
Oltre al prodotto, ci sono molti rischi aleatori che possono influire sulla supply chain, come i fattori umani e geopolitici. Nel primo caso, ad esempio, è difficile affidarsi a un fornitore che cambia spesso dirigenti: dietro a un prodotto di qualità c’è sempre un gruppo dirigenziale stabile. Sul fronte geopolitico, il rischio di uno Stato va monitorato con attenzione. Ad esempio, se un fornitore di software ha sede in un Paese dilaniato dalla guerra, è possibile che la valutazione della sicurezza sia ridotta a causa appunto del conflitto in corso.
Bruno Filippelli, Sales Director Italia, Semperis
Contenuti correlati
-
Le previsioni di Unit 42: Il 2025 sarà l’anno della disruptionSam Rubin di Unit 42 di Palo Alto Networks analizza e condivide le tendenze di cybersecurity del 2025: “Anno delle interruzioni delle attività”, è questo il termine che contraddistinguerà il 2025, che si presenta come un periodo...
-
Soluzioni innovative per la supply chain con le soluzioni AI di Panasonic ConnectLa nuova divisione europea di ricerca e sviluppo di Panasonic Connect collabora con clienti e partner per creare soluzioni innovative per la supply chain. Lavorando a stretto contatto con la controllata di Panasonic, Blue Yonder, la divisione...
-
Gli scenari futuri della supply chainIn Italia, le aziende dimostrano una mancanza di cultura e sensibilità riguardo l’adozione di strumenti digitali avanzati per la pianificazione della supply chain; la maggior parte di esse, infatti, continua a operare manualmente su fogli di calcolo. Questo...
-
DigiKey presenta la terza stagione della serie La trasformazione della supply chainDigiKey, un distributore commerciale noto a livello mondiale, che offre la più vasta selezione di componenti tecnici e prodotti di automazione a magazzino per la spedizione immediata, ha annunciato la terza stagione della serie di video La...
-
Processi logistici ottimizzati per il Gruppo Renault con Reflex WMSReflex (business unit del Gruppo Hardis), fornitore di software per la supply chain, ha sviluppato il sistema di gestione del magazzino Reflex WMS presso il Gruppo Renault. Nel 2018 il Gruppo Renault ha scelto infatti di implementare...
-
Modulo SilwaAISupport: l’AI al servizio della supply chainSilwaAISupport è il nuovo modulo della piattaforma Silwa (la soluzione software integrata che combina in un unico sistema le funzionalità dei sistemi WMS e MES) implementato per fungere da “assistente virtuale” e rivoluzionare il mondo dei processi...
-
I quattro trend nel futuro della supply chain secondo Remira ItaliaInvestire nella connettività digitale, spingere verso tracciabilità e trasparenza, trovare nuove strategie per rendere le supply chain più resilienti, garantire l’integrità e la coerenza dei dati: queste le quattro tendenze identificate da Remira Italia, azienda specializzata nell’offerta...
-
Accordo fra Bonfiglioli Consulting ed expert.ai per offrire soluzioni in ottica di digitalizzazioneBonfiglioli Consulting, pioniere italiano della filosofia “lean thinking” specializzato da oltre 50 anni nell’ottimizzazione ed efficientamento delle operations, ha siglato un accordo con expert.ai, azienda leader nell’implementazione di soluzioni enterprise di intelligenza artificiale per creare valore di business....
-
Supply chain globale, il percorso in salita delle aziende italiane tra disponibilità, prezzi e normativeNegli ultimi mesi, i costi energetici elevati, le previsioni economiche negative e la difficile situazione del mercato globale hanno catalizzato l’attenzione dell’opinione pubblica. La congestione della supply chain non è stato uno degli argomenti principali. La situazione...
-
Supply chains: still vulnerable: V rapporto McKinsey sulle supply chainLa quinta edizione dell’ indagine annuale McKinsey ‘Global Supply Chain Leader Survey’ è stata condotta tra i dirigenti senior del settore delle forniture di diversi settori e aree geografiche. Il sondaggio, condotto tra aprile e giugno 2024, ha...
Scopri le novità scelte per te
-
Le previsioni di Unit 42: Il 2025 sarà l’anno della disruption
Sam Rubin di Unit 42 di Palo Alto Networks analizza e condivide le tendenze di cybersecurity del...
-
Soluzioni innovative per la supply chain con le soluzioni AI di Panasonic Connect
La nuova divisione europea di ricerca e sviluppo di Panasonic Connect collabora con clienti e partner per...
Notizie Tutti ▶
-
Clusit, Anna Vaccarelli eletta presidenteÈ Anna Vaccarelli la nuova presidente di Clusit, Associazione Italiana per la Sicurezza Informatica. I...
-
Inclusione e parità: il percorso di RS Italia verso un futuro più equoPer RS Italia, il 2024 è stato un anno molto importante per rafforzare la...
-
AI generativa per le presse Mecolpress per lo stampaggio a caldoMecolpress, punto di riferimento nel settore della produzione di presse per lo stampaggio a...
Prodotti Tutti ▶
-
Gestione dell’energia nell’armadio di comando con EcoStruxure Panel Server di Schneider ElectricSchneider Electric presenta il suo gateway IoT della prossima generazione: “L’unità Panel Server PAS...
-
Protezione contro le sovratensioni per router in fibra otticaA fronte di un’inarrestabile espansione delle reti in fibra ottica, per le connessioni Internet...
-
Con un ‘clic’ per un cablaggio più sicuroVeloce come schioccare le dita: la nuova tecnologia di connessione Snap IN di Weidmüller...
