ISO-27001-e-supply-chain

L’importanza di scegliere (ed essere) un fornitore qualificato

Quando si pensa al corretto funzionamento di un’azienda, spesso si prendono in considerazione solo aspetti interni quali l’impianto produttivo, il personale o la struttura informatica utilizzata, dimenticandosi una parte fondamentale della catena che l’Organizzazione “ingaggia” per attività che non si possono o vogliono fare internamente: i fornitori.

Proprio come gli anelli di una catena, o gli ingranaggi di un meccanismo, i fornitori svolgono un ruolo importantissimo per il raggiungimento degli obiettivi di qualsiasi azienda e, se qualcosa va storto, è tutta la filiera a rimetterci; l’ha toccato con mano una grossa Casa automobilistica che ha dovuto sospendere la produzione (circa 13.000 vetture al giorno) a causa di un grossista colpito da un attacco hacker.

Questo fa capire quanto sia vitale, come si dice nel titolo, scegliere ed essere un fornitore qualificato; parametro che hanno compreso da tempo le organizzazioni più strutturate e che ora, a cascata, stanno riversando sulle figure che collaborano esternamente in modo da alzare l’asticella nella selezione dei partner.

Attenzione che il termine “fornitore” non deve essere inteso solo come mero rivenditore di parti o materie prime, ma contempla tutti i collaboratori (consulenti, tecnici, data center, hosting, sviluppatori di software…) che partecipano all’ottenimento del risultato finale dell’azienda, ovvero vendere un prodotto ma anche offrire un servizio.

Nell’ecosistema digitale in cui viviamo è di primaria importanza la scelta dei partner a cui affidiamo servizi in outsourcing, in primis quelli legati al cloud.

Che siano piattaforme di archiviazione, di marketing/e-commerce o software gestionali, è fondamentale richiedere garanzie sulla cybersecurity dei sistemi che tutelino le informazioni trattate rispetto ai parametri di riservatezza, integrità e disponibilità, senza perdere di vista quell’aspetto che permetterebbe all’azienda di rimanere a galla in caso di incidente, la resilienza.

Quando la ISO 27001 incontra la supply chain

Poiché la ricchezza di un’azienda moderna è strettamente legata alle informazioni che tratta, l’ultima revisione della norma ISO 27001:2022 ha modificato il titolo inserendo la dicitura “cybersecurity and privacy protection” dando ancora più risalto alla sicurezza dei dati come asset fondamentali per l’Organizzazione.

Chi ha un minimo di dimestichezza con la materia, sa che la norma è basata sull’analisi e gestione del rischio che deve essere identificato, analizzato, mitigato e accettato; non potendo annullare la minaccia, è di fondamentale importanza che il controllo abbia una fase preventiva in cui si valutano le misure da applicare (se vogliamo declinarla lato privacy col principio di protezione by design), un secondo momento in cui si testa se tutto funziona e un monitoraggio continuo che porti ad azioni correttive e miglioramenti del sistema.

Lo spunto per capire se abbiamo fatto una scelta oculata dei nostri fornitori ci arriva dalla SOA (Statement Of Applicability) che, all’interno dei controlli organizzativi, prevede proprio una parte dedicata a questi soggetti.

Troviamo infatti richieste su come trasferire in sicurezza le informazioni verso l’esterno (controllo A.5.14), oppure sulle autorizzazioni concesse per l’accesso ai sistemi del cliente (controllo A.5.17), fino a tutta una serie di punti legati a procedure di selezione, valutazione e monitoraggio dei partner (controlli A.5.19 e seguenti).

Tradotto:

  • Valutare le garanzie offerte;
  • Stabilire da subito regole e standard per la condivisione sicura delle informazioni;
  • Concedere solo le autorizzazioni strettamente necessarie per l’accesso alle informazioni;
  • Richiedere/fornire la documentazione necessaria (contratto, NDA, attestati, eventuale nomina a Responsabile del trattamento…);
  • Monitorare ciclicamente l’operato.

Perché prevenire è sempre meglio che curare

Il controllo A.5.20 dell’Annex A, ad esempio, ci dà indicazioni di natura preventiva su diversi aspetti da valutare, quali la gestione degli incidenti (data breach se connessi a dati personali), formazione e sensibilizzazione del personale sui temi legati alla cybersecurity, l’utilizzo di subappaltatori autorizzati.

Anche l’eventuale sostituzione del fornitore per motivi vari (chiusura, inadempienze, trasferimento o altro) deve essere presa in considerazione da subito, per evitare di arrivare impreparati in caso di necessità. Vanno contemplate tutte le fasi  necessarie per porre fine a un rapporto con un fornitore, tra cui la disattivazione dei diritti di accesso, l’eliminazione o riconsegna delle informazioni scambiate, gli accordi contrattuali, ecc.

Ci sono molti aspetti importanti da considerare nell’approccio alla selezione dei fornitori, anche perché alcuni saranno più importanti di altri. Pertanto, i controlli e le politiche dovrebbero tenere conto del rischio in relazione alla criticità per il business.

Un’organizzazione può permettere ai partners di accedere e contribuire a determinate risorse informative di alto valore (ad esempio lo sviluppo di codici software, informazioni contabili sugli stipendi, brevetti…), e dovrebbe quindi avere accordi chiari su quale accesso stanno consentendo loro, in modo da poter controllare la sicurezza di tutto il perimetro.

La certificazione ISO 27001 come plus per distinguersi dalla concorrenza

Quanto vi ho appena illustrato implica, ovviamente, un impegno in termini di costi e risorse che però sarebbe errato interpretare come “a fondo perduto” solo perché non si vedono risultati economici immediati; è palese che destinare un budget all’acquisto di un nuovo macchinario aumenterebbe dal giorno successivo il fatturato, provate però a pensare ai danni legati ad un incidente che interromperebbe la produzione per colpa di un fornitore.

Il conto è presto fatto: fatturato annuo diviso 365, moltiplicato per i giorni di fermo…

Quindi, oltre a servire internamente all’azienda per mettere a terra un sistema di gestione che porti dei benefìci dal punto di vista organizzativo, la certificazione ISO 27001 permette di presentarsi sul mercato come un’Organizzazione strutturata che rispetta i severi parametri previsti dallo standard normativo e che è stata auditata da un soggetto terzo, l’Ente di certificazione, che ne ha verificato i requisiti.

A questo punto il percorso sarà in discesa, poiché l’Azienda avrà pronte tutte le risposte da dare ad un possibile Cliente in cerca di un Fornitore affidabile.

A che punto siamo

Al momento della redazione del presente articolo il sito di Accredia, l’Ente nazionale di accreditamento degli Organismi di certificazione italiani, riporta più di 3500 aziende certificate secondo lo standard ISO 27001.

Possono sembrare poche, ma tenete conto che il report pubblicato dalla ISO nel 2019 ne contava solo 1250… un bel passo avanti che fa capire come le organizzazioni stiano schiacciando sull’acceleratore per ritagliarsi una posizione di prestigio rispetto ai competitor.

Se siete arrivati a leggere fino a qui e state cercando informazioni su come individuare i vostri nuovi fornitori di fiducia, vi lascio due utili spunti che trovate sul sito dell’ENISA (buone prassi per la Supply Chain in ambito Cybersecuritya) e a questo link:

NIST: nuove linee guida per la supply chain

 

 

richiedi informazioni

Il nostro team sarà felice di trovare la soluzione perfetta per te!