Il nostro tempo è sempre più caratterizzato dall’essere costantemente online ed interconnessi; a questa regola non sfuggono neanche le aziende che, sempre più, vedono allargare e sfumare i propri confini nella collaborazione con i propri partner, clienti e fornitori. In questo contesto il perimetro da proteggere diventa sempre più articolato, di difficile definizione e protezione.
In questo caso vale più che mai l’adagio tipico della sicurezza per cui “si è tanto forti quanto l’anello più debole della catena”; il problema è che ormai la “catena” prescinde e va oltre il confine aziendale dove la possibilità di controllo diventa se non inesistente, meno forte.
INTRODUZIONE
Ormai anche realtà molto piccole hanno collaborazioni con terze parti con cui condividono dati amministrativi, economico/finanziari e di business, rendendo la terza parte in questione una componente integrante dei processi aziendali.
Risulta quindi evidente come sia necessario scegliere con cura i propri fornitori anche – e soprattutto – quelli non tecnologici: un fornitore poco attento al tema della sicurezza delle informazioni e dei sistemi potrebbe mettere a rischio quella che viene comunemente indicata con “security posture” aziendale quando viene connesso ai propri sistemi.
Sono ormai moltissime le aziende (anche quelle più grandi che fanno investimenti in information security importanti) che hanno subito attacchi importanti a causa di vulnerabilità di un partner. Anche se ormai datata, ha fatto scuola l’attacco a Target, catena di grandi magazzini in US, che hanno perso centinaia di milioni di dollari grazie ad una vulnerabilità introdotta dal manutentore dei frigoriferi!
Purtroppo, non possiamo neanche affidarci alla “realtà” proposta da serie e fiction televisive: è infatti alquanto raro che – a fronte di attacchi cyber – compaiano teschi rossi sugli schermi dei malcapitati…. Un recente studio di IBM Security stima in 287 giorni il tempo medio necessario ad identificare e contenere un data breach! È quindi più probabile che si rilevi un problema quando ormai questo ha raggiunto dimensioni preoccupanti.
Considerando che il trend degli attacchi cyber è in costante aumento, per non vanificare gli investimenti in sicurezza e per mantenere il controllo della propria security posture, è opportuno definire un nuovo paradigma di scelta e collaborazione con le terze parti.
Per indirizzare questa problematica abbiamo definito un framework completo per la gestione delle terze parti, articolato nelle 3 fasi di seguito descritte.
FASE 1: SELEZIONE DEL FORNITORE
La fase di selezione serve a qualificare il fornitore per quanto riguarda gli aspetti di sicurezza. Qualificare un fornitore significa valutarlo adeguatamente in modo da poter prendere delle decisioni consapevoli rispetto alla collaborazione, che possono spaziare dal rifiuto, ad una collaborazione particolarmente controllata (vedi Fase 2 – gestione del contratto) o infine ad una collaborazione monitorata secondo tempistiche piuttosto rilassate.
La qualifica serve quindi a definire il livello di controllo che dovrà essere formalizzato nelle clausole contrattuali specifiche per la sicurezza.
Questa fase prevede due passi che possono essere così riassunti:
1. Valutazione della security posture del fornitore: questa è una fase decisamente rilevante che guida ed indirizza l’implementazione di tutto il framework. In base alla/e tipologia/e di collaborazione prevista si richiede la valutazione in modalità self assessment di controlli di sicurezza mutuati da framework e standard di riferimento. A tale scopo è stato sviluppato
Riskout, un sistema che gestisce tutto il processo di valutazione in modalità online (www.riskout.it)
2. Contrattualizzazione: Il risultato della valutazione della security posture deve dare la consapevolezza necessaria nella scelta. In questo caso le casistiche sono innumerevoli e sono dettate da molteplici fattori che possono influenzare la decisione finale. Ad esempio, un fornitore può risultare essere scadente dal punto di vista della security ma essere strategico o non facilmente sostituibile con altri migliori. Per questo, in base ai risultati ottenuti con Riskout si formulano delle specifiche clausole contrattuali a tutela del patrimonio informativo aziendale che devono essere definite in base al livello di rischio introdotto dal fornitore
FASE 2: GESTIONE DEL CONTRATTO
La fase di gestione contrattuale viene svolta durante tutta la durata del contratto ed ha lo scopo di individuare il perimetro di accesso del fornitore, di regolamentarlo e di verificare che il fornitore agisca secondo quanto contrattualmente pattuito.
Viene quindi suddivisa nei punti seguenti:
1. Identificazione perimetro: si identificano i sistemi e le informazioni a cui la terza parte ha necessità di accedere
2. Controllo accessi: vengono definiti i profili di accesso per tutto il personale (che deve essere noto) che necessita di accedere e vengono definite le modalità di controllo degli stessi
3. Audit: con periodicità definita in funzione delle valutazioni di Fase 1 viene definito un piano di audit del fornitore che può essere successivamente calibrato in funzione delle evidenze raccolte
FASE 3: FINE CONTRATTO
Prescindendo dagli aspetti relativi ad eventuali passaggi di consegne o migrazioni di dati/sistemi, è la parte concettualmente più semplice nella gestione della relazione. Si tratta infatti di rimuovere tempestivamente i diritti di accesso di tutto il personale del fornitore ai sistemi aziendali.
Il processo fino a qui descritto può essere applicato anche alle collaborazioni già in atto modificando eventualmente alcune tempistiche di attuazione.
Per esempio, la fase di selezione del fornitore può essere svolta sottoponendo al fornitore il self assessment con RiskOut; la fase di contrattualizzazione può eventualmente essere posticipata al rinnovo contrattuale (se previsto e voluto) oppure può essere gestita mediante opportuni addendum contrattuali.
Le fasi di gestione del contratto, se già non indirizzate, possono (e devono) essere svolte immediatamente per quanto riguarda l’identificazione del perimetro ed il controllo degli accessi, con tempistiche determinate dall’accettazione delle clausole per la parte di controllo/audit.
CONCLUSIONI
La corretta gestione della relazione con le proprie terze parti si inquadra nel tema più ampio e generale dell’information security risk management, tema che è sempre più centrale nelle normative nazionali ed internazionali (ad esempio in DORA o NIS2) a cui buona parte del settore industriale e dei servizi dovrà adeguarsi. E’ quindi opportuno che le aziende attivino al più presto anche questo controllo con il duplice intento di aumentare la propria “security posture” e di intraprendere per tempo il processo di compliance alle norme di prossima validità
Simona Costa
Senior Security Advisor,Innovery