Nello specifico, la supply chain relativa ai servizi ICT ha subito nel tempo profonde trasformazioni, passando da soluzioni gestite nei data center interni all’outsourcing e al cloud, interessando non solo la classica informatica di base ma anche l’automazione degli impianti con soluzioni OT (Operational Technology) e IoT (Internet of Things). L'esternalizzazione dei servizi ha inoltre avuto come conseguenza che sempre più fornitori accedono ai sistemi informatici dell'organizzazione cliente.
Il presente libro tratta i rischi relativi alla sicurezza della supply chain ICT.
Il termine supply chain sarà dunque normalmente riferito, in modo implicito, a quella ICT, pur estendendo talvolta la trattazione, più in generale, a quegli oggetti digitalizzati la cui sicurezza è fortemente correlata a quella dei loro fornitori.
In particolare, la Clusit Community for Security si propone con questa pubblicazione di fornire alcuni suggerimenti di taglio interfunzionale come:
- approfondire quali rischi devono essere esaminati nella gestione della supply chain nei diversi contesti;
- esaminare come le criticità e le vulnerabilità della supply chain possano propagarsi;
- suggerire come intervenire presentando controlli per prevenire o almeno limitare la propagazione delle criticità;
- approfondire gli aspetti legali e contrattuali.
Ampio spazio è inoltre dedicato alla trattazione delle principali normative dedicate a settori regolamentati, quale ad esempio la Direttiva NIS2, di recente pubblicazione, destinata alle organizzazioni private e alle pubbliche amministrazioni che operano nei servizi fondamentali e nelle infrastrutture critiche e ai loro fornitori.
La necessità di un’adeguata gestione dei rischi è dimostrata anche da molti casi di incidenti dovuti a errori, leggerezze e mancati controlli da parte dei subfornitori della supply chain, i cui impatti si sono propagati poi sino al cliente finale, con conseguenze anche gravi per il business.
Varie ricerche ed esempi rilevanti di incidenti di sicurezza vengono quindi inclusi, fornendo ulteriori utili spunti.
PERCHÉ QUESTO LIBRO?
Dai dati del Rapporto Clusit 2021 sulla sicurezza ICT in Italia e nel mondo emerge un incremento di attacchi veicolati sfruttando vulnerabilità della supply chain, che consente ai criminali informatici di colpire tutti i soggetti in essa coinvolti (clienti, altri fornitori e soggetti terzi). Alcune dinamiche emergenti o recentemente consolidatesi in esso evidenziate sono:- incremento della superficie di attacco;
- mutamento delle strategie dei cybercriminali attraverso una semplificazione degli attacchi e un orientamento verso i soggetti deboli della supply chain;
- investimenti in sicurezza informatica disomogenei, con le grandi realtà che detengono strumenti, risorse e conoscenze, mentre le PMI, per mancanza di budget, scarsa formazione, consapevolezza e sensibilità, ne rimangono scarsamente dotate;
- permanenza di un problema culturale, dove microimprese e PMI ritengono erroneamente di non essere un bersaglio, dotandosi conseguentemente di un livello di sicurezza inadeguato al contesto attuale.
Diviene perciò fondamentale per il management comprendere come lo scenario descritto possa interessare la propria organizzazione e a quali rischi essa è esposta, considerando tutte le tipologie di servizi ICT interni o esternalizzati.
Lo scopo non è soltanto quello di aiutare i clienti a comprendere cosa chiedere ai propri fornitori ma anche quello di aiutare i fornitori a prepararsi a sostenere le possibili (e sempre più probabili) richieste dei propri clienti.
A CHI SI RIVOLGE?
A beneficiare della lettura di questo libro saranno certamente i vertici delle organizzazioni (p.e. componenti dei CdA, CEO e CFO). Essi infatti giocano un ruolo fondamentale nella definizione delle strategie di sicurezza e di esternalizzazione, potranno sviluppare la consapevolezza sul tema e richiedere un adeguato monitoraggio della supply chain.Il libro sarà inoltre un'utile lettura per le altre figure con responsabilità più operative e di supporto al vertice. Ad esempio i risk manager, i CIO, i CISO, i DPO e, nell'ambito pubblico, i responsabili per la transizione al digitale, i responsabili degli acquisti, i project e product manager.
La lettura di questo libro non presuppone competenze pregresse approfondite: si assumerà per il lettore almeno una sensibilità verso i processi critici di un’organizzazione e un’attenzione a cosa è esternalizzato. (Fonte: https://supplychainsecurity.clusit.it)