Per valutare un potenziale fornitore, le aziende tendono a scavare nelle finanze, prestazioni passate e storia legale dello stesso. Nel caso di un’azienda orientata all’ambiente, ad esempio, probabilmente non ci sarà la volontà di acquistare da un fornitore noto per la creazione di quantità eccessive di emissioni o inquinanti.
Ma nella ricerca di potenziali fornitori, quanto si considera il fattore “sicurezza informatica”?
Un attacco informatico a un fornitore potrebbe comportare non solo la perdita di dati sensibili, proprietà intellettuale, strategia aziendale o segreti commerciali. Potrebbe causare un’interruzione operativa così lunga da compromettere la capacità dell’azienda di produrre beni o servizi.
Ecco tre passaggi fondamentali da prendere in considerazione.
1: Identifica i rischi dei tuoi fornitori cruciali
È necessario essere in grado di valutare il rischio che ciascun fornitore rappresenta per la propria organizzazione. Ciò include rivolgersi a tutti i fornitori di hardware, software, servizi, ecc. Ma prima, è indispensabile capire quali fornitori sono davvero cruciali: lo si può fare basandosi sulla quantità di accessi che hanno alla rete aziendale, o alla quantità di dati sensibili che memorizzano sulla propria rete.
Alcuni fornitori cruciali potrebbero non sembrare critici a prima vista. Ad esempio, un fornitore di software potrebbe avere vulnerabilità nascoste nel proprio codice e, quindi, rappresentare una minaccia alle reti nonostante non sembri avere alcun accesso diretto ai tuoi dati.
2: Limita e monitora i tuoi fornitori
Una volta individuati i fornitori cruciali e le relative criticità, è necessario passare all’azione. Su alcuni fornitori è possibile agire semplicemente limitando accessi e autorizzazioni. Sui fornitori considerati critici (per la quantità di accessi e dati memorizzati) e cruciali (per il tipo di lavoro che svolgono), invece, è assolutamente indispensabile agire con un monitoraggio su base continua.
Questo è il modo più efficace per garantire che i fornitori siano in regola per quanto riguarda la loro sicurezza informatica e per seguire facilmente qualsiasi potenziale vulnerabilità o rischio sulle loro reti.
Per questo abbiamo creato un servizio 24/7 che coniuga il monitoraggio della tua rete interna (CYPEER) alla rilevazione di tutto ciò che afferisce alla Sicurezza e si trova all’esterno della tua rete (CSI).
3: Specifica i permessi contrattualmente
Raccogli tutti i contratti dei fornitori con i tuoi team legali e di sicurezza IT e cerca eventuali casi non molto specifici sugli obblighi contrattuali di sicurezza informatica. I fornitori potrebbero avere l’obbligo legale di segnalare alcune violazioni a causa della conformità, ma è bene comunicare a tutti la necessità di essere informati di qualsiasi violazione al più presto.
Il linguaggio che usi è particolarmente importante, quindi assicurati di affidarti ad un team con le giuste competenze tecnico-legali per rielaborare le aree contrattuali che devono essere rivisitate.
Per questo CYBEROO si avvale del supporto di P4I – Digital 360, al fine di individuare tempestivamente un’adeguata strategia.