Nell’articolo che vi proponiamo, Richard Ford, Chief Technology Officer presso Integrity360 parla del rischio di terze parti. Ignorarlo, come spesso accade, potrebbe costare caro alle aziende e mettere in serio pericolo l’intera supply chain.
Come sottolinea il CTO: “Costruire una supply chain resiliente alle minacce informatiche non è solo una questione di tecnologia, è un cambiamento culturale”.
Buona lettura!
Proteggere la supply chain: quanto costa ignorare i rischi legati alle terze parti
Con l’aumentare della sofisticazione e della portata delle minacce informatiche, le organizzazioni si trovano ad affrontare una realtà preoccupante: anche le misure di sicurezza interne più solide possono essere rese inefficaci dalle debolezze dell’ecosistema delle terze parti.
Una recente ricerca rivela che il 98% delle 100 principali aziende europee ha subito violazioni da parte di terzi nell’ultimo anno. Con fornitori, service provider, appaltatori e piattaforme cloud ormai profondamente integrati nelle operazioni aziendali quotidiane, la gestione dei rischi di terze parti non è più facoltativa, ma è una necessità strategica.
Perché i rischi di terze parti sono spesso trascurati
Nonostante la sua importanza critica, il rischio di terze parti rimane una delle aree più sottovalutate nella sicurezza informatica. Troppe organizzazioni continuano a operare nella convinzione che se i loro sistemi interni sono solidi, l’azienda è al sicuro. Di conseguenza i budget e le risorse vengono spesi per rafforzare le proprie difese (protezione degli endpoint, segmentazione della rete, formazione dei dipendenti), trascurando il fatto che il perimetro digitale odierno si estende ben oltre la propria infrastruttura. Questa svista può essere molto costosa. Queste violazioni derivano spesso da un controllo inadeguato, da una scarsa visibilità sulle pratiche di sicurezza dei fornitori e dalla mancanza di un monitoraggio continuo. L’ipotesi che i partner esterni mantengano lo stesso livello di maturità in materia di sicurezza informatica è pericolosa, e gli aggressori lo sanno bene.
L’impatto sul business: conseguenze reali delle violazioni della catena di fornitura
Le violazioni da parte di terzi possono avere conseguenze devastanti, che vanno dall’interruzione delle operazioni al danno alla reputazione, sino alle sanzioni normative. Uno degli esempi più notevoli è la violazione dei dati di Target, in cui gli aggressori hanno ottenuto l’accesso ai dati dei clienti attraverso un fornitore di sistemi HVAC compromesso. L’incidente è costato all’azienda oltre 200 milioni di dollari e ha portato a una significativa perdita di fiducia da parte dei consumatori.
Più recentemente, almeno una delle violazioni di grande impatto nel settore della vendita al dettaglio ha avuto origine da un fornitore terzo. Questi eventi sottolineano una tendenza preoccupante: gli aggressori prendono sempre più di mira la supply chain come mezzo per aggirare le difese e ottenere l’accesso a dati sensibili. Non si tratta solo di grattacapi per le pubbliche relazioni, ma di danni irreversibili per un’organizzazione.
Nel settore finanziario, la posta in gioco è ancora più alta. Le organizzazioni finanziarie dipendono sempre più da fornitori esterni di tecnologia e servizi dati, e il Digital Operational Resilience Act (DORA) impone un quadro normativo solido per garantire che queste partnership non diventino anelli deboli nella catena della resilienza informatica. Ai sensi del DORA, gli istituti finanziari devono effettuare una due diligence completa prima di stipulare accordi con fornitori di servizi terzi. Ciò include la valutazione della resilienza operativa del fornitore, dei protocolli di sicurezza informatica e delle capacità di risposta agli incidenti. Una volta avviate, queste relazioni sono regolate da rigorosi obblighi contrattuali che definiscono chiaramente le responsabilità, le linee gerarchiche, i diritti di accesso e le clausole di risoluzione, il tutto con l’obiettivo di mantenere la continuità operativa e la protezione dei dati.
Best practice: costruire un solido quadro di gestione del rischio di terze parti
La gestione del rischio di terze parti non è più una semplice formalità, per gestirla efficacemente, le organizzazioni devono adottare un approccio proattivo e basato sull’intelligence che copra l’intero ciclo di vita delle terze parti. Le migliori pratiche dovrebbero includere:
- Due diligence e onboarding: prima di stipulare qualsiasi accordo, le organizzazioni dovrebbero condurre una valutazione completa della posizione di sicurezza informatica delle terze parti. Ciò include la valutazione delle loro capacità di risposta agli incidenti, delle misure di protezione dei dati e della conformità alle normative pertinenti.
- Garanzie contrattuali: assicurarsi che i contratti definiscano chiaramente ruoli, responsabilità, diritti di accesso e clausole di risoluzione, includere disposizioni relative a audit periodici, tempistiche di notifica delle violazioni e protocolli di trattamento dei dati.
- Monitoraggio continuo: il rischio di terze parti non si esaurisce con l’onboarding, occorre implementare strumenti e processi per monitorare continuamente le prestazioni dei fornitori, rilevare anomalie e rispondere alle minacce emergenti in tempo reale.
- Classificazione e prioritizzazione dei rischi: non tutte le terze parti presentano lo stesso livello di rischio, bisogna classificare i fornitori in base alla sensibilità dei dati che trattano e alla criticità dei servizi che forniscono, concentrando le risorse sulle relazioni ad alto rischio.
- Integrazione della risposta agli incidenti: assicurarsi che le terze parti siano integrate nei piani di risposta agli incidenti. In caso di violazione, è essenziale un’azione coordinata per contenere i danni e mantenere la continuità operativa.
L’obiettivo è quello di creare un programma di gestione dei rischi di terze parti (TPRM) dinamico e flessibile, in grado di adattarsi alle minacce, garantire la responsabilità e supportare l’azienda nella sua crescita.
La resilienza informatica è una responsabilità condivisa
Il TPRM (Third Party Risk Management) non è più una funzione di back-office, ma una priorità del board. In definitiva, il valore della gestione del rischio di terze parti va oltre la protezione, si tratta di garantire la fiducia nel proprio ecosistema digitale. Poiché le minacce informatiche continuano a sfruttare le vulnerabilità della catena di approvvigionamento, le organizzazioni devono passare da modelli reattivi e basati sulla conformità a strategie proattive e guidate dall’intelligence.
Se gestito correttamente, il TPRM rafforza la continuità operativa, salvaguarda la reputazione del marchio e garantisce la conformità a normative sempre più severe. Inoltre migliora la collaborazione tra i team di sicurezza, approvvigionamento, legale e operativo, assicurando che la sicurezza informatica diventi parte integrante dell’attività quotidiana e non un ostacolo all’innovazione.
Costruire una supply chain resiliente alle minacce informatiche non è solo una questione di tecnologia, è un cambiamento culturale. Significa definire le aspettative con i fornitori, investire nella resilienza condivisa e riconoscere che la fiducia deve essere guadagnata e verificata continuamente.
di Richard Ford, Chief Technology Officer presso Integrity360
