News
Archivio newsSupply chain: come riorganizzare le relazioni con i fornitori per mettere in sicurezza la produzione
L’emergenza economica causata dal Covid-19 ha spinto le imprese a rivalutare l’importanza strategica della supply chain ed a rivedere le pratiche e i contratti con i propri fornitori. L’obiettivo è mettere in sicurezza l'anello più debole della catena di approvvigionamento della società. Ma come fare? Un primo passo è assicurarsi che tutti i soggetti che s’innestano sulla supply chain aderiscano a specifici standard di sicurezza del settore e che, sotto il profilo assicurativo, siano in atto adeguate disposizioni per l’eventuale risarcimento dei danni. Occorre inoltre che i team informatici delle aziende abbiano visibilità diretta su appaltatori e subappaltatori per controllare meglio i fornitori e ridurre i rischi causati da eventuali violazioni e minacce, come phishing e malware.
L’impatto dirompente della pandemia causata dal Covid-19 ha spinto le imprese a rivalutare l’importanza strategica della supply chain e, al contempo, a rimodellare su dinamiche diversificate e più flessibili le pratiche e i contratti con i rispettivi fornitori.
Uno schema non più fisso, tendenzialmente stereotipato, disegnato sui tradizionali scambi con gli stessi Paesi e i medesimi operatori d’area, ma una nuova visione altamente strategica, dove il team che si occupa della sicurezza sale di rilievo acquisendo un maggiore potenziale affermativo nella definizione delle linee aziendali.
In sostanza, le società stanno ricollocando la gestione dei fornitori, dandogli un aspetto fortemente innovativo e poteri maggiori, sulla scia di un massiccio attacco alla catena di approvvigionamento subito nel corso dell’anno passato. La pandemia ha di fatto aperto le porte ad infinite catene di alert di sicurezza che, spesso, hanno colto la maggioranza delle grandi aziende del tutto impreparate.
L’aspetto strettamente geografico non conta perché la reazione delle imprese coinvolte è stata su scala globale. L'attacco, infatti, ha incentivato i reparti legali e i team di sicurezza delle aziende a esaminare nuovamente i contratti con fornitori, e quelli intrattenuti da quest’ultimi con terze parti, per assicurarsi che tutti i players che s’innestano sulla supply chain aderiscano puntualmente agli standard di sicurezza del settore e che, sotto il profilo legale-assicurativo, siano in atto adeguate disposizioni di indennizzo, tra cui risarcimento per danni o perdite in caso di violazione. Cosa insegna questo caso che, ripetiamo, va ben oltre il confine meramente geografico?
Due punti centrali: il valore strategico fondamentale della catena di distruzione, da mantenere in salute e da preservare e, al contempo, il rafforzamento non rinviabile delle misure di sicurezza e assicurative che interagiscono con la supply chain in modo più diretto.
Un evidente punto d’approdo obbligato? Ripensare i contratti con i rispettivi fornitori qualora non prevedano già il trasferimento del rischio. Naturalmente, in questa fase crescono d'importanza quelle le aziende che praticano un adeguato controllo e monitoraggio informatico per proteggersi dalla perdita di dati e da infiltrazioni indesiderate nei loro sistemi e apparati.
Una modalità di controllo che può essere migliorata, ad esempio, riconsiderando chi può effettivamente accedere ai propri dati e come, seguendo le linee base della sicurezza informatica. Conseguentemente, le società tenderanno anche ad aumentare ulteriormente i requisiti di rischio di gestione di terze parti, per cautelare la rispettiva catena di distribuzione da shock indesiderati e inattesi.
Le aziende stanno esaminando i loro contratti con fornitori di terze parti per assicurarsi che ci sia una sorta di requisito minimo per condurre audit di sicurezza.
Infatti, i contratti software possono includere disposizioni di indennizzo che spostano i potenziali costi in caso di violazione da una parte all'altra e quelli possono aumentare a seguito di un attacco su larga scala. Tali meccanismi rientrano nell’area tematica della Vendor Due Diligence. La due diligence è un concetto da intendersi quale iter investigativo finalizzato a scrutare ed accertare i contenuti di un’attività d’impresa (cosiddetta “target”), al fine di consentire valutazioni di natura principalmente economica (report).
