ULTIME NEWS: Gyala riconosciuta Sample Vendor nel documento “Emerging Tech: AI in CPS Security” di Gartner Leggi

Gestione dei Rischi Cybersecurity di Terze Parti

La cybersecurity deve guardare al di fuori del perimetro dell’azienda.

Il TPRM ovvero il Third Party Risk Management è il processo che un’organizzazione implementa per gestire i rischi derivanti da rapporti commerciali e tecnici con terze parti integrate nel proprio ambiente e con la propria infrastruttura IT e/o OT. 

Il TPRM come processo Include: 

  • Cybersecurity Risk 
  • Operational Risk 
  • Financial Risk 
  • Strategic Risk 
  • Compliance Risk 
  • Geopolitical Risk 

Tradizionalmente il TPRM è sotto la responsabilità del Risk & Compliance Team, che – tra le altre responsabilità nella gestione delle terze parti – ha quella della raccolta di informazioni dalle terze parti, la valutazione della loro capacità di gestire la conformità, la definizione delle priorità dei rischi, la supervisione di aspetti legali – come, ad esempio, gli SLA per mitigare eventuali rischi legali per l’organizzazione. 

Guardando però alla gestione della verticale della cybersecurity, in molti casi la responsabilità del TPCRM (Third Party Cyber Risk Management) ricade sotto la direzione IT, che dispone di competenze tecnologiche specifiche.  

Poca attenzione dedicata alla gestione dei rischi cyber provenienti da terze parti

In un suo recente studio, Gartner ha riportato un dato interessante (sintesi di report con dati provenienti da interviste): 

“Il 75% dei Cybersecurity Leader riferisce di dedicare più tempo alle attività relative alla gestione della sicurezza informatica di terze parti (TPCRM) rispetto al 2021, ma gli incidenti di sicurezza informatica di terze parti che hanno provocato interruzioni dell’attività sono aumentati di quasi la metà (45%)”  

L’attenzione dedicata alla gestione dei rischi cyber di terze parti è quindi aumentata ma, nonostante gli investimenti record in ambito sicurezza, è rimasta residuale, di contro, la frequenza degli incidenti di sicurezza causati da terze parti, è aumentata drasticamente.  

Questa discrepanza evidenzia il problema presente in molti programmi TPCRM: L’assenza di un focus reale su un’esauriente due diligence e la mancata predisposizione di un ulteriore layer di difesa che sia dedicato a questa attività. 

La suscettibilità agli attacchi varia in base al settore

Inoltre, i profili di rischio cyber possono essere diversi per ogni organizzazione, poiché la suscettibilità agli attacchi varia in base al settore, alle dimensioni, alla strategicità e ad altre caratteristiche aziendali; e, quando si tratta di comprendere la portata del rischio derivante dalle terze parti, è necessario considerare e gestire la comunicazione a livelli diversi. Questo perché ogni figura aziendale attribuisce un diverso livello di valore a un piano di TPCRM. 

Per i CEO il valore di un piano di TPCRM è centrato sulla protezione della reputazione e dei profitti dell’azienda; per i CISO il valore intrinseco è nell’allargamento del perimetro di sicurezza della infrastruttura; per il team Legal il TPCRM è essenziale come supporto all’azienda per far rispettare le varie norme che – come, per esempio, il GDPR- impongono requisiti rigorosi sulla protezione dei dati. 

Come appare chiaro il tema non ha un’unica lettura. 

Alcune best practice per una gestione ottimizzata del TPCRM

  • Censimento: mappare quali fornitori terzi hanno accesso alle risorse aziendali, dando sempre attenzione a chi ha accesso a cosa, per quale motivo e cosa è in grado di raggiungere. Di seguito alcuni esempi di dati d cui tener conto: 
  1. Quale fornitore ha accesso, quando, come e per quale motivo. 
  2. L’accesso è contingentato, controllato e non permette visioni laterali? 
  3. L’accesso permette alla terza parte di avere accesso a risorse critiche (ad esempio dati, reti, sistemi, processi aziendali)? 
  4. La terza parte può dare i suoi servizi in outsourcing?  
  • Collaborazione tra gli Stakeholder: IT, Security Manager, Legali e Management devono collaborare nella preparazione dei piani di sicurezza congiunti. 

Troppo spesso il management aziendale, malgrado i suggerimenti del Security Risk Manager, “accetta” dei rischi che dovrebbero, invece, essere esclusi dalla zona di tolleranza.   

Questo avviene, purtroppo, per una comunicazione divergente tra i settori che, a volte, non dà la corretta rilevanza ai rischi in un’ottica business, relegandoli ad un fattore strettamente collegato al cyber risk inteso come “attacco”.  
È necessario promuovere la responsabilità del management riguardo alle decisioni, non solo comunicando il rischio in modo che arrivi al destinatario come un oggetto chiave in termini aziendali, ma anche implementando un meccanismo per l’accettazione del rischio da parte di un comitato direttivo e un monitoraggio continuo sulle variazioni contrattuali delle terze parti che potrebbero modificare gli accordi senza che il settore tecnico ne sia a conoscenza. 

  • Collaborare in modo proattivo con le terze parti  

Le interazioni con terze parti spesso si concentrano solo su valutazione del rischio sporadiche o reattive.  
La squadra di SRM dovrebbe adottare, invece, un approccio proattivo, collaborando continuamente con le terze parti per sviluppare pratiche di gestione del rischio sempre più mature e coerenti con l’azienda. Questo non solo migliora la comprensione reciproca delle minacce, ma aumenta anche la fiducia tra le parti.   

  • Monitoraggio e protezione aggiuntiva 

Il monitoraggio delle terze parti da solo non è sufficiente per mitigare i rischi effettivi. Oltre alla condivisione contrattuale sulle best practice della sicurezza congiunta, è necessario inserire un layer di protezione e monitoraggio all’interno della azienda, che abbia l’obiettivo di identificare e mitigare specificamente i punti di accesso che potrebbero essere utilizzati per compromettere la sicurezza aziendale.  
Questo punto è cruciale. Bisogna sempre ricordare infatti che, malgrado venga fatto un lavoro a monte di best practice, le attività sono affidate alle persone e, ad esempio, un tecnico che arriva in azienda con una chiavetta USB per l’aggiornamento di un sistema, è e resta sempre un pericolo. 

  • Preparare i piani di emergenza  

A fronte di un attacco le organizzazioni terze, a volte, non si sentono coinvolte. Questo rallenta drasticamente la soluzione del problema.  
Sviluppare e implementare piani di emergenza formali che coinvolgano tutte le funzioni aziendali pertinenti, non solo la sicurezza informatica, è sicuramente un ottimo punto di partenza. La creazione condivisa con le terze parti dei playbook di risposta agli incidenti può essere un elemento vincente per la risposta coordinata agli incidenti. 

Conclusioni

Per affrontare efficacemente i crescenti rischi legati alla sicurezza informatica delle terze parti, i SRM devono adottare un approccio olistico che va oltre la due diligence precontrattuale.  

Promuovendo la responsabilità del management, collaborando proattivamente con le terze parti, monitorando attentamente le attività e preparando piani di emergenza efficienti, efficaci e condivisi. Queste azioni non solo rafforzano la sicurezza informatica, ma migliorano anche la resilienza aziendale complessiva.