Valutare l’affidabilità del proprio ecosistema

La gestione, in azienda, del rischio in generale e, più in particolare, del rischio cyber, sono temi che devono essere affrontati da diverse prospettive. Per prima cosa, è fondamentale controllare i processi e le procedure interne alla propria azienda e alle infrastrutture che li supportano. In secondo luogo, è necessario considerare l’intera catena della supply chain, che coinvolge, in modo particolare, i fornitori.

La presenza, tra i fornitori, di realtà con problemi nell’ambito della sicurezza può innalzare il livello di rischio e compromettere il corretto andamento del business di un’impresa. Di conseguenza è fondamentale che il rischio cyber e la postura di sicurezza di queste aziende possano essere analizzati, controllati e verificati attraverso adeguati processi.

Per discutere su questi argomenti, Cybersel insieme a Soiel International ha organizzato una tavola rotonda.

Durante l’incontro, moderato da Paolo Morati, giornalista di Office Automation, aziende di differenti settori si sono confrontate tra loro.

Queste sono le tre domande che hanno fatto da spunto al dibattito:

1. Quali sono i trend che oggi caratterizzano le tematiche di cybersecurity e gestione del rischio all’interno delle aziende e come a suo parere si posiziona il rischio delle terze parti in tale scenario?

2. Quali sono le figure, e i reparti, che oggi trattano o sono toccati dalle tematiche del rischio delle terze parti e le sfide/complessità che ciascuna di esse deve affrontare, e quali sono le possibili conseguenze di un’interazione con realtà non sicure?

3.Quali sono a suo parere gli step fondamentali che caratterizzano un processo di qualifica di un fornitore e che tipo di strumenti e di dati sono richiesti e devono essere utilizzati e analizzati per portarlo avanti al meglio?

Fabrizio di Staso, Direttore Security Trenord, Senior Security Manager

Il tema della sicurezza, in rapporto ai fornitori e alla supply chain, è molto importante. Durante la pandemia, tuttavia, in alcune imprese l’attenzione su questo argomento si è affievolita, perché la situazione aveva reso complesso reperire gli elementi fondamentali per garantire i servizi.

Trenord ha fatto un lavoro straordinario, importante e utile, sulla parte di infrastruttura e di costruzione di fondamenta per gestire la politica della sicurezza delle informazioni, comprese quelle digitali. Ha svolto un lavoro capillare, creando capisaldi su cui lavorare anche in futuro.

Nel caso di aziende come Trenord, che erogano servizi pubblici, quando si parla di terze parti non ci si riferisce solo ai fornitori, ma anche ai gestori delle infrastrutture; nel nostro caso, i nostri treni viaggiano sia su infrastrutture RFI (Rete Ferroviaria Italiana) sia su infrastrutture Ferrovie Nord. Tutto questo crea ulteriori problemi in caso di blocchi o attacchi cyber.

Sono convinto che aziende come Trenord debbano costruire già nei capitolati d’appalto policy e prerogative per chi deve partecipare a concorsi pubblici. Oltre alle certificazioni, bisogna poter prevedere ‘audit’ su temi specifici e legati alla sicurezza dell’intera infrastruttura, per rendere le aziende come le nostre più sicure e creando, in chi opera in questi ambiti, più consapevolezza sulle competenze, sulla cultura necessaria in ambito tecnologico, di prodotto e normativo. Le procedure di controllo con strumenti già predefiniti dalle terze parti sono fondamentali, anche perché contribuiscono a creare una maggiore consapevolezza.

Nel nostro caso devono esistere coscienza e collaborazione continua con i gestori dell’infrastruttura ferroviaria e i fornitori di energia elettrica per costruire un percorso di sicurezza complementare alle varie attività svolte.

Una questione legata alla sicurezza informatica è anche quella di saper gestire eventuali data breach legati alla violazione di dati personali, all’interno dell’azienda o delle terze parti, per evitare problemi reali sull’erogazione del servizio. Su questo Trenord ha già da tempo implementato procedure adeguate e sta proseguendo un cammino virtuoso.

