Come ridurre i rischi provenienti non solo dall’interno, ma anche dalle terze parti | ZeroUno

Come ridurre i rischi provenienti non solo dall’interno, ma anche dalle terze parti

pittogramma Zerouno

Prospettive

Come ridurre i rischi provenienti non solo dall’interno, ma anche dalle terze parti

Oggi qualunque organizzazione è sempre più interconnessa con il conseguente un aumento dei flussi informativi e degli attori che entrano in gioco. Diventa dunque sempre più complesso governare la sicurezza, sono in campo strumenti e metodologie che aiutano a farlo, come ha evidenziato la tavola rotonda di seguito sintetizzata in occasione della presentazione dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano

01 Apr 2021

di Elisabetta Bevilacqua

La digitalizzazione porta con sé molte opportunità, ma amplifica al tempo stesso le minacce per la sicurezza che vanno sventate per garantire la continuità operativa, messa a rischio anche se uno solo dei soggetti dell’ecosistema viene bloccato.

La sicurezza va dunque garantita con una governance complessiva che coinvolga tutti gli attori, interni ed esterni all’azienda.

Quale approccio alla sicurezza in campo IoT

Particolarmente complessa risulta la governance in ambito IoT che deve agire su un network fatto da più attori: il fornitore che eroga il servizio all’utente finale (privato o azienda), i produttori delle componenti, gli sviluppatori dell’interfaccia utente, gli internet provider, i fornitori di connettività…

“All’interno di questa rete nella quale viaggia l’informazione che alimenta un ciclo continuo di rilevazione della stessa, si realizzano processi decisionali e azioni conseguenti – spiega Giulia Cabianca, Senior Advisor, Lutech Group – Risulta dunque importantissimo tutelarne la confidenzialità, l’integrità e la disponibilità a fronte dell’aumento di attacchi registrati”.

foto Giulia Cabianca
Giulia Cabianca, Senior Advisor, Lutech Group

Lutech applica alla verifica di compliance dei dispositivi IoT un approccio tipico dell’analisi del rischio che parte dalla comprensione del contesto di impiego, da cui deriva la scelta della metodologia e dell’analisi dei rischi più adatta. “È evidente che un contesto healthcare richiede un approccio diverso da un contesto automotive o uno del consumer, tipico degli assistenti domotici”, spiega. Si mappano successivamente gli attori coinvolti, per identificare le minacce interne ed esterne, nonché quelle derivanti dalla correlazione di più attori, con il successivo calcolo del rischio non solo per la sicurezza delle informazioni, ma anche per salute, ambiente, fiducia e reputazione sul mercato dell’azienda.

“Poiché la valutazione del rischio non deve considerare solo gli aspetti tecnologici ma anche le dimensioni gestionali, organizzative, manageriali e legali, coinvolte in un eventuale incidente di sicurezza, servono un approccio multidisciplinare e competenze trasversali” aggiunge Cabianca, ricordando che in ambito IoT non c’è purtroppo un corpus normativo unitario che regoli in maniera uniforme la materia. In molte giurisdizioni, in mancanza di istruzioni specifiche, si fa riferimento alle norme generali sulla sicurezza delle informazioni, mentre nel caso in cui vengano trattati dati personali viene in aiuto il GDPR con i requisiti di privacy by design e by default fin alla fase della progettazione dell’IoT.

