L’idea che nascondere i dettagli e il funzionamento di un sistema rappresenti il modo migliore per aumentarne la sicurezza (approccio definito “security through obscurity”, ovvero sicurezza tramite segretezza) è stata ormai ampiamente screditata. Lo stesso National Institute of Standards and Technology (NIST) statunitense afferma che “la sicurezza dei sistemi non dovrebbe dipendere dalla segretezza dell’implementazione o delle sue componenti”.
Le informazioni sulle pratiche di sicurezza di un fornitore tecnologico sono un aspetto centrale della valutazione del rischio associato ai fornitori, che esamina l’impatto potenziale che i dispositivi di quel dato produttore possono avere sulla rete dei clienti e sui sistemi collegati e consente di stabilire se il vendor dispone di misure adeguate a mitigare i rischi.
Per questo, i clienti chiedono una visibilità completa su ogni aspetto dell’approccio di un fornitore nel garantire la sicurezza ottimale del prodotto e nel mantenerla durante l’intero ciclo di vita dello stesso.
Occorre, dunque, accogliere questa richiesta di trasparenza in quanto essenziale per determinare se l’offerta di un’azienda sia davvero in grado di supportare la postura di sicurezza di un cliente e per costruire fiducia tra fornitori, partner e clienti.
In questo contesto, gli standard e le certificazioni di settore possono rappresentare un’utile testimonianza dell’impegno di un’organizzazione nei confronti della cyber security. Chiaramente, laddove tali certificazioni sono richieste per legge, i fornitori sono tenuti a dimostrare la loro conformità.
Tuttavia, sebbene le certificazioni e gli standard abbiano un indiscusso valore, dovrebbero essere considerati come un punto di partenza e non come un traguardo, e come riconoscimenti complementari alle più ampie attività di cyber security di un’azienda.
Indice degli argomenti
Sicurezza e resilienza: due facce della stessa medaglia
In particolare, due direttive attualmente sotto i riflettori sono la NIS2 e la CER che si focalizzano sul concetto di resilienza delle entità critiche e stanno cambiando radicalmente il modo in cui il settore pubblico e privato pensano alla sicurezza e alle strategie di business continuity.
Ogni realtà nel proprio ambito di applicazione deve analizzare il suo processo di valutazione del rischio, assicurandosi che le conseguenti modalità d’azione corrispondano. E deve farlo immediatamente. Infatti, se da un lato lo scorso 17 ottobre rappresentava la data ultima per i singoli Stati membri per recepire la NIS2, dall’altro la Commissione Europea ha fissato a luglio 2026 il limite massimo per i paesi dell’Unione per identificare e comunicare la propria lista di entità critiche.
Nonostante quest’ultima sembri ancora una scadenza lontana, bisogna considerare che le misure necessarie dovranno essere messe in atto ben prima di quella data.
Di conseguenza, proprio come ogni nuovo dispositivo introdotto in un’azienda “critica” deve essere allineato con la NIS2, tutti i progetti, gli aggiornamenti e i cambiamenti dell’infrastruttura dovranno ora porre la continuità aziendale in cima all’elenco delle priorità.
Saranno, dunque, imprescindibili le valutazioni dei rischi per ogni processo critico, compresi quelli che fanno parte dell’infrastruttura già esistente. In questo modo si delineerà un nuovo modo di pensare alla cybersecurity, ai rischi e alla loro supervisione.
Alla prova della trasparenza
Quando si esaminano i fornitori in merito alla cyber security, ci sono alcune pratiche che dimostrano chiaramente l’impegno alla trasparenza nello sviluppo dei prodotti e dei software con attenzione all’intero ciclo dei prodotti, tra cui:
- Condividere con i clienti le informazioni sulle attività intraprese e le misure di sicurezza adottate durante tutto l’arco di vita del prodotto, comprese le modalità di protezione dell’intera supply chain del fornitore. Inoltre, è importante offrire a clienti e partner aggiornamenti regolari sulla postura di sicurezza dell’azienda.
- Rendere pubbliche politiche e pratiche di sicurezza sia per lo sviluppo del prodotto sia per l’approccio del fornitore alla sicurezza interna dell’azienda.
- Effettuare regolarmente valutazioni e audit indipendenti per favorire l’identificazione e la risoluzione di potenziali punti deboli delle difese informatiche.
- Segnalare con trasparenza gli incidenti di sicurezza che si verificano, sia per quanto riguarda l’organizzazione del fornitore sia per i suoi prodotti. Inoltre, è opportuno che i fornitori dispongano di una chiara politica di gestione delle vulnerabilità.
- Incoraggiare attivamente clienti e ricercatori a comunicare le potenziali vulnerabilità di sicurezza scoperte per permettere all’azienda di individuare e correggere le criticità prima che possano essere sfruttate dagli hacker.
Conclusioni
In ultima analisi, ogni fornitore dovrebbe impegnarsi a fare tutto il possibile per offrire prodotti che soddisfino i requisiti di cyber security dei clienti.
Le certificazioni e gli standard sono solo una parte di questo processo, di cui la trasparenza costituisce una componente essenziale.
La pubblicazione di pratiche e policy, le regolari valutazioni e verifiche di sicurezza indipendenti e la divulgazione degli incidenti sono i metodi più efficaci per creare fiducia e sottolineare l’impegno nella protezione dei dati e nella fornitura di prodotti con un solido approccio alla cyber security.