Alcuni dicono che ormai, in un caso su tre, l’identità digitale di un’azienda è compromessa, anche a causa dei social network. Necessario è informare i nostri dipendenti e collaboratori che, quando lavorano in smart working, devono avere la massima attenzione su come gestire gli strumenti aziendali in Reti non protette. Importante è la condivisione, ma talvolta non c’è molta attenzione su quello che è stato fatto e c’è poca efficacia. È attivo un percorso di informazione e di formazione per guidare e sviluppare comportamenti idonei per salvaguardare sicurezza e privacy.

Sicuramente dobbiamo sempre più potenziare, a monte del processo, attività che regolino i contratti, che ci consentano di svolgere controlli per tutta la durata del contratto e di ottenere informazioni dal fornitore in caso di data breach o di attacchi cyber sulla supply chain. Serve la responsabilizzazione dei referenti di quei contratti. Chi ha centinaia di fornitori non può contare solo su un team specializzato in grado di fare tutto questo.

Uno studio del World Economic Forum afferma che, entro il 2030, nove lavori su dieci richiederanno competenze digitali avanzate. Quindi, come azienda, dobbiamo approfondire un po’ di più la formazione del nostro personale. Dobbiamo innalzare il livello dei nostri collaboratori anche da un punto di vista della formazione digitale e della sicurezza digitale, soprattutto alla luce delle nuove direttive, come la NIS 2 che elimina la distinzione tra fornitori di servizi essenziali e servizi digitali. Sarebbe necessario anche un coordinamento reale tra gli Stati europei e le politiche europee sulla cyber security, nonché una vera forma di condivisione delle politiche tra Pubblica Amministrazione e le aziende che sono identificate come infrastrutture critiche a livello nazionale.

Franco Cerutti, IT Operation Director in Costa Crociere/Carnival Corporation

In materia di sicurezza, ho avuto diversi tipi di esperienza. Come responsabile IT security director in Costa Crociere, ruolo che ho ricoperto in passato, ho constatato che c’è sempre stata molta attenzione nel monitorare i processi e nell’individuare le attività anomale in quanto era svolto dai fornitori.

Il controllo in Costa è sempre stato a livelli alti; relativamente a questo aspetto le terze parti si sono sempre uniformate; le nuove società che interagiscono con noi pian piano si adeguano e fanno proprie le policy e i comportamenti che adottiamo internamente per i nostri impiegati.

Diverso invece, è l’approccio alla sicurezza in ambito OT, quello delle piattaforme navi. Qui i fornitori, dal punto di vista della sicurezza, sono più indietro rispetto all’IT. Lo sforzo di Carnival Corporation, e di Costa Crociere, è stato quello di ridurre questo gap, sensibilizzando le società sull’argomento security e adottando misure di ‘mitigation’ laddove i sistemi fossero non-compliant e difficilmente sostituibili. Le aziende più grandi si sono adeguate senza difficoltà, ma le più piccole hanno fatto più fatica. A volte, utilizzando dispositivi vecchi di 10 anni, era facile avere uno scollamento tra il sistema informatico e l’apparecchiatura da gestire. Cambiare sistema operativo può significare, a volte, intervenire sull’apparecchiatura e con costi difficilmente sostenibili.

Quando una terza parte inizia a lavorare con noi le chiediamo prima di tutto di aderire alle nostre policy; fondamentale, quando svolgono attività che richiedono l’accesso da remoto, è che i nostri partner siano il più possibile compliance a queste.

La consapevolezza sulla security e sulle procedure da svolgere è indispensabile sia nei dipendenti sia nei fornitori. Per molto tempo, a bordo delle navi, non c’è mai stato l’accesso da remoto. Si saliva a bordo, con una chiavetta USB, e si installavano le applicazioni direttamente sul sistema di bordo. Se per sbadataggine, o per un uso non corretto dei dispositivi, sulla chiavetta si annidava un virus, si potevano causare problemi in sistemi molto importanti. Una delle prime cose che abbiamo fatto è stato obbligare il bordo all’ispezione di tutti i dispositivi usati per le installazioni. Questa prassi è ancora in atto oggi che c’è molta remotizzazione: le verifiche coinvolgono ora anche le connessioni da remoto verso la nave.