Come garantire la sicurezza in una catena di fornitura

Luca Luigetti, Manager – Governance, Risk and Compliance Unit, Spike Reply, a partire dall’esperienza maturata, suggerisce l’approccio utile per verificare la sicurezza di una terza parte. Per strutturare il processo di assessment si può andare dagli estremi di gestione il più possibile standardizzata per rendere il processo scalabile anche per alti numeri o effettuare un’analisi dettagliata caso per caso. “La scelta più frequente è stata un trade off fra le due possibilità. Abbiamo definito una base line dettagliata per categoria o tipologia di fornitori da gestire a livello contrattuale e un’analisi focalizzata sugli aspetti di dettaglio di sicurezza critici per il singolo caso”, spiega Luigetti. Un altro aspetto critico è la scelta fra un processo supplier centric o se focalizzato sulle misure di sicurezza applicate a protezione dei dati in relazione al singolo servizio. Anche in questo caso il suggerimento è un trade off fra entrambi gli assessment: quello centrato sul fornitore nelle fasi di scouting e on-boarding e una successiva analisi focalizzata sul servizio per verificare le effettive misure implementate.

foto Luca Luigetti
Luca Luigetti, Manager – Governance, Risk and Compliance Unit, Spike Reply

Come risulta evidente l’attività di verifica della sicurezza per una terza parte è impegnativa, tanto più che non finisce al momento della scelta del fornitore ma deve proseguire durante l’intero ciclo di vita. Può essere allora utile integrare sistemi di mercato di vendor risk scoring che forniscono una valutazione della criticità della terza parte e offrono anche il bechmark sia a livello di vendor sia di settore industriale. “In fase di monitoraggio è utile identificare dei trigger che possono indicare eventuali criticità del fornitore e pilotare un re-check esponendo eventualmente check list degli assessment al fornitore”, suggerisce Luigetti, aggiungendo infine indicazioni per automatizzare il processo di analisi dei fornitori anche in ambito Cloud, con sistemi di security scanning per il mondo IaaS e PaaS.

Gruppo LUBE: monitoraggio gestione eventi e sistema di analisi delle potenziali minacce della sicurezza

Veniamo ora all’esperienza del Gruppo Lube, azienda specializzata nella produzione di cucine, che ha sviluppato un progetto Cyber Security per tutelare il patrimonio tecnologico, informativo ed intellettuale in concomitanza con lo sviluppo della digitalizzazione. “Innovazione e controllo della sicurezza vanno a braccetto – sottolinea Mirko Giardetti, Digital Innovation Manager del Gruppo che spiega – L’innovazione è consistita soprattutto nel cambiare il paradigma del lavoro quotidiano e fare quanto non eravamo abituati a fare: innovare andando a scardinare la quotidianità della risorsa umana per evitare lo stallo e sviluppare la creatività”. L’intelligenza artificiale è stata ad esempio utilizzata per l’analisi dei social e per ottimizzare campagne marketing andando così a superare le attività più ripetitive.

foto Mirko Giardetti
Mirko Giardetti, Mirko Giardetti, Digital Innovation Manager Gruppo Lube

In un contesto sempre più interconnesso diventa strategico mettere al sicuro i dati di valore come i prototipi di produzione, i listini prezzi, i dati finanziari e le informazioni relative alla squadra di volley proprietaria. Su questo versante Lube ha puntato soprattutto ad aumentare la consapevolezza dei rischi informatici e promosso la cultura della sicurezza in azienda orientando l’approccio alla cyber security. “Ci affidiamo anche ad algoritmi di AI, per l’analisi in tempo reale dei flussi informativi, senza che vengano percepiti da chi li utilizza”, aggiunge. Il Gruppo ha inoltre implementato da un paio di anni un rapporto stretto con un SOC, a valle dell’applicazione di appliance e analisi dei lock e dei dati. “Non può esistere innovazione senza sicurezza e sicurezza senza innovazione, anche se in una manifatturiera si è concentrati soprattutto sul business”, conclude.

Elisabetta Bevilacqua

Giornalista

Sono attiva dal 1989 nel giornalismo hi-tech, dopo esperienze in uffici studi di grandi gruppi e di formazione nel settore dell’informatica e, più recentemente, di supporto alle startup. Collaboro dal 1995 con ZeroUno e attualmente mi occupo soprattutto di trasformazione digitale e Industry 4.0, open innovation e collaborazione fra imprese e startup, smart city, sicurezza informatica, nuove competenze.

Articolo 1 di 4