Potete chiamarli outsourcer oppure rapporti di fiducia con i fornitori, detti anche terze parti. In ogni caso, sono questi accordi che possono migliorare e ottimizzare le vostre operazioni di business.
Nel caso della sicurezza, quando i fornitori di servizi e i collaboratori esterni hanno accesso ai sistemi che contengono informazioni protette o a un insieme di dati sensibili come, ad esempio, i record riguardanti i clienti, un’accurata gestione dei rischi di terze parti diventa indispensabile.
Gli esperti sottolineano l’importanza di una due diligence, ovvero di un’analisi e un approfondimento di dati e di informazioni relative all’oggetto di una trattativa che valuti sotto ogni aspetto il rischio di terze parti.
Un solo accordo che prevede un’ indennizzo in caso di problemi, infatti, non può realisticamente coprire i danni di immagine a cui un’azienda può andare in contro in caso di violazione dei dati avvenuta per causa di un fornitore o un collaboratore esterno. Inoltre, nonostante possiate mettere in pratica tutte le attività di sicurezza per garantire la protezione dei dati anche di vostri partner commerciali, in caso di violazione sarà sempre e comunque la vostra azienda ad essere ritenuta responsabile.
Perchè è fondamentale valutare i rischi
Un’attenta valutazione del rischio di terze parti consente di rilevare problemi derivanti dalle identità ammesse e quelli della gestione degli accessi esterni alla propria rete. In questo modo è possibile individuare i controlli necessari da includere come obbligo in un contratto che si stipula col fornitore. Questo processo di revisione riguarda le procedure di identificazione dei rischi e la loro la valutazione, così come la misurazione e il monitoraggio correlati. Questo processo dovrebbe essere completato prima di intraprendere un rapporto commerciale con un determinato fornitore, e non essere trattato come una formalità a posteriori della firma. I partner commerciali che hanno maggiori privilegi o autonomia nell’accedere alle risorse o sistemi interni all’azienda meritano una revisione più approfondita rispetto a quello con diritti limitati. La valutazione del rischio di terze parti dovrebbe coinvolgere il personale di vari dipartimenti, come quello del controllo interno, di approvvigionamento, un consulente legale, l’amministrazione, il team IT e quello della sicurezza. E questo vale anche nel caso il provider sia un fornitore in cloud.
Come stilare la documentazione corretta?
Per semplificare e velocizzare il processo di valutazione su decine o peggio centinaia di fornitori è meglio approntare un documentazione standardizzata, ma che sia la più completa possibile. Per fortuna, in aiuto vengono alcune organizzazioni che hanno già sviluppato questa documentazione. Una di queste è la Shared Assessments Program (SAP) un’organizzazione fondata nel 2005 dalle istituzioni finanziarie e società di revisione contabile, che offre diversi tool per risolvere questo problema. Questi strumenti sono a disposizione a pagamento o gratuiti se l’azienda sostiene il programma, e comprendono documenti utilizzati da aziende di tutte le dimensioni per la coerenza e l’efficienza dei costi rispetto a fornitori di terze parti.
Utilizzando il questionario standard per la raccolta delle informazioni prodotto da SAP, conosciuto anche come Standard Information Gathering (SIG), l’azienda può ottenere tutte le informazioni necessarie per effettuare una valutazione iniziale a riguardo dei controlli rispetto all’IT, alla privacy e alla sicurezza dei dati di un service provider. È possibile selezionare il questionario in base ai tipi di servizi che il fornitore offre. Esiste anche una guida molto dettagliata per aiutare le azienda a completare questo processo, e anche delle guide redatte appositamente per assistere i fornitori nel rispondere ai questionari SIG rilasciati dai loro clienti.
Gli strumenti SAP si basano su standard federali e internazionali di settore, come ISO-27001/27002, PCI DSS e HIPAA. Sono costantemente aggiornati, e di recente sono state aggiunte delle disposizioni in materia di sicurezza nel cloud, dispositivi mobili, rischi di quarta parte e software di sicurezza.
Naturalmente le autovalutazioni redatte dai fornitori devono essere verificate: tramite le Shared Assessments Agreed Upon Procedures (AUP) le risposte fornite da una terza parte nel questionario SIG possono essere convalidate dalla vostra azienda, o da una società di valutazione indipendente. Quest’ultime, inoltre, definiscono anche le aree di controllo di rischi da valutare, e dispongono di un modello di report per la raccolta e la comunicazione dei risultati ottenuti.
Come parte di qualsiasi revisione di fornitori di terze parti, è importante stabilire il livello di sicurezza che questo offre. Un buon indicatore circa la sua sicurezza, è la qualità delle sue pratiche di privacy e programmi di formazione del personale. Offre ai dipendenti corsi per la riservatezza dei dati e per la sensibilizzarli sulla sicurezza? E con quale frequenza sono tenuti a seguire corsi di aggiornamento in questo campo? Un piano di risposta a incidenti, una valutazione annuale dello stato della protezione interna ed esterna dei dati, sono altri segnali che la sicurezza, da parte di questo fornitore, è presa molto sul serio.
Non dare mai per scontato che un fornitore sia un partner
La Direzione dell’azienda dovrebbe utilizzare la valutazione del rischio di terze parti per stabilire i controlli da effettuare su un fornitore per proteggere i sistemi e i dati aziendali. La valutazione può anche servire come strumenti di negoziazione quando di parla di obblighi contrattuali. Sapere dove esistono punti di rischio per la propria sicurezza, significa che possono esser richieste ulteriori attività per garantire che i dati sensibili siano adeguatamente protetti. La documentazione per la valutazione del rischio, il dettaglio dei controlli in atto per attenuare i rischi, devono essere firmati dal consigli d’amministrazione, e mantenuto come punto di riferimento per le prossime valutazioni di altri fornitori. È buona cosa chiedere sempre la prova delle azioni correttive che sono state individuate e che le vulnerabilità identificate nella valutazione siano state corrette e non sono più motivo di rischio di perdita dei vostri dati.
Da non sottovalutare la possibilità di assegnare una risorsa interna che sorvegli e verifichi l’adesione, da parte del fornitore, agli standard di protezione di dati e sicurezza previste nel contratto. Strumenti come Brinqa Vendor Risk Management, è un software GRC basato sul web che supporta i contenuti del questionario SIG, rendendo il processo di revisione più facile da gestire. RSA Archer Vendor Management Software di EMC consente di automatizzzare la sorveglianza dei rapporti con i fornitori e supporta le NIST Open Checklist Interactive Language 2.0 (OCIL), un framework studiato per interpretare le risposte presenti nelle liste di controllo della sicurezza IT.
Infine, ricordate che la valutazione dei fornitori di terze parti non si effettua in poco tempo. La gestione del rischio di terze parti è un compito complesso e richiede tempo, ma utilizzando gli strumenti giusti molti aspetti possono essere automatizzati. La valutazione del rischio di terze parti è una parte della sicurezza delle informazioni che richiede molta attenzione. Se eseguita nei modi e nei tempi adeguati, riduce le probabilità di violazione dei dati e migliora la sicurezza complessiva dell’azienda.