Che cos'è
La strategia nazionale per la cybersicurezza e le norme ISO, riconoscendo la crescente complessità e la diffusione delle tecnologie digitali, prevedono la
verifica della sicurezza informatica lungo tutta la catena di approvvigionamento dei prodotti e dei servizi TIC (Tecnologie dell’Informazione e della Comunicazione).
Questi ambiti, essendo essenziali per il funzionamento delle infrastrutture critiche e per la protezione dei dati sensibili, necessitano di un
monitoraggio continuo e di un’accurata gestione dei rischi legati alla cybersicurezza.
Pertanto, per rispondere alle esigenze normative e per raggiungere gli obiettivi di sicurezza e resilienza in modo adeguato, è
fondamentale definire con chiarezza il perimetro dei fornitori sui quali avviare l’attività di
monitoraggio.
Questo processo deve essere impostato in modo strategico, in modo da
identificare i fornitori più critici e garantire che siano rispettati i requisiti di sicurezza.
Solo attraverso una selezione accurata dei fornitori e un
sistema di monitoraggio efficace, che tenga conto delle specificità del contesto, delle normative di riferimento e degli standard internazionali,
è possibile minimizzare i rischi e migliorare la protezione delle infrastrutture aziendali e dei dati trattati.
La creazione di un perimetro definito consente inoltre di integrare in modo efficace la gestione della cybersicurezza nel più ampio quadro della strategia aziendale, assicurando la
resilienza delle operazioni in caso di potenziali minacce o vulnerabilità lungo la catena di approvvigionamento.
.png "Immagine2-(1).png")
Punti chiave
CSQA, in collaborazione con il Cliente,
identifica i fornitori da sottoporre a monitoraggio della postura di sicurezza informatica.
Per ciascun fornitore individuato, CSQA effettua una
Survey di valutazione della postura di sicurezza, finalizzata a raccogliere informazioni sui controlli, le misure e le pratiche di cybersecurity adottate.
Sulla base dei risultati della Survey e dell’analisi del contesto operativo,
ogni fornitore viene classificato in base al livello di rischio associato al servizio erogato e al suo potenziale impatto sull’organizzazione del Cliente.
I
livelli di rischio previsti sono:
- Basso – il fornitore presenta una buona postura di sicurezza e un impatto limitato in caso di incidente; sarà svolta una Survey Periodica per il monitoraggio
- Medio – il fornitore mostra alcune aree di miglioramento o un impatto moderato sui processi del Cliente; saranno svolte attività di Analisi documentale e Audit di seconda parte in campo
- Alto – il fornitore espone un rischio significativo, sia per criticità nella sicurezza, sia per l’elevato impatto del servizio fornito; verranno svolte attività di Analisi documentale, Audit di seconda parte in campo e Assessment Tecnologico.
Queste fasi permettono di pianificare e svolgere le
attività di monitoraggio continuo, approfondimento tecnico e gestione del rischio cyber della supply chain. FASI DEL SERVIZIO
- SELEZIONE DEI FORNITORI DA MONITORARE
INPUT
Il cliente fornisce come input un elenco dei fornitori su un template condiviso da CSQA, dove è compito del cliente indicare: nome fornitore, il numero dei contratti in essere per ciascun fornitore, la descrizione del servizio erogato per ciascun contratto e la relativa data di scadenza.
L'elenco e i contratti vengono esaminati da auditor di CSQA per individuare i fornitori che potrebbero rientrare nel perimetro NIS2.
OUTPUT
Al termine dell'analisi si ottiene come output una selezione dei soli fornitori ritenuti critici rispetto alla NIS2 che richiedono un monitoraggio continuo o periodico per garantire che rispettino le normative e gli standard di sicurezza previsti. A questi fornitori viene sottoposta la survey di postura di sicurezza informatica per stabilire il livello di rischio cyber.
CLASSIFICAZIONE
CSQA sulla base delle Survey compilate dai fornitori critici procede alla loro classificazione in base al rischio e alla loro importanza nel contesto della sicurezza informatica, al fine di determinare il livello di monitoraggio necessario. Questo permette di poter implementare azioni di monitoraggio proporzionate ai rischi associati.
I criteri di classificazione si basano su parametri oggettivi quali:
1.Tipologia dei servizi: la natura e la criticità dei servizi forniti, considerando quelli che impattano direttamente sulla sicurezza e sulla protezione dei dati
2.Tipologia dei dati trattati: tipo di informazioni gestite dal fornitore, privilegiando quelli che trattano dati sensibili o critici per l'organizzazione.
3.Incident Monitoring: capacità del fornitore di monitorare e gestire incidenti di sicurezza informatica, con particolare attenzione alla tempestività e alla qualità della risposta agli incidenti.
L'output sarà una classificazione dei fornitori in base al livello di rischio individuato rispetto all'impatto del servizio erogato.
I livelli di rischio saranno Basso - Medio - Alto
- SURVEY PERIODICA
Questo servizio è suggerito in caso di Livello di Rischio Basso emerso durante la valutazione del Fornitore
Survey: la survey da somministrare con cadenza annuale rappresenta un livello di monitoraggio minimo.
Metodologia: attraverso la somministrazione del questionario al fornitore, è possibile monitorarne il livello di maturità e consapevolezza riguardo la postura di sicurezza informatica
- ANALISI DOCUMENTALE + AUDIT DI SECONDA PARTE IN CAMPO
Questi 2 servizi sono suggeriti in caso di Livello di rischio medio emerso durante la valutazione del Fornitore
Metodologia: viene verificata la documentazione contrattuale esistente e viene svolto un audit in campo presso i fornitori. Questa attività prevede anche interviste al personale coinvolto con l’obiettivo di verificare il rispetto delle policy cyber definite dal committente in fase contrattuale.
Svolgimento: Svolti da personale qualificato, gli audit di seconda parte si avvalgono di specifiche checklist di controllo. Questi audit permettono di effettuare verifiche puntuali e approfondite su requisiti specifici, garantendo che i fornitori siano conformi alle normative e agli standard di sicurezza previsti.
L’obiettivo è quello di verificare che il fornitore (Criteri di Audit di II Parte):
- rispetti i requisiti di cybersecurity stabiliti nel contratto,
- definisca i requisiti per la sicurezza delle informazioni,
- assicuri la protezione degli asset aziendali accessibili
- formalizzi documenti contrattuali nei quali siano riportati i requisiti di sicurezza richiesta.
Output: l'output delle attività di ispezione evidenzierà il livello di conformità del fornitore rispetto al contratto stipulato e il rispetto delle policy e procedure cyber condivise alla stipula del contratto.
- ANALISI DOCUMENTALE + AUDIT DI SECONDA PARTE IN CAMPO + ASSESSMENT TECNOLOGICO
Questi 3 servizi sono suggeriti in caso di Livello di Rischio Alto emerso durante la valutazione del Fornitore
Assessment tecnologico: consiste nell’analisi attraverso Strumenti di Scansione svolta da Società Specializzata.
Una volta installati, questi strumenti consentono di monitorare e verificare la postura cyber del fornitore in tempo reale, rilevando vulnerabilità, configurazioni non sicure e altre potenziali minacce che potrebbero compromettere la sicurezza dei sistemi (esempio prodotti da utilizzare settore Finance Risk Reacon, altri settori Security Scorecard o Bitsight).
