Minacce informatiche e rischi della supply chain

Pubblicato il 12 maggio 2022

Le aziende sanno che i criminali informatici sono sempre in agguato. Ma oltre ai rischi diretti ai propri sistemi, ci sono quelli legati ai soggetti terzi che operano nella filiera. Più la catena di approvvigionamento è estesa, maggiore è la superficie di attacco. E con la diffusione dello smart working e il moltiplicarsi delle connessioni, il lavoro dei Chief Information Security Officer (CISO), i dirigenti a capo della sicurezza informatica, è diventato quasi impossibile. Le soluzioni sono tante, ma contro la complessità la prima difesa resta l’adozione di misure di sicurezza di base.

Quindici anni fa era facile, per così dire, rilevare un’anomalia nella rete e difendersi dagli attacchi. Il più delle volte i responsabili erano persone. Oggi invece gli attacchi sono perpetrati da reti di computer tramite vari punti di ingresso hardware e software. Nel frattempo, anche la supply chain è cambiata. In passato una PMI si serviva di pochi componenti per realizzare i suoi prodotti, oggi invece si rifornisce da centinaia di aziende sparse in tutto il mondo. Pensiamo agli smartphone, i componenti e l’assemblaggio vengono realizzati all’estero. Perciò l’azienda che li produce deve gioco forza fidarsi dei fornitori, con tutti i rischi che ne derivano.

Gli utenti malintenzionati sono consapevoli di come la supply chain sia l’anello debole e che tanto le aziende quanto gli Stati tendono a sottovalutare i rischi. Così sfruttano queste debolezze per colpire nel segno. Una falla può derivare, ad esempio, dalle backdoor, che vengono utilizzate da alcuni Stati per scopi legali o di intelligence e sono persino integrate in apparecchiature protette.

Valutazione e prevenzione dei rischi: un imperativo per i CISO

Alla luce di tutto ciò, è fondamentale valutare i rischi legati alla catena di approvvigionamento. È qui che entra in gioco la gestione dei rischi, con tutte le sue sfaccettature. Pensiamo alla produzione di computer, cellulari o altri dispositivi elettronici: chi controlla e valuta i terzi coinvolti nella filiera? Chi è in grado di verificare la conformità e l’integrità dei materiali in ciascun passaggio? Possiamo fare solo una cosa, fidarci di ogni soggetto che opera nella catena, con tutti i rischi che questo comporta. Ma oltre a fidarci, dobbiamo anche proteggerci.

Come gestire i rischi legati a terze parti: principi fondamentali

I rischi della supply chain coprono un ampio raggio e interessano diversi reparti, da quello legale per la conformità alle norme anti-corruzione, ai regolamenti di settore e agli standard internazionali (come l’ISO 37001) al reparto approvvigionamenti e acquisti fino alle funzioni trasversali come l’IT e, naturalmente, il CISO. Per ogni livello di implementazione delle misure di gestione dei rischi, così come definiti nel NIST Cybersecurity Framework, come possiamo analizzare i rischi ed evitarne le conseguenze?

1. Valutare la reputazione del singolo fornitore e il rischio correlato al prodotto

È importante separare la reputazione del fornitore dal prodotto stesso. Ad esempio, una startup può avere una scarsa reputazione perché è attiva da poco nel settore, ma il suo prodotto può essere privo di rischi. Si possono svolgere degli audit per valutare la conformità del fornitore ai vari standard e regolamenti (ISO 27001, GDPR, PCI, FCRA, SOX, HIPAA e così via) e dei controlli Type I o II o SOC 2. Si tratta comunque di valutazioni che riguardano l’azienda, non il prodotto. Nel caso di aziende giovani, è importante avere accesso ai controlli sul prodotto. Anche le revisioni indipendenti del codice sorgente e i report sulle vulnerabilità delle applicazioni possono rivelarsi molto utili, perché prendono in esame sia il software che il grado di penetrabilità in situ.

2. Sottoporre il fornitore a un questionario esaustivo e personalizzato

Molte aziende hanno questionari uguali per tutti i fornitori. Ma il loro obiettivo è valutare il prodotto nell’ambiente di destinazione, per questo andrebbero differenziati. In altre parole, il questionario destinato ai provider di servizi cloud dovrebbe essere diverso da quello per le aziende che forniscono software per uso interno. Inoltre è importante accertarsi che le politiche di sicurezza interne siano utili per valutare la posizione di rischio e il prodotto del fornitore. Di conseguenza, il questionario deve essere personalizzato in base al tipo di prodotto e alle funzionalità che offre.

3. Attuare un programma di revisioni e valutazioni periodiche

Quando si ricorre a prodotti e materiali di terzi, non bisogna dare per scontato che saranno sempre adeguati. Un prodotto che non ha dato problemi nell’arco degli ultimi dieci anni va comunque sottoposto a una revisione periodica per evitare di esporsi a nuove vulnerabilità emergenti. È consigliabile valutare la sicurezza dei prodotti di terze parti almeno una volta l’anno per accertarsi che siano sempre pianificati e applicati patch e aggiornamenti. Questa revisione richiede un solido processo di test e implementazione in modo da scartare gli interventi inutili.

