Il rischio IT delle terze parti, le sue principali cause e le misure di mitigazione e controllo che possono essere adottate per ridurre al minimo l’impatto negativo sull’azienda
Negli ultimi anni, l’importanza delle terze parti e delle loro operazioni all’interno delle aziende è aumentata in modo significativo: un numero elevato e in continua crescita di realtà si affida a fornitori e partner esterni per delegare parte delle proprie operazioni IT o esternalizzare direttamente servizi di business o di supporto. L’utilizzo di terze parti presenta sicuramente dei vantaggi, ma anche dei rischi che, se non adeguatamente gestiti, possono minacciare significativamente la sicurezza delle informazioni e la reputazione delle organizzazioni. Il CLUSIT ha pubblicato un libro monografico sull’argomento, disponibile gratuitamente (Supply Chain Security – I rischi della catena di fornitura), a cui rimandiamo per qualsiasi approfondimento.
Le principali cause del rischio IT delle terze parti possono essere molteplici. Una delle più comuni è la mancanza di protezione dei dati e delle informazioni sensibili da parte delle terze parti. La scarsa sicurezza dei dati può essere dovuta a protocolli e procedure assenti o poco affidabili, alla mancanza di una cultura per la sicurezza o a un insufficiente rispetto per le normative e le best practice di settore. Inoltre, una carenza di controllo o di monitoraggio delle attività delle terze parti può rendere difficile identificare tempestivamente eventuali problemi o irregolarità.
Per mitigare e controllare il rischio IT delle terze parti, è fondamentale attuare una serie di misure preventive e di verifica. La prima è quella di scegliere attentamente le terze parti con cui lavorare, valutando la loro reputazione e le loro competenze anche in materia di sicurezza informatica e resilienza operativa. L’esibizione di certificazioni della terza parte (ad es. ISO/IEC 27001, SOC2) costituisce un titolo preferenziale che, pur non essendo una garanzia assoluta di sicurezza, testimonia la presenza di una governance strutturata e periodicamente verificata da auditor esterni in tema di adozione di framework di sicurezza delle informazioni, processi di valutazione e gestione dei rischi IT e formazione del personale.
È bene comunque valutare la terza parte anche sulla corretta implementazione delle misure di sicurezza procedurali e tecnologiche, in particolare la gestione degli accessi logici e fisici, la gestione della sicurezza di sistemi e applicazioni, la protezione dei dati, la business continuity, la conduzione di vulnerability e security assessment periodici, il backup e la crittografia dei dati. In secondo luogo, è fondamentale stipulare contratti solidi e dettagliati che specifichino le responsabilità e le misure di sicurezza richieste alla terza parte, con clausole che regolamentano la disponibilità e i livelli di servizio (SLA), le modalità di protezione dei dati, le procedure da seguire e gli eventuali risarcimenti in caso di incidenti di sicurezza o data breach, la “exit strategy”, le modalità di restituzione e/o cancellazione dei dati a seguito di rescissione o al termine del contratto e il diritto di audit da parte della committente. Occorre inoltre creare una politica di gestione dei fornitori che definisca i criteri e le linee guida di sicurezza richiesti per tutte le terze parti coinvolte, e procedure per monitoraggio, valutazione e audit periodico delle terze parti. Infine, è importante formare e sensibilizzare i dipendenti sia della terza parte sia dell’azienda committente sui rischi IT e di sicurezza e su una corretta gestione e condivisione delle corrette procedure da seguire per prevenire situazioni anomale ed errori umani, e per riconoscere e segnalare tempestivamente potenziali problemi.
Sergio Insalaco Comitato Scientifico CLUSIT
