La minaccia nascosta, rischi IT e sicurezza delle terze parti

La minaccia nascosta, rischi IT e sicurezza delle terze parti

Il rischio IT delle terze parti, le sue principali cause e le misure di mitigazione e controllo che possono essere adottate per ridurre al minimo l’impatto negativo sull’azienda

Negli ultimi anni, l’importanza delle terze parti e delle loro operazioni all’interno delle aziende è aumentata in modo significativo: un numero elevato e in continua crescita di realtà si affida a fornitori e partner esterni per delegare parte delle proprie operazioni IT o esternalizzare direttamente servizi di business o di supporto. L’utilizzo di terze parti presenta sicuramente dei vantaggi, ma anche dei rischi che, se non adeguatamente gestiti, possono minacciare significativamente la sicurezza delle informazioni e la reputazione delle organizzazioni. Il CLUSIT ha pubblicato un libro monografico sull’argomento, disponibile gratuitamente (Supply Chain Security – I rischi della catena di fornitura), a cui rimandiamo per qualsiasi approfondimento.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Le principali cause del rischio IT delle terze parti possono essere molteplici. Una delle più comuni è la mancanza di protezione dei dati e delle informazioni sensibili da parte delle terze parti. La scarsa sicurezza dei dati può essere dovuta a protocolli e procedure assenti o poco affidabili, alla mancanza di una cultura per la sicurezza o a un insufficiente rispetto per le normative e le best practice di settore. Inoltre, una carenza di controllo o di monitoraggio delle attività delle terze parti può rendere difficile identificare tempestivamente eventuali problemi o irregolarità.

Per mitigare e controllare il rischio IT delle terze parti, è fondamentale attuare una serie di misure preventive e di verifica. La prima è quella di scegliere attentamente le terze parti con cui lavorare, valutando la loro reputazione e le loro competenze anche in materia di sicurezza informatica e resilienza operativa. L’esibizione di certificazioni della terza parte (ad es. ISO/IEC 27001, SOC2) costituisce un titolo preferenziale che, pur non essendo una garanzia assoluta di sicurezza, testimonia la presenza di una governance strutturata e periodicamente verificata da auditor esterni in tema di adozione di framework di sicurezza delle informazioni, processi di valutazione e gestione dei rischi IT e formazione del personale.

È bene comunque valutare la terza parte anche sulla corretta implementazione delle misure di sicurezza procedurali e tecnologiche, in particolare la gestione degli accessi logici e fisici, la gestione della sicurezza di sistemi e applicazioni, la protezione dei dati, la business continuity, la conduzione di vulnerability e security assessment periodici, il backup e la crittografia dei dati. In secondo luogo, è fondamentale stipulare contratti solidi e dettagliati che specifichino le responsabilità e le misure di sicurezza richieste alla terza parte, con clausole che regolamentano la disponibilità e i livelli di servizio (SLA), le modalità di protezione dei dati, le procedure da seguire e gli eventuali risarcimenti in caso di incidenti di sicurezza o data breach, la “exit strategy”, le modalità di restituzione e/o cancellazione dei dati a seguito di rescissione o al termine del contratto e il diritto di audit da parte della committente. Occorre inoltre creare una politica di gestione dei fornitori che definisca i criteri e le linee guida di sicurezza richiesti per tutte le terze parti coinvolte, e procedure per monitoraggio, valutazione e audit periodico delle terze parti. Infine, è importante formare e sensibilizzare i dipendenti sia della terza parte sia dell’azienda committente sui rischi IT e di sicurezza e su una corretta gestione e condivisione delle corrette procedure da seguire per prevenire situazioni anomale ed errori umani, e per riconoscere e segnalare tempestivamente potenziali problemi.

Leggi anche:  Akamai presenta le nuove funzionalità di App & API Protector

Sergio Insalaco Comitato Scientifico CLUSIT