Minacce informatiche e rischi della supply chain
-
- Tweet
- Pin It
- Condividi per email
-
Le aziende sanno che i criminali informatici sono sempre in agguato. Ma oltre ai rischi diretti ai propri sistemi, ci sono quelli legati ai soggetti terzi che operano nella filiera. Più la catena di approvvigionamento è estesa, maggiore è la superficie di attacco. E con la diffusione dello smart working e il moltiplicarsi delle connessioni, il lavoro dei Chief Information Security Officer (CISO), i dirigenti a capo della sicurezza informatica, è diventato quasi impossibile. Le soluzioni sono tante, ma contro la complessità la prima difesa resta l’adozione di misure di sicurezza di base.
Quindici anni fa era facile, per così dire, rilevare un’anomalia nella rete e difendersi dagli attacchi. Il più delle volte i responsabili erano persone. Oggi invece gli attacchi sono perpetrati da reti di computer tramite vari punti di ingresso hardware e software. Nel frattempo, anche la supply chain è cambiata. In passato una PMI si serviva di pochi componenti per realizzare i suoi prodotti, oggi invece si rifornisce da centinaia di aziende sparse in tutto il mondo. Pensiamo agli smartphone, i componenti e l’assemblaggio vengono realizzati all’estero. Perciò l’azienda che li produce deve gioco forza fidarsi dei fornitori, con tutti i rischi che ne derivano.
Gli utenti malintenzionati sono consapevoli di come la supply chain sia l’anello debole e che tanto le aziende quanto gli Stati tendono a sottovalutare i rischi. Così sfruttano queste debolezze per colpire nel segno. Una falla può derivare, ad esempio, dalle backdoor, che vengono utilizzate da alcuni Stati per scopi legali o di intelligence e sono persino integrate in apparecchiature protette.
Valutazione e prevenzione dei rischi: un imperativo per i CISO
Alla luce di tutto ciò, è fondamentale valutare i rischi legati alla catena di approvvigionamento. È qui che entra in gioco la gestione dei rischi, con tutte le sue sfaccettature. Pensiamo alla produzione di computer, cellulari o altri dispositivi elettronici: chi controlla e valuta i terzi coinvolti nella filiera? Chi è in grado di verificare la conformità e l’integrità dei materiali in ciascun passaggio? Possiamo fare solo una cosa, fidarci di ogni soggetto che opera nella catena, con tutti i rischi che questo comporta. Ma oltre a fidarci, dobbiamo anche proteggerci.
Come gestire i rischi legati a terze parti: principi fondamentali
I rischi della supply chain coprono un ampio raggio e interessano diversi reparti, da quello legale per la conformità alle norme anti-corruzione, ai regolamenti di settore e agli standard internazionali (come l’ISO 37001) al reparto approvvigionamenti e acquisti fino alle funzioni trasversali come l’IT e, naturalmente, il CISO. Per ogni livello di implementazione delle misure di gestione dei rischi, così come definiti nel NIST Cybersecurity Framework, come possiamo analizzare i rischi ed evitarne le conseguenze?
1. Valutare la reputazione del singolo fornitore e il rischio correlato al prodotto
È importante separare la reputazione del fornitore dal prodotto stesso. Ad esempio, una startup può avere una scarsa reputazione perché è attiva da poco nel settore, ma il suo prodotto può essere privo di rischi. Si possono svolgere degli audit per valutare la conformità del fornitore ai vari standard e regolamenti (ISO 27001, GDPR, PCI, FCRA, SOX, HIPAA e così via) e dei controlli Type I o II o SOC 2. Si tratta comunque di valutazioni che riguardano l’azienda, non il prodotto. Nel caso di aziende giovani, è importante avere accesso ai controlli sul prodotto. Anche le revisioni indipendenti del codice sorgente e i report sulle vulnerabilità delle applicazioni possono rivelarsi molto utili, perché prendono in esame sia il software che il grado di penetrabilità in situ.
2. Sottoporre il fornitore a un questionario esaustivo e personalizzato
Molte aziende hanno questionari uguali per tutti i fornitori. Ma il loro obiettivo è valutare il prodotto nell’ambiente di destinazione, per questo andrebbero differenziati. In altre parole, il questionario destinato ai provider di servizi cloud dovrebbe essere diverso da quello per le aziende che forniscono software per uso interno. Inoltre è importante accertarsi che le politiche di sicurezza interne siano utili per valutare la posizione di rischio e il prodotto del fornitore. Di conseguenza, il questionario deve essere personalizzato in base al tipo di prodotto e alle funzionalità che offre.
3. Attuare un programma di revisioni e valutazioni periodiche
Quando si ricorre a prodotti e materiali di terzi, non bisogna dare per scontato che saranno sempre adeguati. Un prodotto che non ha dato problemi nell’arco degli ultimi dieci anni va comunque sottoposto a una revisione periodica per evitare di esporsi a nuove vulnerabilità emergenti. È consigliabile valutare la sicurezza dei prodotti di terze parti almeno una volta l’anno per accertarsi che siano sempre pianificati e applicati patch e aggiornamenti. Questa revisione richiede un solido processo di test e implementazione in modo da scartare gli interventi inutili.
4. Gestire i cambiamenti in modo adeguato
La gestione dei cambiamenti è strettamente legata alla catena di approvvigionamento ed è essenziale per affrontare i rischi derivati da terzi. Dalla catena entrano nuovi componenti nell’organizzazione, che devono essere valutati da tutti i soggetti interessati. Se da un lato è necessaria la loro autorizzazione, dall’altro occorre renderli responsabili della valutazione dei nuovi prodotti, componenti o servizi che riguardano il loro ambito di lavoro. Ognuno di loro deve condurre una valutazione dei rischi diversa a seconda dell’offerta ricevuta. Una gestione ottimale dei cambiamenti, unita a una revisione periodica, è essenziale per scegliere i fornitori giusti e ridurre i rischi.
