La cyber security di un’azienda non dipende solo dall’adozione di tecniche avanzate per il rilevamento delle minacce e la protezione perimetrale. Se alcuni dati sono gestiti da fornitori terzi che si avvalgono di strumenti di protezione insufficienti, i sistemi informatici possono comunque risultare esposti.
L’ultima edizione del Data Breach Investigations Report 2024(DBIR), il rapporto annuale sulle violazioni informatiche stilato da Verizon Business, ha evidenziato che il 15% delle incursioni rilevate a livello globale ha coinvolto direttamente partner e fornitori.
Per questo motivo, è essenziale valutare attentamente la propria rete di vendor e partner terzi, considerando che una catena di fornitura debole può costituire l’elemento più vulnerabile e rappresentare, quindi, una potenziale “porta di ingresso” per i criminal hacker.
Indice degli argomenti
Fornitori vulnerabili: il rischio nascosto
Le grandi organizzazioni investono spesso ingenti somme per prevenire gli attacchi informatici, sforzi che però potrebbero risultare vani se le stesse non controllano che anche i fornitori adottino sistemi di protezione di prim’ordine.
Infatti, la rete di fornitura è costituita da un complesso network di aziende di piccole dimensioni che, spesso, potrebbero non prestare così tanta attenzione alla politica di sicurezza digitale anche a causa delle limitate risorse finanziarie.
Se non vengono implementate alcune pratiche per la cyber security, sono dunque queste ultime a rappresentare ulteriori rischi per le grandi aziende.
In questo contesto, sebbene dimensione e mezzi abbiano un ruolo significativo, vi è un altro fattore che entra in gioco: il settore in cui le società si trovano ad operare. Si pensi, all’ambito accademico nel quale istituzioni e altre strutture di ricerca, a volte, ospitano in loco dati di immenso valore – dalla tecnologia satellitare a quella nucleare, ad esempio – che possono avere implicazioni militari e di sicurezza nazionale.
Gli enti che costituiscono tale mondo potrebbero non soddisfare gli standard di sicurezza delle agenzie e dei dipartimenti governativi e, per questo motivo, diventano un bersaglio molto più attrattivo per i criminali informatici rispetto alle loro controparti governative.
Necessario scegliere accuratamente i propri partner
Da qui, si delinea un imperativo che le aziende di oggi non possono più ignorare: è necessario scegliere accuratamente i partner con cui si collabora, anche alla luce della stretta integrazione che avviene nella catena di fornitura digitale.
Per limitare le minacce provenienti da terzi, le imprese devono esaminare scrupolosamente i propri collaboratori effettuando una valutazione del rischio che includa diverse strategie – tra queste: la scansione automatizzata per identificare vulnerabilità, la ricerca nel deep e dark web per scoprire possibili connessioni con gli hacker e l’invio di un auditor in loco per rilevare eventuali debolezze e irregolarità.
Ciò, però, potrebbe non essere sufficiente considerando la complessità intrinseca del moderno ecosistema dei dati: spesso i partner selezionati si appoggiano a loro volta a servizi cloud e coinvolgono altri fornitori, creando una catena di responsabilità molto più ampia, articolata e difficile da controllare.
Ad esempio, se si utilizza una soluzione CRM, il rischio non è confinato al fornitore principale, poiché tali sistemi possono operare su infrastrutture cloud gestite da altri soggetti, ampliando così l’esposizione a nuove minacce.
Questo non significa che si debbano evitare piattaforme CRM o altre tecnologie cloud, ma piuttosto che l’azienda dovrebbe impegnarsi per ottenere una visione completa della propria esposizione legata ai fornitori di terzo livello e oltre.
Il ruolo dell’errore umano
In aggiunta alla gestione dei fornitori, è fondamentale anche includere l’errore umano quando si prende in esame la sicurezza dei dati, soprattutto quando si considerano i data breach.
A tal proposito, il DBIR 2024 ha registrato come la maggior parte delle intrusioni avvenute a livello globale (68%) è determinata da un’azione umana non intenzionale, ovvero generata da una persona che commette un errore o che cade vittima di un attacco di social engineering, come il phishing e il pretexing.
Inoltre, il DBIR rivela che il 49% delle violazioni nella regione EMEA ha avuto origine da cause interne. Gli errori, le intrusioni nei sistemi e le tecniche di social engineering sono le principali cause, che insieme determinano l’87% delle violazioni analizzate dallo studio.
Educare i propri dipendenti a riconoscere attacchi e minacce informatiche è una parte cruciale per minimizzare il pericolo di diventare obiettivo di attori esterni malevoli, ma tale consapevolezza e pratica dovrebbe essere estesa anche ai partner, poiché la sicurezza deve essere un obiettivo condiviso.
Buone prassi da mettere in pratica
Vi sono, tuttavia, alcune prassi che potrebbero essere messe in atto per facilitare il raggiungimento di tale scopo comune.
Tra queste, potrebbe infatti essere utile integrare un audit nel processo di selezione di partner e vendor: un passaggio prioritario per valutare la loro conformità agli standard di sicurezza informatica e per trasmettere l’importanza di queste misure.
Un’attività che non solo chiarisce i requisiti di cyber security, ma che può anche incoraggiare le aziende terze a un maggior rispetto degli obblighi contrattuali legati alla sicurezza, riducendo così gli incidenti causati dall’elemento umano.
Dunque, la protezione informatica deve essere una priorità tanto per le risorse interne quanto per i collaboratori esterni.
