17.      La sicurezza delle Terze-Parti e la sicurezza dell’azienda.
Le aziende affidano la protezione delle informazioni sui loro clienti, la reputazione, le finanze e la loro continuità operativa a partner e fornitori, ovvero a Terze-Parti.

La sicurezza delle Terze-Parti interessa senza esclusione tutte le Aziende perché la maggioranza è sia Cliente ed ha quindi relazioni con Terze-Parti (partner e fornitori), ma è anche Terza-Parte nei confronti delle sue Aziende Clienti.


Il rischio delle Terze-Parti è diventato molto rilevante ed è entrato nei programmi di sicurezza delle Aziende più grandi, alle quali si stanno però aggiungendo anche quelle di dimensioni minori.


Per una Azienda Terza-Parte è ora importante poter dimostrare di possedere un Programma di Sicurezza adeguato per essere ritenuta idonea dai propri Clienti o preferibile rispetto ad altre Aziende concorrenti.


La violazione di una Terza-Parte è probabile che diventi anche una violazione dell’Azienda.


È quindi necessario sapere della Terza-Parte:

  • È affidabile?

  • Se sì perché?

  • Se no perché?

  • Cosa è necessario fare al riguardo?


E in base alle risposte agire.


La gestione della sicurezza delle Terze-Parti si articola in tre ambiti:

 – PROGRAM MANAGEMENT

 – RISK ASSESSMENT

 – MONITORING AND RESPONSE


PROGRAM MANAGEMENT
Comprende le attività necessarie per la gestione della sicurezza delle relazioni con le proprieTerze-Parti


Governance

 – Policy che stabiliscono come l’azienda gestisce il rischio delle terze parti.

 – Standard e procedure operative che definiscono come attuare le Policy


Formazione interna
(degli Stakeholder) sulla consapevolezza e gestione del rischio delle Terze-Parti.


Acquisizione e aggiornamento
 – integrazione con i processi di appalto e contrattualizzazione delle Terze-Parti

 – revisione periodica del registro delle Terze-Parti attive


Tracciamento

 – i rischi delle Terze-Parti sono inseriti in un registro formale dei rischi.


Contratti

Le Terze-Parti sono contrattualmente impegnate a:

 – rispettare i requisiti di sicurezza concordati

 – concedere il diritto di verifica (audit)


 – La stipula dei contratti è subordinata al rispetto dei requisiti di sicurezza

 – le deroghe richiedono una esplicita approvazione


RISK ASSESSMENT

La relazione dell’Azienda con una Terza-Parte ha una criticità intrinseca (rischio inerente) che dipende da fattori come le informazioni trattate, l’importanza della fornitura, la sostituibilità ecc.


Il rischio residuo è il rischio che rimane dopo aver applicato le opportune misure di mitigazione al rischio inerente.


Valutazione del rischio inerente

 – Definizione di uno schema di classificazione (rating) della criticità (rischio inerente) della relazione con la Terza-Parte.

 – Assegnazione a ciascuna Terza-Parte del rating del rischio inerente


È prassi comune in molte Aziende classificare le relazioni con le Terze-Parti in classi di criticità (rating di rischio), il numero di classi varia da 3 a 5.


Gestione delle risorse aziendali di gestione rischio

 – Impostazione della frequenza e perimetro della valutazione del rischio residuo delle Terze-Parti in base alla valutazione del rischio inerente (rating di rischio)

Le relazioni più critiche (rating di rischio più alto) richiedono assessment (verifiche) più approfonditi e più frequenti.


Partecipazione delle Terze-Parti

 – Conduzione degli assessment delle Terze-Parti con framework e standard definiti e concordati.

 – Analisi congiunta dei punti aperti negli assessment precedenti.


Trattamento del rischio

 – Condivisione dei risultati dell’assessment con la Terza-Parte e gli stackholder interni.

 – Mantenimento della responsabilità della Terza-Parte sugli interventi di trattamento dei rischi

 – Gestione del Registro dei Rischi (Risk Register) per i rischi delle Terze Parti


MONITORING AND RESPONSE
Threat intelligence

 – Monitoraggio sistematico degli incidenti di sicurezza (data-breach e compromissioni della sicurezza) relativi alla Terza-Parte.

 – Definizione di procedure di risposta per la gestione di data-breach delle Terze Parti.


Condivisione vulnerabilità critiche

 – Comunicazione sistematica alle Terze Parte delle notifiche di sicurezza relative alla vulnerabilità critiche.

 – Rilevazione sistematica del software delle Terze-Parti esposto a Internet.


il Fractional CISO di CISOaaS-it:

 – per le Aziende Terze-Parti progetta e coordina un Programma di Sicurezza specifico per questo obiettivo.

 – per le Aziende Clienti si integra con il Team di sicurezza interno e per prendersi cura di organizzare ed effettuare le attività dell’ambito RISK ASSESSMENT sulle Terze-Parti.