La sicurezza delle Terze-Parti interessa senza esclusione tutte le Aziende perché la maggioranza è sia Cliente ed ha quindi relazioni con Terze-Parti (partner e fornitori), ma è anche Terza-Parte nei confronti delle sue Aziende Clienti.
Il rischio delle Terze-Parti è diventato molto rilevante ed è entrato nei programmi di sicurezza delle Aziende più grandi, alle quali si stanno però aggiungendo anche quelle di dimensioni minori.
Per una Azienda Terza-Parte è ora importante poter dimostrare di possedere un Programma di Sicurezza adeguato per essere ritenuta idonea dai propri Clienti o preferibile rispetto ad altre Aziende concorrenti.
La violazione di una Terza-Parte è probabile che diventi anche una violazione dell’Azienda.
È quindi necessario sapere della Terza-Parte:
• È affidabile?
• Se sì perché?
• Se no perché?
• Cosa è necessario fare al riguardo?
E in base alle risposte agire.
La gestione della sicurezza delle Terze-Parti si articola in tre ambiti:
– PROGRAM MANAGEMENT
– RISK ASSESSMENT
– MONITORING AND RESPONSE
PROGRAM MANAGEMENT
Comprende le attività necessarie per la gestione della sicurezza delle relazioni con le proprieTerze-PartiGovernance
– Policy che stabiliscono come l’azienda gestisce il rischio delle terze parti.
– Standard e procedure operative che definiscono come attuare le Policy
Formazione interna
(degli Stakeholder) sulla consapevolezza e gestione del rischio delle Terze-Parti.Acquisizione e aggiornamento
– integrazione con i processi di appalto e contrattualizzazione delle Terze-Parti– revisione periodica del registro delle Terze-Parti attive
Tracciamento
– i rischi delle Terze-Parti sono inseriti in un registro formale dei rischi.
Contratti
Le Terze-Parti sono contrattualmente impegnate a:
– rispettare i requisiti di sicurezza concordati
– concedere il diritto di verifica (audit)
– La stipula dei contratti è subordinata al rispetto dei requisiti di sicurezza
– le deroghe richiedono una esplicita approvazione
RISK ASSESSMENT
La relazione dell’Azienda con una Terza-Parte ha una criticità intrinseca (rischio inerente) che dipende da fattori come le informazioni trattate, l’importanza della fornitura, la sostituibilità ecc.
Il rischio residuo è il rischio che rimane dopo aver applicato le opportune misure di mitigazione al rischio inerente.
Valutazione del rischio inerente
– Definizione di uno schema di classificazione (rating) della criticità (rischio inerente) della relazione con la Terza-Parte.
– Assegnazione a ciascuna Terza-Parte del rating del rischio inerente
È prassi comune in molte Aziende classificare le relazioni con le Terze-Parti in classi di criticità (rating di rischio), il numero di classi varia da 3 a 5.
Gestione delle risorse aziendali di gestione rischio
– Impostazione della frequenza e perimetro della valutazione del rischio residuo delle Terze-Parti in base alla valutazione del rischio inerente (rating di rischio)
Le relazioni più critiche (rating di rischio più alto) richiedono assessment (verifiche) più approfonditi e più frequenti.
Partecipazione delle Terze-Parti
– Conduzione degli assessment delle Terze-Parti con framework e standard definiti e concordati.
– Analisi congiunta dei punti aperti negli assessment precedenti.
Trattamento del rischio
– Condivisione dei risultati dell’assessment con la Terza-Parte e gli stackholder interni.
– Mantenimento della responsabilità della Terza-Parte sugli interventi di trattamento dei rischi
– Gestione del Registro dei Rischi (Risk Register) per i rischi delle Terze Parti
MONITORING AND RESPONSE
Threat intelligence
– Monitoraggio sistematico degli incidenti di sicurezza (data-breach e compromissioni della sicurezza) relativi alla Terza-Parte.
– Definizione di procedure di risposta per la gestione di data-breach delle Terze Parti.
Condivisione vulnerabilità critiche
– Comunicazione sistematica alle Terze Parte delle notifiche di sicurezza relative alla vulnerabilità critiche.
– Rilevazione sistematica del software delle Terze-Parti esposto a Internet.
il Fractional CISO di CISOaaS-it:
– per le Aziende Terze-Parti progetta e coordina un Programma di Sicurezza specifico per questo obiettivo.
– per le Aziende Clienti si integra con il Team di sicurezza interno e per prendersi cura di organizzare ed effettuare le attività dell’ambito RISK ASSESSMENT sulle Terze-Parti.