Monitoraggio delle Terze Parti: cruciale per la sicurezza aziendale

di Bruno Cordioli - CEO di Muscope, una start-up di cybersecurity che ha sviluppato la piattaforma di analisi del rischio Muscope|Risk con l’obiettivo di fornire alle aziende gli strumenti necessari per comprendere e gestire i rischi cyber in modo efficace

In un mondo in cui la connettività definisce il successo aziendale, la gestione del rischio cibernetico delle terze parti (TPRM) è cruciale per la sicurezza e la resilienza aziendale. Le dipendenze crescenti dai fornitori e l’estensione del perimetro d’attacco dell’azienda sottolineano l’importanza di un adeguato programma di gestione delle terze parti. Investire in soluzioni di monitoraggio delle terze parti contribuisce significativamente a rafforzare la sicurezza complessiva, non solo dell’azienda stessa, ma dell’intero ecosistema aziendale a cui appartiene.

Nel contesto economico interconnesso di oggi, ogni azienda agisce non solo come entità autonoma, ma anche come terza parte per altri enti. Questa interdipendenza rende cruciale non solo la gestione, ma anche il miglioramento continuo delle proprie pratiche di sicurezza e di quelle dei propri fornitori. Il perimetro d’attacco naturale di un’azienda si amplia quando si stabiliscono collaborazioni con fornitori, partner e altri servizi esterni (perimetro di attacco esteso); poiché le terze parti possono avere standard di sicurezza diversi, l’azienda principale si espone a rischi incrementati. Il perimetro d’attacco comprende l’intero insieme di risorse associate a un’azienda che possono essere potenzialmente vulnerabili agli attacchi di malintenzionati. Questi attacchi possono avere come obiettivo il guadagno economico, la raccolta di informazioni sensibili o altre forme di vantaggio. Il perimetro include reti, dispositivi, software e altri asset digitali accessibili esternamente. 

Classificare le terze parti

Identificare e prioritizzare le terze parti basandosi sul rischio potenziale e sull’impatto aziendale è fondamentale. I criteri di valutazione includono l’impatto del fornitore sui servizi critici e l’accesso ai dati sensibili. Le terze parti possono essere classificate in livelli di criticità: critico, alto, medio e basso. Per un monitoraggio efficace, è essenziale centralizzare un inventario delle terze parti, dando priorità alle relazioni con quelle più a rischio. Le terze parti in questione possono essere sottoposte a domande specifiche a seconda della loro criticità, utilizzando dei questionari di compliance come il NIS2 e il DORA, che sono:

• standardizzati per garantire coerenza e facilitare il confronto tra le risposte delle diverse terze parti valutate. Questo può aiutare nell’analisi comparativa e nella creazione di report consolidati;

• diversificati per tipologia di percorso;

• riutilizzabili per formazione interna del personale;

• ripetuti nel tempo e aggiornati per tener conto delle nuove minacce, delle modifiche normative e delle migliori pratiche di sicurezza;

• mirati alla gestione degli asset informatici esterni all’azienda, alle politiche di accesso ai sistemi per le varie utenze e alla valutazione della consapevolezza degli utenti.

Monitoraggio continuo

Il monitoraggio delle terze parti mediante l’utilizzo di questionari di compliance standardizzati, diversificati e ripetuti nel tempo è fondamentale. Questi strumenti, mirati alla gestione degli asset informatici esterni, alle politiche di accesso ai sistemi e alla valutazione della consapevolezza degli utenti, contribuiscono a garantire coerenza, comparabilità e reportistica efficace. Affrontare il rischio cibernetico delle terze parti richiede un impegno continuo, una visione olistica e la collaborazione tra tutte le parti coinvolte. Le statistiche mostrano che oltre il 19% degli attacchi informatici è avvenuto a causa di un partner commerciale, evidenziando la necessità di una gestione attenta delle terze parti.

Cyber Risk Quantification (CRQ)

Il rischio cyber per un’azienda è la combinazione tra la probabilità che si verifichi un incidente informatico e l’entità del potenziale impatto, sia finanziario che reputazionale, sull’organizzazione. La Cyber Risk Quantification (CRQ) è un processo che sfrutta dati e metriche quantificabili per valutare i rischi informatici, consentendo alle organizzazioni di comprendere meglio l’impatto economico potenziale derivante da incidenti di sicurezza informatica. L’estensione della Cyber Risk Quantification al monitoraggio delle terze parti aggiunge un tassello fondamentale all’analisi dell’ecosistema aziendale. Questo approccio trasforma i dati in informazioni utili e facilmente comprensibili, migliorando la capacità delle organizzazioni di gestire i rischi associati alle loro relazioni con fornitori e partner esterni.

In sintesi

Le terze parti vanno gestite in tutti i tipi e dimensioni di aziende. Ai classici questionari qualitativi vanno affiancati strumenti quantitativi. L’analisi deve essere continuativa e iterativa. Il risultato deve essere condiviso, diventando un valore per la terza parte. L’analisi deve essere standardizzata. In definitiva, affrontare il rischio cibernetico delle terze parti richiede un impegno continuo, una visione olistica e la collaborazione tra tutte le parti coinvolte. Solo attraverso un approccio integrato e strategico possiamo proteggere efficacemente le nostre organizzazioni dall’evoluzione delle minacce cibernetiche esterne. Gli step cruciali sono: prioritizzazione in base al rischio, monitoraggio completo e continuo, misure di mitigazione e condivisione.