4. Gestire i cambiamenti in modo adeguato

La gestione dei cambiamenti è strettamente legata alla catena di approvvigionamento ed è essenziale per affrontare i rischi derivati da terzi. Dalla catena entrano nuovi componenti nell’organizzazione, che devono essere valutati da tutti i soggetti interessati. Se da un lato è necessaria la loro autorizzazione, dall’altro occorre renderli responsabili della valutazione dei nuovi prodotti, componenti o servizi che riguardano il loro ambito di lavoro. Ognuno di loro deve condurre una valutazione dei rischi diversa a seconda dell’offerta ricevuta. Una gestione ottimale dei cambiamenti, unita a una revisione periodica, è essenziale per scegliere i fornitori giusti e ridurre i rischi.

5. Considerare i rischi interni ed esterni

Oltre al prodotto, ci sono molti rischi aleatori che possono influire sulla supply chain, come i fattori umani e geopolitici. Nel primo caso, ad esempio, è difficile affidarsi a un fornitore che cambia spesso dirigenti: dietro a un prodotto di qualità c’è sempre un gruppo dirigenziale stabile. Sul fronte geopolitico, il rischio di uno Stato va monitorato con attenzione. Ad esempio, se un fornitore di software ha sede in un Paese dilaniato dalla guerra, è possibile che la valutazione della sicurezza sia ridotta a causa appunto del conflitto in corso.

Bruno Filippelli, Sales Director Italia, Semperis



Contenuti correlati

  • Globalizzazione 2.0

    Siamo arrivati alla “fine della globalizzazione che abbiamo conosciuto negli ultimi tre decenni”. Quale sarà allora il nuovo approccio al commercio globale? Leggi l’articolo

  • La VP Marketing di Ivanti Wavelink vince l’Award Women in Supply Chain

    Ivanti Wavelink, la business unit di Ivanti per le soluzioni di supply chain, annuncia che la rivista Supply & Demand Chain Executive, l’unica pubblicazione che si occupa di supply chain a livello globale, ha designato Tejal Ranjan,...

  • Executive event IDC e SAP a Milano l’11 ottobre

    Si intitola “Un futuro digitale e sostenibile per l’industria manifatturiera” il nuovo executive event organizzato da IDC e SAP l’11 ottobre 2022 a Milano presso il Made Competence Center Industria 4.0. Un importante momento di confronto e di...

  • Digital Trends in Supply Chain Survey 2022

    Nell’ambito di Factory Voice, PwC Italia, organizzazione di servizi professionale alle imprese, ha presentato i risultati dell’indagine “Digital Trends in Supply Chain Survey 2022”, che esplora le recenti trasformazioni nel mondo della logistica e le molte sfide...

  • Le strategie aziendali di supply chain in uno studio di Forrester Consulting

    Rockwell Automation rivela che i miglioramenti nell’ambito della trasformazione digitale, delle iniziative di sostenibilità e della customer experience (CX) sono tra le principali priorità che guidano nuove strategie aziendali di supply chain, secondo un nuovo studio condotto...

  • Disponibili nella versione 1.5 di Purple Knight gli indicatori di sicurezza di Azure AD

    Purple Knight, lo strumento gratuito di Semperis per la valutazione della sicurezza di Active Directory (AD) scaricato da oltre 5.000 utenti, consente ora di identificare e risolvere le lacune di sicurezza nel proprio ambiente di identità ibrido....

  • Supply Chain Sostenibile: Master per Sustainability Manager

    L’attenzione alla sostenibilità è ormai un obbligo per ogni ambito delle attività umane: dai comportamenti privati ai consumi, dall’agricoltura alle produzioni industriali. Si tratta di una dinamica che sta creando nuove professioni e nuovi posti di lavoro:...

  • Economia circolare e supply chain

    Due terzi (66%) delle grandi aziende a livello mondiale dichiara di mantenere un livello più elevato di scorte rispetto al periodo pre-covid e quasi una su cinque del totale intervistato (18%) ha ora un livello ‘significativamente più...

  • Sistemi di visione

    Diamo qui una panoramica delle tecnologie e dei sistemi di visione, la cui presenza è sempre più indispensabile in tutti i processi produttivi e lungo l’intera supply chain Leggi l’articolo

  • Reply minacce informatiche
    Automation e AI sono la chiave per difendersi dalle minacce del mondo digitale

    La cybersecurity rappresenta oggi una priorità assoluta e contestuale all’implementazione di nuove tecnologie, dato il ruolo cruciale che sono arrivate ad occupare nelle nostre vite private e professionali. Smart Home, Connected Car, Delivery Robot: l’evoluzione non si...

Scopri le novità scelte per te x