Tornando al tema dell’IT, in tutte le aziende c’è spesso molta formalità, ma poca efficacia. Mancano ancora strumenti che, oltre a darci il feedback generale della società con cui interagiamo, siano in grado di farci capire se la società sta mettendo davvero in pratica strategie di sicurezza valide e se sta accrescendo la consapevolezza nei propri dipendenti.

Molto spesso, anche nelle società più grandi, l’awareness resta ancora purtroppo una formalità. Per esempio, l’attestazione dell’aver acquisito competenze di sicurezza si limita al disporre di un documento siglato che certifica la frequenza a un corso, ma tutto finisce lì. In Costa Crociere questa mentalità è stata superata da tempo. Nella nostra compagnia è sempre presente una fase iniziale di controllo del fornitore, anche per via della legge Sarbanes Oxley che, come società americana, dobbiamo rispettare. In caso di problemi riguardanti la sicurezza e la privacy si interviene per fare verifiche e correggere le azioni scorrette.

I controlli sono gestiti dall’area security che utilizza tool e report, che sono standard per tutte le società del Gruppo Carnival. Le attività di controllo e monitoraggio sono comunque svolte localmente e decise dal responsabile alla sicurezza. Carnival dà solo indicazioni a livello globale. E in Costa la collaborazione tra la parte IT e la parte legal è molto stretta.

Anche per noi è importante trattare le terze parti non solo come fornitori, ma come partner. Un conto è iniziare un’azienda alle nostre policy, un altro è renderla partecipe degli obiettivi da raggiungere e delle modalità da seguire. Con i fornitori più importanti abbiamo instaurato da anni una relazione che ci permette di condividere un rapporto professionale basato sulla cooperazione.

Raffaele Martucci Zecca, Responsabile Controllo Interno di Leroy Merlin Italia

Leroy Merlin nasce nel 1996 come player della grande distribuzione, con un orientamento retail classico. Nel tempo, da distributore puro siamo diventati un’impresa omnicanale e quindi un’azienda piattaforma. Oggi ci definiamo ‘azienda piattaforma’ perchè ci identifichiamo in un network che coinvolge fornitori e partner, con cui condividiamo strategie, obiettivi e fattori di rischio. In questa organizzazione, il rischio cyber è passato dall’essere collegato al solo uso di strumenti interni a una dimensione più estesa, legata alle vendite via web. La cyber security è costantemente presente.

Siamo fortemente esposti al rischio; da un rischio molto alto siamo passati a un rischio alto, grazie ad attività di controllo interno, ai sistemi di protezione, al potenziamento degli aspetti culturali che ci hanno permesso di migliorare.

Aggiorniamo il nostro risk mapping ogni due anni; il top management ha compreso che anche un’impresa come la nostra può essere impattata da fattori di rischio ed è molto coinvolto.

Il nostro top management è sempre stato più propenso, negli anni, a sviluppare una strategia di attacco nei confronti dei fattori di rischio; ora mantiene anche un approccio difensivo.

In rapporto al rischio delle terze parti, emerge che c’è una forte interconnessione tra strategia e rischi anche perché il concetto base è che, nel momento in cui ci interfacciamo con un partner, i sistemi diventano interconnessi e così pure i fattori di rischio.

In un’azienda piattaforma, i partner sono molti, ma non tutti sono trattati allo stesso modo. Più i processi condivisi sono strategici, più è elevata l’esposizione al rischio. In ambito supply chain, per esempio, area vitale sia per avere i prodotti disponibili nei nostri punti vendita sia per raggiungere i clienti a casa, tramite e-commerce, è fondamentale che ogni partner con cui ci interfacciamo abbia una valutazione del rischio terze parti cyber dettagliata.

Tutte le figure e i reparti della nostra azienda sono toccati dal rischio cyber. Non può essere una battaglia solo del team cyber security, del team di compliance, del comitato di sicurezza informatica. Per questo stiamo condividendo con tutti i nostri collaboratori la strategia di cybersecurity. Proprio perché l’azienda sta sviluppando una strategia piattaforma, con una complessità di processi e di struttura organizzativa che coinvolge anche i partner, l’elemento di condivisione del rischio è fondamentale.

