Uno degli elementi portanti della nuova direttiva sulla cybersicurezza riguarda la sicurezza della supply chain e a tal riguardo son state emanate da ENISA delle linee guida utili per tutte le realtà. Tenete infatti presente che, se anche la vostra azienda non ricade direttamente nel campo di applicazione della norma, comunque potrebbe essere fornitrice di una azienda tenuta a fare questo tipo di verifiche e che vi imporrà di rafforzare la vostra sicurezza informatica per continuare ad essere sua fornitrice.
QUALCHE UTILE SPUNTO
Innanzitutto è buona prassi identificare il ruolo di ciascun fornitore e la tipologia di fornitura erogata: ICT, fornitore di software; di hardware, di servizi gestiti (MSP), di servizi di sicurezza gestiti (MSSP) o utente. Nel valutare i fornitori è necessario definire dei criteri che includano:
a. le pratiche di cybersicurezza dei fornitori e dei prestatori di servizi, comprese le loro procedure di sviluppo sicuro;
b. la capacità dei fornitori e dei prestatori di servizi di soddisfare le specifiche di cybersicurezza stabilite dai soggetti pertinenti;
c. la qualità e la resilienza complessive dei prodotti e dei servizi TIC e le misure di gestione dei rischi di cybersicurezza in essi integrate, compresi i rischi e il livello di classificazione dei prodotti e dei servizi TIC;
d. la capacità dei soggetti pertinenti di diversificare le fonti di approvvigionamento e di limitarne la dipendenza.
Tali criteri devono essere ripresi all’interno di apposite clausole contrattuali che specifichino:
- una descrizione chiara e completa dei prodotti e dei servizi TIC;
- i requisiti di cybersicurezza per i fornitori o i prestatori di servizi, compresi i requisiti relativi alla sicurezza nell’acquisto di servizi o prodotti TIC;
- i requisiti in materia di consapevolezza, competenze e formazione e, se del caso, certificazioni richieste ai dipendenti dei fornitori o dei prestatori di servizi;
- requisiti relativi alla verifica del background dei dipendenti dei fornitori e dei prestatori di servizi;
- accurate descrizioni dei livelli di servizio, tempistiche nella risposta ai disservizi ben definite, aggiornamenti precisi quando necessari e opportuni, clausole in materia di protezione dei dati robuste e ben strutturate in termini di compliance, accordi di non divulgazione ovvero obblighi per i fornitori e i prestatori di servizi, precisi obblighi del fornitore o del prestatore di servizi di fornire assistenza all’entità senza costi aggiuntivi o a un costo determinato ex ante, in caso di incidente informatico che presenti un rischio per il prodotto o il servizio TIC oggetto del contratto;
- l’obbligo per i fornitori e i prestatori di servizi di notificare, senza indebito ritardo, ai soggetti interessati gli incidenti che presentano un rischio per la sicurezza della rete e dei sistemi informativi di tali soggetti;
- la previsione di audit di seconda, terza parte;
- l’obbligo per i fornitori e i prestatori di servizi di gestire le vulnerabilità che presentano un rischio per la sicurezza della rete e dei sistemi informativi dei soggetti interessati;
- i requisiti relativi al subappalto e, qualora i soggetti pertinenti consentano il subappalto, anche quelli in ordine alla cyber security;
- la tutela della proprietà intellettuale;
- il diritto di recesso con relativi congrui periodi (minimi) di preavviso per la risoluzione degli accordi contrattuali;
Considerata la sproporzione del potere contrattuale delle PMI rispetto a grandi fornitori di servizi tecnologici, è possibile ipotizzare di ricorrere alla contrattazione collettiva ovvero alla rappresentanza da parte di un’associazione di cui si è associati o iniziative simili.
Le aziende devono poi condurre una analisi dei rischi sui loro apparati e sistemi che gli permetta di definire procedure e priorità di intervento per la messa in sicurezza. La criticità dei fornitori ovviamente è collegata all’esito della valutazione dei rischi. All’interno delle proprie procedure operative l’azienda deve anche identificare il ruolo del fornitore dal punto di vista della manutenzione dei sistemi, del rispetto delle SLA del servizio, delle attività che gli competono in caso di anomalia o emergenza, della dismissione del servizio e attività correlate per la messa in sicurezza.
Tutti gli incidenti collegati a servizi o applicativi forniti da terzi devono essere tracciati, indagati e gestiti in modo da monitorare l’attività del fornitore e verificare che collabori attivamente e si attivi per risolvere le problematiche e prevenirne di future.
RICORSO A SOFTWARE OPEN SOURCE
Occorre poi considerare i criteri per l’utilizzo della catena di fornitura del software open source (OSS), e in particolare:
- valutazione del rischio;
- collaborazione con la comunità OSS, fornendo prove dell’impegno profuso per le revisioni tra pari, rimanendo informati sulle ultime minacce alla sicurezza e migliori pratiche;
- costanti aggiornamenti, assicurandosi che tutte le librerie open source siano regolarmente aggiornate alle ultime versioni dal fornitore o dal fornitore di servizi;
- verifica delle licenze, considerando il tipo di licenza (permissiva/BSD, copyleft) e annesse caratteristiche;
- revisioni del codice, richiedendo al fornitore o al fornitore di servizi di eseguire revisioni regolari del codice e test di sicurezza sulle librerie open source per identificare e risolvere eventuali problemi di sicurezza;
- “dipendenze” software, richiedendo al fornitore o al fornitore di servizi di fornire informazioni sugli strumenti per gestire le dipendenze (es. Dependabot, Yarn, Gradle, Pip) nonché garantendo che tutte le librerie e le relative dipendenze siano sicure e aggiornate.
- Zero Trust, verificando e autenticando tutte le richieste di accesso.
Tutto questo da una parte rappresenterà sicuramente un aggravio dei costi per le aziende che dovranno sostenere l’onere finanziario per l’incremento della sicurezza informatica e l’acquisizione delle competenze necessarie per gestirla, ma dall’altro costituirà anche un elemento distintivo volto a rafforzare i rapporti commerciali e a permettere alle realtà che intraprenderanno questo percorso di distinguersi sul mercato.
Lascia un commento