CSQA ha partecipato alla stesura del libro "Supply Chain Security: i rischi della catena di fornitura" a cura della Clusit Community for Security.
Nello specifico, la supply chain relativa ai servizi ICT ha subito nel tempo profonde trasformazioni, passando da soluzioni gestite nei data center interni all’outsourcing e al cloud, interessando non solo la classica informatica di base ma anche l’automazione degli impianti con soluzioni OT (Operational Technology) e IoT (Internet of Things). L'esternalizzazione dei servizi ha inoltre avuto come conseguenza che sempre più fornitori accedono ai sistemi informatici dell'organizzazione cliente.
Il presente libro tratta i rischi relativi alla sicurezza della supply chain ICT.
Il termine supply chain sarà dunque normalmente riferito, in modo implicito, a quella ICT, pur estendendo talvolta la trattazione, più in generale, a quegli oggetti digitalizzati la cui sicurezza è fortemente correlata a quella dei loro fornitori.
In particolare, la Clusit Community for Security si propone con questa pubblicazione di fornire alcuni suggerimenti di taglio interfunzionale come:
Ampio spazio è inoltre dedicato alla trattazione delle principali normative dedicate a settori regolamentati, quale ad esempio la Direttiva NIS2, di recente pubblicazione, destinata alle organizzazioni private e alle pubbliche amministrazioni che operano nei servizi fondamentali e nelle infrastrutture critiche e ai loro fornitori.
La necessità di un’adeguata gestione dei rischi è dimostrata anche da molti casi di incidenti dovuti a errori, leggerezze e mancati controlli da parte dei subfornitori della supply chain, i cui impatti si sono propagati poi sino al cliente finale, con conseguenze anche gravi per il business.
Varie ricerche ed esempi rilevanti di incidenti di sicurezza vengono quindi inclusi, fornendo ulteriori utili spunti.
Dai dati del Rapporto Clusit 2021 sulla sicurezza ICT in Italia e nel mondo emerge un incremento di attacchi veicolati sfruttando vulnerabilità della supply chain, che consente ai criminali informatici di colpire tutti i soggetti in essa coinvolti (clienti, altri fornitori e soggetti terzi). Alcune dinamiche emergenti o recentemente consolidatesi in esso evidenziate sono:
PERCHÉ QUESTO LIBRO?
Purtroppo la crescente interconnessione tra le varie organizzazioni fa sì che la debolezza di un solo anello della catena permetta l’accesso ai dati e alle reti dei committenti e di tutta la filiera.
Diviene perciò fondamentale per il management comprendere come lo scenario descritto possa interessare la propria organizzazione e a quali rischi essa è esposta, considerando tutte le tipologie di servizi ICT interni o esternalizzati.
Lo scopo non è soltanto quello di aiutare i clienti a comprendere cosa chiedere ai propri fornitori ma anche quello di aiutare i fornitori a prepararsi a sostenere le possibili (e sempre più probabili) richieste dei propri clienti.
A beneficiare della lettura di questo libro saranno certamente i vertici delle organizzazioni (p.e. componenti dei CdA, CEO e CFO). Essi infatti giocano un ruolo fondamentale nella definizione delle strategie di sicurezza e di esternalizzazione, potranno sviluppare la consapevolezza sul tema e richiedere un adeguato monitoraggio della supply chain.
A CHI SI RIVOLGE?
Il libro sarà inoltre un'utile lettura per le altre figure con responsabilità più operative e di supporto al vertice. Ad esempio i risk manager, i CIO, i CISO, i DPO e, nell'ambito pubblico, i responsabili per la transizione al digitale, i responsabili degli acquisti, i project e product manager.
La lettura di questo libro non presuppone competenze pregresse approfondite: si assumerà per il lettore almeno una sensibilità verso i processi critici di un’organizzazione e un’attenzione a cosa è esternalizzato. (Fonte: https://supplychainsecurity.clusit.it)
SCARICA GRATUITAMENTE IL LIBRO SUPPLY CHAIN SECURITY