Se dovessi dare un’indicazione su reparti e figure professionali che più trattano il tema cybersecurity e il rischio delle terze parti, ribadisco che il concetto, su cui stiamo lavorando, è quello di far sentire tutti i collaboratori di Leroy Merlin attori protagonisti della difesa dai rischi cyber. Per questo creiamo campagne di awareness strutturate in gamification. Abbiamo indetto una sorta di ‘gara’ in ambito security, vinta da chi clicca il minor numero di e-mail malevole. In modo casuale sono inviate finte e-mail trappola; se il collaboratore clicca su una di esse, riceverà in seguito un messaggio in cui gli si dice: “Questo era un gioco, ma avresti potuto minare tutta la sicurezza dell’infrastruttura dell’azienda”. Dopodiché, all’interno del comitato di sicurezza informatica, analizziamo i risultati per capire quale piano d’azione strutturare.

Abbiamo ancora un click rate alto su alcune tipologie di e-mail trappola. Vi sono ancora collaboratori che aprono e-mail con la scritta ‘Clicca qui per avere vantaggi dipendenti’. L’aspetto formativo e l’uso della gamification aiutano a capire in modo concreto il rischio cyber.

Più il processo è strategico e condiviso con una terza parte, più il rischio cyber della terza parte è impattante. Per questo, nella selezione di un partner, valutiamo e quantifichiamo i rischi prima di instaurare la collaborazione. Questo processo ci permette di controllare i requisiti finanziari, normativi ed etici e il livello di sicurezza. Se il partner ha le caratteristiche giuste, parte il monitoraggio che continuerà per tutto il rapporto con il fornitore.

Marco Volpi, Head of ICT Risks (BNL RISK ORM ICT)

In BNL BNP Paribas coordino il Centro di Competenze ICT Risk nell’ambito della funzione rischi. Oggi la cybersecurity è rilevante per qualsiasi azienda, specialmente per una banca. Come BNL adottiamo posture cyber e strategie di resilienza operativa per prevenire, gestire, monitorare e apprendere dagli eventi di cybercriminalità.

Implementare un modello standard e metodologie efficaci è fondamentale in un contesto in cui il ricorso alle specializzazioni esterne all’azienda deve garantire che livello di resilienza richiesto e necessario sia mantenuto. La strategia cybersecurity deve quindi contenere indicazioni che interessino sia l’azienda sia i suoi fornitori. Tutti i team devono essere parte integrante del dispositivo di resilienza; potremmo dire, infatti, che esiste sia una prima linea di difesa, costituita dalle funzioni IT e security, sia una seconda linea di difesa composta invece dalle funzioni rischi, compliance, legale e finance.

Ogni team deve affrontare una sfida, determinata dalla continua evoluzione delle tecniche e degli strumenti utilizzati, oggi sempre più sofisticati, per creare attacchi di natura cyber.

Ignorare le dinamiche evolutive, nell’area della sicurezza, significa mettere a serio rischio la capacità delle nostre aziende di agire correttamente e in modo efficace.

BNL fa parte del Gruppo BNP Paribas e, all’interno di questo contesto, si parla sempre più di ‘Operational Resilience’. La domanda-tema non è “Se avverrà” un evento, ma “Quando”.

La complessità del lavoro che stiamo portando avanti, ci permette di poter affrontare questo tipo di scenari, riducendo al minimo gli impatti verso i nostri clienti, mantenendo la continuità operativa su tutti i servizi vitali e core business.

In questo scenario, il ruolo di un fornitore terzo è strategico. La reputazione di un fornitore è importante anche dal punto di vista della sicurezza. Il tema del monitoraggio è fondamentale. Il processo di qualifica del fornitore deve essere caratterizzato da elementi che ne garantiscano il rispetto. Cybersecurity Posture, DoA (Denial of Access), NIST (National Institute of Standards and Technology) sono elementi di cui si parla sempre più nel contesto della sicurezza che devono essere preliminarmente valutati all’interno di specifici comitati infragruppo, così da poter identificare i principali elementi di rischio legati a ciascun fornitore e alla sua rilevanza in rapporto alla nostra azienda.