In sostanza, è un processo che viene attuato per analizzare il valore e le condizioni di un’azienda nei confronti della quale vi siano all’orizzonte acquisizioni, operazioni straordinarie o investimenti. Obiettivo, verificare la convenienza o meno dell’operazione, passando in rassegna l’intero specchio dei rischi possibili, potenziali, reali. Idem per fusioni, scissioni e aggregazioni societarie.
Naturalmente, esistono diverse tipologie di due diligence, dato che i processi variano a seconda dell’oggetto e dello scopo dell’indagine da condurre. In particolare, la Vendor due diligence, si materializza quando è la società target che commissiona l’attività di indagine sui propri conti. Il punto di partenza è che generalmente, gli standard di indennizzo sono limitati alla quantità di denaro per il contratto o forse leggermente al di sopra. Ebbene, alla luce della pandemia e dei suoi effetti collaterali, questo standard potrebbe cambiare nel tempo.
Sta già mutando. In pratica, le aziende e il loro consulente interno o team, dovrebbero esaminare la cronologia degli incidenti correlati ai fornitori e alla supply chain, e chiedere loro informazioni sul rispettivo processo di patch del software, ovvero la dotazione utilizzata per aggiornare o migliorare un programma e correggere un problema di vulnerabilità di sicurezza, e sulla solidità dei loro team di sicurezza. Un’indagine a 360 gradi che conduca all’individuazione di eventuali fattori distorsivi, di rischio o mancanti.
I team informatici delle aziende dovrebbero avere visibilità diretta su appaltatori e subappaltatori. Ciò implica un maggior peso di chi si occupa di sicurezza, informatica in particolare, all’interno della società. Ma questo comporta anche obbligare i subappaltatori a informare le aziende clienti quando stanno collaborando con un fornitore diverso, o chiedere prima il permesso.
Ecco, questi due accorgimenti possono aiutare le aziende a controllare meglio i fornitori e mitigare i rischi che incombono sulla catena di distribuzione e forniture. Dunque, ci si dovrà assicurare che gli operatori che s’innestano sulla supply chain aziendale a vari livelli, aderiscano agli stessi standard di sicurezza a cui sta aderendo l’appaltatore.
Questo è un processo di garanzia e controllo fondamentale che probabilmente è stato trascurato in passato. Naturalmente, sul piano oggettivo, gli sviluppatori di software dovranno aumentare le proprie pratiche di sicurezza in modo tale che le imprese possano impiegare decine di fornitori per una varietà di esigenze senza dover necessariamente esaminarli e controllarli tutti continuamente. La tecnologia in soccorso della sicurezza e dell’affidabilità di rischio aziendale.
Idealmente, una catena di fornitura e di distribuzione dovrebbe essere così sicura che quando un'azienda acquista un prodotto software da una terza parte, è certa che ogni società e/o operatore lungo la catena abbia già adottato in parallelo misure di privacy e sicurezza adeguate. Una sfida, soprattutto per le società che operano in settori distinti da quello informatico, basti pensare al manifatturiero.
Le aziende stanno sfruttando il concetto di “least privilege”, privilegio minimo, per ridurre al minimo i danni nel caso in cui un hacker ottenga un accesso non autorizzato a un sistema. Come? Concedendo ai fornitori di terze parti l'accesso ristretto ai set di dati o alle reti di cui hanno bisogno per svolgere il loro lavoro.
In tal modo, le aziende possono contenere meglio il danno prodotto da un pessimo attore e/o fornitore all’interno della supply chain. Si ricorda che l'attacco alla catena di fornitura è alle volte sofisticato, ma la stragrande maggioranza delle violazioni deriva da minacce comuni come phishing, malware, vulnerabilità del software, compromissioni di terze parti, dati non crittografati ed errori dei dipendenti.
Inoltre, nel caso in cui i sistemi di un'azienda vengano violati, avere meno dati dei clienti o altre informazioni sensibili non essenziali a portata di mano può mitigare la sicurezza e i rischi legali.
Da qui l’esigenza della minimizzazione dei dati. Ricapitolando, la situazione attuale crea un'opportunità per le aziende di approfondire la loro sicurezza informatica e i rispettivi rapporti con i fornitori di tecnologia dell'informazione.