5. Considerare i rischi interni ed esterni
Oltre al prodotto, ci sono molti rischi aleatori che possono influire sulla supply chain, come i fattori umani e geopolitici. Nel primo caso, ad esempio, è difficile affidarsi a un fornitore che cambia spesso dirigenti: dietro a un prodotto di qualità c’è sempre un gruppo dirigenziale stabile. Sul fronte geopolitico, il rischio di uno Stato va monitorato con attenzione. Ad esempio, se un fornitore di software ha sede in un Paese dilaniato dalla guerra, è possibile che la valutazione della sicurezza sia ridotta a causa appunto del conflitto in corso.
Bruno Filippelli, Sales Director Italia, Semperis
Contenuti correlati
-
La nuova era della logisticaL’automazione logistica trasforma le supply chain: robotica, AI e analisi dati migliorano efficienza, resilienza e precisione. Sistemi integrati e infrastrutture permettono decisioni in tempo reale, ottimizzando flussi, costi ed esperienza del cliente Leggi l’articolo
-
Logistica e intralogistica nell’era dell’incertezzaAutomazione, digitalizzazione e integrazione di sistemi stanno ridefinendo le supply chain industriali, che si stanno trasformando per affrontare le complesse sfide del mercato globale Leggi l’articolo
-
Supply Chain 5.0: resilienza, sostenibilità e automazione ibrida come leve di competitivitàLa logistica europea rappresenta uno dei principali abilitatori della competitività industriale e incide in modo significativo sul PIL dell’Unione. Eppure, mai come oggi, il settore si trova a operare in un contesto caratterizzato da crescente complessità: aumento...
-
Agritech e Food&Beverage, pilastri dell’export italiano sotto pressioneL’agroalimentare e le tecnologie agricole (agritech) rappresentano due colonne portanti dell’economia italiana. Il primo continua a registrare risultati record sui mercati internazionali, mentre il secondo si conferma uno dei comparti più competitivi della manifattura nazionale. Secondo le...
-
Facilitare l’automazioneAl crescere della complessità dell’automazione, i costruttori di macchine stanno riconsiderando il loro modo di implementare i sistemi di movimento: una nuova generazione di servotecnologie semplifica la progettazione, migliora la flessibilità e accresce la resilienza delle supply...
-
La nuova fase del Supply Chain Finance in Italia: un mercato potenziale da 565-567 miliardiNel 2025 il mercato potenziale italiano del credito di filiera cresce tra l’1,2% e il 2% raggiungendo un valore tra i 565 e i 567 mld di euro di crediti commerciali, secondo le stime dell’ Osservatorio Supply...
-
Avanzano i lavori del nuovo Centro di Distribuzione di RS Italia a Pozzuolo MartesanaRS Italia ha presentato alla stampa lo stato di avanzamento dei lavori del suo nuovo Centro di Distribuzione ad elevata innovazione di Pozzuolo Martesana (Milano), un investimento strategico destinato a rivoluzionare la supply chain italiana della realtà...
-
Oltre la resilienza: come le aziende elettroniche italiane utilizzano le supply chain come asset strategiciIl crescente dibattito europeo sulla sicurezza delle catene di approvvigionamento e sull’autonomia tecnologica offre un importante contesto per comprendere questo sviluppo. Con iniziative come l’European Chips Act, l’Unione Europea mira a rafforzare la propria capacità produttiva nel...
-
Lamberti sceglie Tesisquare per innovare la supply chainGrazie all’adozione integrata delle soluzioni SRM (Supplier Relationship Management) e TMS (Transport Management System) pienamente connesse all’ambiente SAP, Lamberti SpA, azienda chimica italiana specializzata nello sviluppo, produzione e vendita di specialità chimiche, ha centralizzato l’intero processo di...
-
Riso Scotti ha scelto l’automazione di System LogisticsNelle filiere del food la competitività passa sempre più dalla capacità di garantire continuità: volumi crescenti, dinamiche di mercato più rapide e standard di servizio sempre più elevati richiedono processi logistici solidi, fluidi e affidabili nel tempo....
Scopri le novità scelte per te
-
La nuova era della logistica
L’automazione logistica trasforma le supply chain: robotica, AI e analisi dati migliorano efficienza, resilienza e precisione. Sistemi...
-
Logistica e intralogistica nell’era dell’incertezza
Automazione, digitalizzazione e integrazione di sistemi stanno ridefinendo le supply chain industriali, che si stanno trasformando per...
Notizie Tutti ▶
-
Avvicendamento al CINI Cybersecurity National LabLa Direzione del CINI Cybersecurity National Lab rivolge i migliori auguri di buon lavoro...
-
Innovazione nell’industria ancora una volta al centro: il sunto di SPS Italia 2026Si è chiusa a Parma la quattordicesima edizione di SPS Italia, appuntamento di riferimento...
-
Ricerca di Rockwell Automation: i produttori italiani sono sempre più orientati all’esecuzione e alla crescitaRockwell Automation ha annunciato i risultati relativi all’Italia dell’11ª edizione del suo State of...
Prodotti Tutti ▶
-
XIA, il copilota di TEX per la programmazione di PLC e CNCXIA è l’avanguardia tecnologica nata dalla visione di TEX. Non è un semplice assistente virtuale,...
-
HP celebra dieci anni di innovazione nell’additive manufacturing e presenta la stampante 3D HP MJF 1200In occasione di RAPID + TCT 2026, HP ha presentato diverse novità nel proprio...
-
Portafusibili certificati UL per RiLineX di RittalRittal, specialista in hardware, software e automazione, ha ulteriormente ampliato la sua gamma di...