In ambito ICT Risk, realizziamo missioni di Indipendent Testing, finalizzate ad analizzare la postura cyber e il rischio inerente direttamente collegato a specifici gruppi di fornitori strategici. Essendo una banca, il tema del monitoraggio dei fornitori è estremamente importante, per questa ragione la esprimiamo anche all’interno del nostro Risk Appetite Framework (RAF, ovvero lo schema generale che definisce la propensione al rischio, le soglie di tolleranza, i limiti di rischio nonché i principali processi necessari per definirli e implementarli).

Grazie a questa modalità organizzativa, le eventuali segnalazioni di criticità arrivano fino al Consiglio d’Amministrazione. In questa sede, proprio per la criticità dell’argomento, sono discussi e, se necessario, definiti, specifici piani d’azione per risolvere le problematiche rilevate.

L’opinione di Cybersel

Mauro Lisa, Responsabile Business Development e Tecnologie di Cybersel

Cybersecurity e gestione del rischio nelle aziende sono temi complessi perché ogni giorno le imprese devono affrontare una grande quantità di fornitori, differenti per caratteristiche e tipologie merceologiche. In questo scenario, non sempre l’invio a un fornitore di un questionario generico di valutazione del rischio è la scelta migliore perché spesso contiene domande non attinenti al suo business. Di conseguenza è importante valutare il rischio considerando le caratteristiche specifiche di ciascun fornitore, quali l’uso di servizi cloud o non cloud e la presenza di servizi infrastrutturali critici. Dopo aver considerato questi aspetti si può procedere con valutazioni specifiche. Un indicatore del rischio cyber molto diffuso, reso disponibile da Cybersel è, per esempio, Bitsight. Esistono anche tool che aiutano a implementare in modo corretto un flusso procedurale per l’analisi delle terze parti. L’obiettivo è rendere efficiente ed efficace l’attività di valutazione, determinando con facilità i livelli di rischio potenziali di un fornitore e comprendendo come procedere. Disporre di strumenti adeguati per valutare i processi è fondamentale perché le normative imporranno sempre più la valutazione dei fornitori. A tutto questo è importante aggiungere figure aziendali adeguate, in grado di valutare i rischi relativi alle terze parti.

Anche l’area legal deve essere coinvolta, sia in rapporto agli aspetti legali correlati alla difesa reputazionale, alla GDPR, agli impatti di un incidente di sicurezza, sia in relazione alla stesura corretta dei contratti con i propri fornitori perché siano consapevoli dell’essere monitorati, controllati, valutati nella loro postura di sicurezza. L’analisi del rischio può andare oltre, considerando aspetti finanziari, socio-politici ed economici. L’aspetto legale, accanto a quello tecnico, è fondamentale nei contratti, perché i fornitori devono essere consapevoli che qualcuno controllerà la loro postura di sicurezza e che potranno ricevere messaggi del tipo: “Vi informiamo che vi controlleremo per capire se la vostra postura di sicurezza è adeguata, se così non fosse potremmo procedere con la cancellazione del contratto”.

Altrettanto fondamentale è anche il coinvolgimento delle persone. Un ulteriore elemento, spesso trascurato, è quello dell’engagement. Si parla di monitoraggio, di valutazione, ma non di coinvolgimento del fornitore che invece, in rapporto alla sicurezza, è molto importante. Quando portiamo a bordo un fornitore cerchiamo di scegliere chi, da un punto di vista cyber o tecnico è più consapevole in rapporto alla possibilità di essere colpito o di danneggiare l’azienda cliente. Cybersel rende disponibili servizi di gestione del rischio delle terze parti in modalità SaaS. Quando parliamo di SaaS, a volte troviamo ostacoli nel confrontarci con aziende preoccupate dell’essere compliance. Tra le soluzioni che Cybersel utilizza, nel monitoraggio della cyber security, rientra, oltre a Bitsight, anche ProcessUnity, per gestire l’intero ciclo di vita dei rischi delle terze parti, dall’on boarding all’assessment. Le due soluzioni possono integrarsi tra loro. Molto importante, per un’azienda, è puntare su una realtà che renda disponibili servizi a 360°, per coprire ogni problematica in ambito cyber security e gestione del rischio.