Come affrontare la sicurezza nella filiera di fornitura? Le aziende affidano servizi ICT al fornitore con la convinzione di trasferire anche i rischi, ma trascurando l’applicazione di garanzie contrattuali e misure di sicurezza adeguate
Nel corso degli ultimi anni, si è assistito al graduale spostamento delle attività concernenti la gestione operativa ICT delle organizzazioni verso servizi esternalizzati. Questo trasferimento è sostanzialmente riconducibile a 4 fattori principali: 1) difficoltà nel reperimento di competenze adeguate, sempre aggiornate e a costi ragionevoli; 2) disponibilità di servizi offerti in modalità cloud in grado di offrire in tempi rapidi servizi competitivi; 3) esigenza degli utenti di fruire di applicazioni da qualunque luogo e in qualunque orario; 4) possibilità di concentrarsi sul core business, delegando servizi specialistici a partner esterni. In questo contesto, un buon compromesso con l’assicurazione dei principi fondamentali della cybersecurity può essere rappresentato da un attento controllo dei fornitori coinvolti nei processi ICT.
Il panorama dei servizi erogati da una o più terze parti può essere articolato in tre modalità: 1) outsourcing di servizi sistemistici e manutenzione applicativa erogato sia in modalità on premise che da remoto; 2) esternalizzazione della fornitura di servizi applicativi generalmente tramite modello cloud, sino alla delega nella gestione di alcuni servizi strategici di sicurezza, tra cui il SOC; 3) adozione di software modulare, in cui alcune componenti specifiche tra cui le librerie, possono essere realizzate da terze parti, per esempio nel caso dei prodotti software open source.
Il riferimento normativo, oltre alla regolamentazione bancaria e assicurativa, è senza dubbio rappresentato dal Regolamento GDPR in materia di protezione dei dati personali, che definisce opportunamente gli oneri in capo al ruolo del responsabile del trattamento. Estendendo l’ambito alla tutela delle informazioni sensibili, che costituiscono il patrimonio digitale dell’organizzazione, occorre dare rilievo alle apposite sezioni definite negli standard internazionali della serie ISO/IEC 27001 e nel Cybersecurity Framework del NIST.
Nel corso dell’ultimo anno, sono stati registrati diversi incidenti di sicurezza imputabili alla catena di fornitura. Onde evitare le ripercussioni negative di simili episodi si rende necessario affrontare in modo coordinato, insieme agli attori coinvolti nel processo di procurement, il tema della sicurezza sin dalla condivisione delle specifiche di un prodotto o di un servizio. Questa prassi aiuterà a capire se il fornitore abbia attuato una serie di interventi coerenti al principio security by design.
È opportuno formalizzare i requisiti di sicurezza tramite la condivisione di checklist, possibilmente mirate in funzione del grado di sicurezza desiderato. Nei contratti di fornitura dovranno essere inserite delle clausole dettate dall’organizzazione contenenti istruzioni precise. E questo consentirà di attribuire adeguatamente le responsabilità di fornitore e cliente in caso di accertata negligenza, oppure di carente applicazione delle misure di protezione. Dev’essere assicurato il diritto di audit in modo da poter verificare preventivamente la sicurezza di un programma software (che preveda la rimozione di eventuali vulnerabilità a carico del fornitore) oppure la possibilità di verificare sul campo le misure di sicurezza adottate durante l’erogazione di un servizio. È importante che tali previsioni possano essere estese anche in caso di subfornitura.
L’insieme degli interventi descritti, una volta verificata una buona cooperazione tra cliente e fornitore, potrebbe trasformarsi in una partnership virtuosa in grado di assicurare reciproche soddisfazioni.
Roberto Obialero membro del comitato direttivo di CLUSIT