SVILUPPARE UNA SOLIDA CULTURA SULLA CYBERSECURITY

03. Garantire un’efficace gestione dei terzi

Garantire che tutti i fornitori, in particolare quelli che hanno accesso a dati e/o sistemi sensibili, siano gestiti attivamente e soddisfino i livelli di sicurezza concordati.

Dovrebbero essere attuati accordi contrattuali per definire le modalità di soddisfacimento di tali criteri di sicurezza da parte dei fornitori.

03. GARANTIRE UN’EFFICACE GESTIONE DEI TERZI

Contesto

Gli attacchi alla supply chain (o catena di approvvigionamento) sono in continuo aumento per numero e sofisticatezza. Per approfondire le diverse tipologie degli attacchi informatici derivanti dalla supply chain, è possibile consultare la sezione “Tecniche di attacco utilizzate per compromettere la filiera di fornitura” del report in materia pubblicato da ENISA

Come presidiare adeguatamente i propri fornitori?

Raccomandazioni utili

  • Al momento dell’esternalizzazione di un servizio o dell’acquisto di un prodotto ICT, identificare i dati, le informazioni ed i processi impattati, al fine di valutare adeguatamente i rischi di natura cyber ed eventuali vincoli normativi applicabili
  • Mappare le relazioni commerciali dei fornitori lungo la catena di approvvigionamento, con l’obiettivo di identificare e tracciare le subforniture e gli eventuali accessi alle informazioni ed ai dati dell’organizzazione
  • Valutare l’affidabilità in ambito cybersecurity del fornitore, prima della stipula del contratto, anche al fine di definire clausole contrattuali adeguate al livello di sicurezza da garantire
  • Richiedere al fornitore l’implementazione di processi di verifica tecnici periodici (es. vulnerability assessment e penetration test) al fine identificare prontamente eventuali vulnerabiltà dei sistemi informatici
  • Monitorare il livello di affidabilità del fornitore in ambito cybersecurity e protezione dei dati, anche tramite audit o attività di assessment, dando priorità ai fornitori che hanno accesso ad informazioni critiche o dati sensibili
  • Richiedere al fornitore periodicamente aggiornamenti in merito a rischi cybersecurity/ tentativi di attacchi informatici o aggiornamenti in merito alle vulnerabilità
  • Coinvolgere/ informare i fornitori in merito ad attività di awareness e formazione in ambito cybersecurity

Che obblighi se la PMI è fornitore?

Istituito con il D.L. 105/2019, il Perimetro di Sicurezza Nazionale Cibernetica (PSNC) è il framework normativo che identifica le infrastrutture critiche, pubbliche e private, del Sistema Paese e definisce quali misure di sicurezza devono essere adottate per proteggere dati e sistemi informativi ritenuti gestite dalla stesse. Tra tali misure, anche specifici controlli volti a garantire la sicurezza delle attività attuate da parte dei fornitori. Nel caso in cui una PMI sia fornitore di un’organizzazione inserita nel PSNC (o sia essa stessa nel PSNC) sono definiti i seguenti controlli da effettuare obbligatoriamente sui fornitori:

  • adottare un processo di valutazione del rischio dei fornitori di sistemi informativi, componenti e servizi;
  • scegliere fornitori che abbiano la capacità di garantire la continuità dell’approvvigionamento, l’assistenza e la manutenzione nel tempo;
  • per acquisire componenti software, verificare l’applicazione di pratiche di sviluppo sicuro e l’utilizzo di procedure e strumenti tecnici per garantire l’autenticità e l’integrità del software o firmware che sarà installato all’interno dei beni e dei sistemi ICT;
  • utilizzare pratiche, tecniche e procedure per verificare l’adeguatezza del codice sorgente;
  • svolgere audit periodici sui fornitori e mantenere adeguate evidenze;
  • con particolare riferimento alla minaccia ransomware, è utile valutare con eventuali fornitori di storage remoto le politiche di backup e ripristino dei dati e tenerne conto in fase di analisi dei rischi derivanti da ransomware.

Per l’elenco completo delle misure di sicurezza da implementare per le infrastrutture critiche del PSNC, è disponibile l’allegato B del DPCM 81/2021, uno dei decreti attuativi del Perimetro di Sicurezza Nazionale Cibernetica, istituito dal D.L. 105/2019.