Garantire la sicurezza della propria supply chain non è cosa semplice. Per supply chain, in questo articolo, intendo tutti quei soggetti fornitori di servizi o prodotti, esterni all’azienda, il cui contributo è necessario per la produzione del valore.
Secondo alcune statistiche prodotte dal Ponemon Institute e da Recorded Future, il 59% delle organizzazioni ha subito un data breach, partito dalle proprie terze parti. Il controllo dei propri fornitori è una tematica non nuova. Il controllo del fornitore deve seguire un ciclo di vita, un vero e proprio programma che potrebbe essere diviso in 3 fasi principali: entrata; permanenza; uscita.
Entrata: Prima di intraprendere iniziative di collaborazione, solitamente, si effettuano tutta una serie di controlli relativi alla solidità e affidabilità di un’azienda. Si controllano i bilanci, la proprietà, eventuali pendenze, collaborazioni con altre aziende, il grado reputazionale, etc. etc. Da questo genere di controlli, con lo scorrere del tempo, si è passati a verificare la presenza di certificazioni di conformità e di qualità del prodotto e del servizio. Per quanto riguarda la sicurezza delle informazioni, si richiede spesso le certificazioni ISO2700x. I più lungimiranti richiedono la presenza di sistemi di gestione di Business Continuity e Disaster Management. In alcuni casi, il fornitore, se vuole collaborare con alcune aziende deve anche permettere di effettuare dei test molto invasivi sui propri prodotti e servizi. Non sempre questo è consentito o è possibile, soprattutto nel reparto tecnologico. Il fornitore deve dare il consenso affinché questi test vengano effettuati e non sempre ciò avviene. Inoltre, eseguire questi test, come ad esempio, l’analisi dinamica e statica di un software sono molto costosi e richiedono competenze tecniche molto elevate. Ulteriori controlli devono essere effettuati anche su potenziali compromissioni del fornitore stesso. Ci possono essere informazioni sul web che riportano data breach avvenuti nei confronti del fornitore e anche queste informazioni devono essere tenute in considerazione.
Permanenza: La fase successiva è quella della permanenza. L’azienda deve continuare a monitorare il fornitore e verificare che la sua affidabilità e solidità sia mantenuta. In ambito di information security, se il fornitore accede ai sistemi aziendali, deve poter essere monitorato e controllato. Deve avere delle VPN dedicate. I log di accesso devono essere raccolti e analizzati. Chi accede, da dove accede, con cosa accede, quando accede, perché vi accede. Stessa cosa vale per le piattaforme che vengono acquisite.
Si dovrebbe monitorare le attività delle piattaforme, sapere tutte le iterazioni che svolgono all’interno del processo, quali informazioni trattano e dove le trattano (sui datacenter aziendali, in cloud, presso datacenter del fornitore, etc. etc.). Tutto questo monitoraggio dovrebbe essere real-time con sistemi di alerting pronti a scattare in caso di anomalie. Se un fornitore cambia device o regione geografica da cui si collega, se una piattaforma non si limita a trattare le informazioni necessarie alle sue attività, etc. etc., il sistema deve poter alzare una bandierina di allarme per verifiche ulteriori. Queste analisi richiedono capacità di raccolta dati e di analisi più o meno automatizzate. Inoltre, richiedono anche competenze elevate. Pertanto, è importante predisporre i propri sistemi alla raccolta di questi dati e al loro trattamento.
Questo per quanto riguarda il monitoraggio delle attività day by day effettuate con l’azienda. È necessario considerare anche il perimetro esterno aziendale ed effettuare dei monitoraggi preventivi su eventi che impattano il fornitore e potrebbero impattare anche la nostra azienda. Se un fornitore subisse un data breach, l’azienda indirettamente potrebbe esserne impattata. Un sistema di raccolta informazioni del web, in tutte le sue accezioni è utile per mantenere un occhio verso l’esterno e intercettare potenziali segnali di compromissione. Un metodo semplice potrebbe essere di correlare la propria lista fornitori con fonti di intelligence su data breach in modo da avvisare automaticamente l’azienda nel momento in cui viene pubblicata qualche notizia relativa al proprio fornitore. Ovviamente più fonti di intelligence si ha e più queste sono profilate per cercare informazioni sulla propria supply chain, più efficace sarà il risultato. Questo però potrebbe essere molto dispendioso in termini economici. Stessa operazione dovrebbe essere effettuata su tutti i fornitori e non solo sui fornitori di Sistemi Informativi. Le informazioni più strategiche per l’azienda potrebbero risiedere nei computer del top management e in quello dei loro collaboratori esterni, come studi di consulenza legale, di consulenza finanziaria e così via. È opportuno monitorare tutti i fornitori e cercare di categorizzarli in base alle informazioni che gestiscono. L’attività di monitoraggio dei fornitori richiede un forte coordinamento e collaborazione stretta fra diverse funzioni. Per questo, è necessaria anche una integrazione di processi fra funzioni di business, funzione acquisti, funzione di amministrazione e controllo e funzione di security. I tempi per lo screening devono essere ridotti al minimo per non appesantire il processo di acquisizione.
Uscita: La fase finale è la chiusura del contratto. Questo significa bloccare gli accessi alle VPN e chiudere eventuali flussi informativi da e verso il fornitore. Questo passaggio è molto importante. Spesso viene protratto nel tempo e tralasciato, soprattutto se il fornitore non è strettamente nel mondo IT in cui c’è una maggiore consapevolezza di queste tematiche. Quindi si trovano accessi a cartelle condivise, VPN ancora attive e flussi informativi ancora esistenti fra azienda e fornitori che possono andare dall’ambito HR a quello commerciale o finanziario. La parte di monitoraggio ovviamente non può essere trascurata. Se la vita del fornitore in azienda terminasse nel tempo T0, precauzionalmente sarebbe opportuno mantenere il monitoraggio di intelligence almeno per un anno successivo alla chiusura del contratto. Seppure i rapporti siano conclusi, ci potrebbero essere informazioni aziendali ancora in giro. Un anno non è né tanto né poco, dipende sempre poi dalla capacità di monitoraggio e di raccolta informativa che un’azienda ha.
È molto importante che in tutte e tre le fasi vi sia una forte componente di sensibilizzazione di tutti gli attori coinvolti. Il perimetro di sensibilizzazione si allarga ai fornitori e si deve essere certi che questi abbiano assimilato le policy di sicurezza aziendale e che le rispettino.
Autore: Massimo Cappelli