Le terze parti rappresentano una grossa fetta delle fonti di violazione dei dati aziendali e gli esperti affermano che l’unico modo per affrontare questo rischio è quello di fare in modo che i risk manager operino in accordo con i responsabili della gestione dei fornitori.
Le imprese hanno sempre più rilevato che i propri fornitori e altre terze parti stanno mettendo le informazioni condivise a rischio, ma il generale scollamento fra i professionisti del procurement aziendale e i risk manager ha reso difficile indirizzare efficacemente i rischi di sicurezza delle informazioni nel corso del processo di contrattazione con i fornitori. Inoltre, il volume dei contratti di fornitura in azienda renderebbe economicamente proibitivo assoggettare semplicemente tutti i fornitori ai medesimi requisiti di sicurezza delle informazioni. È per questo che i professionisti del risk management sostengono l’esigenza di una migliore integrazione della gestione del rischio della supply chain nel processo di gestione dei fornitori.
“La vera sfida per le aziende di grandi dimensioni è trattare con un elevato numero di fornitori che non possono essere affrontati singolarmente e ai quali, principalmente per motivi di costo, non è possibile applicare i medesimi rigorosi requisiti di sicurezza su ogni singolo contratto”, dice Michael De Crespigny, CEO dell’Information Security Forum (ISF). “Altrimenti si finisce per subire ingenti costi di acquisizione, perché questi costi supplementari vengono caricati sull’acquirente da parte dei fornitori”.
La scorsa settimana l’ISF ha rilasciato un nuovo report su questa particolare sfida sperimentata dai propri membri, intitolato “Securing the Supply Chain”, affiancandolo con un nuovo processo denominato “Supply Chain Information Risk Assurance Process” (SCIRAP). Il processo SCIRAP ha l’obiettivo di supportare le aziende in una migliore assegnazione della priorità dei rischi di sicurezza delle informazioni all’interno della supply chain in maniera tale che questo abbia un senso per i responsabili di business. Il processo è stato sviluppato in base a statistiche e prove aneddotiche relative a singole aziende e riguardanti le conseguenze che derivano dall’ignorare la supply chain nel processo di gestione del rischio.
Ad esempio, il Ponemon Institute ha riferito nel 2012 che il 42% delle violazioni sono state il risultato di errori commessi da terze parti. Secondo Larry Ponemon, fondatore del Ponemon Institute, il mondo cibernetico sommerso ha ormai definitivamente preso atto delle carenze in materia di sicurezza delle informazioni da parte dei fornitori che servono aziende di alto valore che i cyber criminali prendono di mira. “Molti malintenzionati hanno capito che, a volte, la via più semplice per introdursi in una grande azienda, ad esempio una grande banca o un’industria farmaceutica, è fondamentalmente quella di identificare fornitori e subappaltatori che hanno un collegamento diretto con l’infrastruttura IT e che accedono alle informazioni dell’azienda target,” – dice Ponemon – “è molto più facile violare e penetrare un fornitore che introdursi in un’azienda più sofisticata e con un miglior livello di sicurezza”.
Tuttavia, Ponemon ha fatto eco alle osservazioni di De Crespigny in merito ai principali problemi di scala nella gestione dei fornitori delle grandi aziende. A sostegno di ciò, egli ha raccontato un case study da egli realizzato presso una grande azienda farmaceutica che operava con 14.000 fornitori, 11.000 dei quali prelevavano informazioni di proprietà dell’azienda e che erano classificati come sensibili o riservati. E questi sono solo numeri, perché ogni singolo caso comporta complesse interazioni, alcune delle quali governate da relazioni piuttosto flessibili fra il fornitore e il contatto interno all’azienda.
“Quando molte aziende raggiungono un accordo, si tratta di una stretta di mano, e potrebbe anche essere tutto legale perché hai effettivamente firmato un contratto, ma di fatto non sono previsti test o verifiche nei punti più significativi” – dice Ponemon. Secondo De Crespigny, l’ISF ha collaborato con i propri membri per codificare un processo mediante il quale gli acquirenti possono implementare meccanismi che consentano l’identificazione dei fornitori più rischiosi, ma anche di indirizzare i rischi assegnando loro una priorità più razionale. Alle fondamenta, il processo identifica alcuni fattori inerenti le informazioni gestite dai fornitori che l’azienda dovrebbe prendere in considerazione, ad esempio se l’azienda sta gestendo dati personali, proprietà intellettuale o informazioni chiave su come funziona il business aziendale.
“In merito a questo abbiamo allestito un metodo che supporta le aziende nel pensare a come vengono gestite le informazioni contratto per contratto e, identificando i singoli contratti, come esse dovrebbero focalizzarsi sull’imposizione di precisi requisiti di sicurezza delle informazioni” – dice De Crespigny, spiegando che il tutto si riduce nello stabilire, all’interno della supply chain, i fondamenti di analisi dei rischi del risk management affinché sia più agevole indirizzare con maggiore priorità i rischi più ingenti. “Quello che devi fare è attuare il processo a seconda di dove il rischio risiede, in modo da ottenere una garanzia approfondita dove ne hai più bisogno e imporre requisiti molto più leggeri dove il rischio e le possibili conseguenze non sono così elevati”. Secondo Ponemon non solo è importante contrassegnare i fornitori più rischiosi in base alla criticità e alla tipologia delle informazioni che vengono loro affidate, ma è altrettanto importante considerare la loro ubicazione geografica. “Ci sono paesi con differenze culturali e una diversa sensibilità in tema di sicurezza e privacy, e devi tenere conto di questo” – avvisa Ponemon – “ed è altrettanto importante la capacità di ricorrere al sistema legale interno in caso di problemi”.
Oltre all’identificazione dei fornitori rischiosi, però, è importante anche la collaborazione con la struttura di procurement aziendale per mitigare i rischi di sicurezza delle informazioni prima che il processo di acquisto sia completato, dice De Crespigny. “Le aziende stanno trovando molto difficile trovare un accordo fra i requisiti di sicurezza e i contratti d’acquisto e sono alla ricerca di un metodo più semplice” – afferma, spiegando che la chiave “sta nell’integrare la sicurezza e la gestione del rischio nei processi di gestione fornitori e di procurement già esistenti. La sicurezza delle informazioni ha bisogno di lavorare con il procurement, perché non può arrivare e risolvere i problemi a fatto compiuto”.
Fonte: Marrying IT Risk Management with Enterprise Procurement – Dark Reading
Ettore Guarnaccia