Non importa se le terze parti forniscano dati, tecnologia o servizi. Se le loro attività entrano in contatto con i dati personali dei clienti o dei dipendenti, il loro atteggiamento verso la sicurezza e la privacy avrà conseguenze dirette sulla sicurezza e il business dell’organizzazione che vi ricorre e ne determinerà la capacità di essere adeguata alle aspettative dei clienti e agli obblighi normativi. Il regolamento europeo GDPR sulla privacy rende ancora più urgente analizzare i rischi derivanti dalle terze parti e gli strumenti, tradizionalmente usati per selezionarle, insufficienti e inadeguati.
Il recente report Forrester, Manage Third-Party Risk To Achieve And Maintain GDPR Compliance, che di seguito sintetizzeremo, fornisce interessanti indicazioni sugli impatti del GDPR sulla tradizionale gestione del rischio delle terze parti e di come le imprese dovrebbero adattarla.
Data Privacy su tutta la catena del valore
L’urgenza di inserire la gestione del rischio che può derivare dalla collaborazione con terze parti con cui si condividono informazioni personali, già fra le principali preoccupazioni per i responsabili aziendali della Sicurezza e del Rischio (S&R), rientra fra le priorità, come evidenzia una survey di Forrester (condotta su 3.167 security decision maker di imprese con più di 20 dipendenti, figura 1).
L’approccio suggerito da Forrester è il modello architetturale Zero Trust, così indicato perché mette in guardia i responsabili S&R dai danni che possono derivare dall’eccesso di fiducia all’interno e all’esterno delle proprie organizzazioni. Questo approccio, consigliato ai team che gestiscono la sicurezza per disegnare le proprie reti in modo da garantire la sicurezza dei dati, prevede la riduzione del rischio attraverso l’uso di tecniche di mascheramento, la limitazione dei privilegi degli utenti, l’uso di analytics e il ricorso all’automazione per migliorare sensibilmente l’individuazione e la risposta alle minacce.
Poiché la regolamentazione GDPR si riferisce a tutto l’ecosistema, secondo Forrester, i responsabili R&S dovrebbero estendere l’approccio Zero Trust anche ai dati condivisi con le terze parti partendo da alcune assunzioni:
- Se la terza parte non è compliant anche l’impresa non lo è.
- Gli approcci tradizionali al rischio delle terze parti sono inadeguati.
- Molti contratti con le terze parti sono superati e non contengono i requisiti dettagliati sulla compliance alla nuova regolamentazione europea.
Una scarsa data privacy nella catena del valore ha effetti ben più gravi della sola mancanza di compliance: mette in discussione la resilienza del business nel suo complesso. Infatti, il partner potrebbe, ad esempio, usare i dati personali per scopi non previsti originariamente, non ottemperare al diritto all’oblio, non comunicare eventuali violazioni nei tempi previsti, diventare il tramite inconsapevole di attacchi alla rete aziendale.
Le conseguenze sarebbero drammatiche:
- danneggiare il brand;
- interrompere i processi di business;
- rischi anche fisici, come ha evidenziato il caso dell’attacco ai dati del sistema sanitario inglese che ha causato, fra l’altro, la cancellazione di migliaia di appuntamenti e operazioni e l’invio di ambulanze negli ospedali sbagliati.
Monitoraggio continuo sulle terze parti
Per allinearsi al GDPR, la maggior parte dei responsabili Security and Risk ha valutato l’idoneità delle terze parti attraverso sistemi tradizionali, mentre le aziende più avanzate hanno utilizzato approcci più innovativi. Lo sostiene Forrester che suggerisce anche alcune strategie chiave per definire un framework in grado di aumentare l’efficacia della valutazione:
- raffinare i requisiti nelle richieste di offerta (RFP) per centrare l’obiettivo delle capacità del partner in merito agli aspetti critici della privacy e della sicurezza;
- inserire nei contratti diritti di controllo più stringenti e clausole studiate esplicitamente per gli adempimenti GDPR;
- valutare la privacy e la sicurezza fin dall’inizio del processo di selezione del partner.
Strumenti per migliorare i framework di rischio per le terze parti
Forrester, basandosi sull’esperienza di aziende che, per essere pronte al GDPR, hanno completamente riorganizzato i programmi di gestione delle terze parti, indica alcuni approcci emergenti, di seguito riassunti.
- L’uso di soluzioni di due diligence per supportare la selezione dei partner che forniscono un livello avanzato di conoscenza, generalmente attraverso la raccolta e l’analisi di dati provenienti da più fonti. Queste soluzioni generano rapporti dettagliati in grado di fornire informazioni su redditività finanziaria, problemi normativi, indicatori di rischi non-finanziari capaci di fornire in anticipo indicazioni sui rischi.
- Incorporare la valutazione sul cyber-risk delle terze parti per focalizzarsi sull’impegno al miglioramento continuo. Se i responsabili del Security and Risk conoscono le vulnerabilità delle terze parti possono infatti aiutarle ad affrontarle e nel frattempo prepararsi a rispondere agli incidenti che potrebbero derivarne. Anche in questo caso sono utili soluzioni in grado di esaminare la rete dall’esterno e valutare la sicurezza di quella dei partner.
- Usare i tradizionali strumenti GRC (Governance, Risk management e Compliance) e le piattaforme di risk management come meccanismi di controllo real-time. Le certificazioni tradizionali forniscono solo una misura del posizionamento del partner in un certo momento. Sarebbe utile invece ottenere informazioni in tempo reale su come il partner opera per raggiungere certi standard o rispondere alle richieste dei clienti (ad esempio essere cancellati).
- Richiedere i dati dei partner per sottoporli a penetration test, un sistema che, simulando gli attacchi, aiuta a individuare e mitigare la vulnerabilità. Rappresenta inoltre la testimonianza della volontà di condivisione da parte del partner.
- Estendere la mappatura del data-flow all’intero ecosistema. Se davvero si vogliono proteggere i dati personali dei clienti e dei dipendenti, è necessario sapere dove sono i dati, chi vi accede, come si spostano dentro e fuori l’organizzazione.
Una valutazione più accurata dei partner
Le aziende dovrebbero stabilire la probabilità e l’entità delle sanzioni che potrebbero essere determinate dalle partnership e annullare i contratti con le terze parti che superano il limite di rischio tollerabile. A questa valutazione economica, andrebbe aggiunto anche il rischio che si può determinare per il brand.
Alla luce di quanto accaduto, Facebook, ad esempio, avrebbe probabilmente preferito aver intrapreso azioni più efficaci per protegge la privacy dei suoi clienti ed evitare le ricadute sul proprio brand nel caso Cambridge Analytica, che ha impropriamente utilizzato i dati privati di 50 milioni di utenti.
In conclusione, le aziende dovrebbero utilizzare tutti gli strumenti disponibili per tenersi lontane dai partner a rischio e potersi così assicurare entrate prevedibili e garantire il trust.
