Consentire a un fornitore esterno l’accesso ai sistemi della vostra azienda vuol dire creare un potenziale rischio per la sicurezza. Anche se non c’è alcuna cattiva intenzione, o l’accesso è fornito per un legittimo scopo di business, è fondamentale tenere sotto controllo il processo.
Vediamo alcuni rischi potenziali che potrebbero nascere da un simile situazione e quindi alcuni suggerimenti per evitarli. Oltre alla minaccia di introdurre il malware nei vostri sistemi, ci possono essere altri pericoli, sia inerenti il business sia tecnici.
1. In primo luogo, consentendo l’accesso al sistema a un fornitore abbassate il vostro livello di sicurezza a quello del fornitore stesso. Se questo dispone di controlli deboli, si trasformano nei più fragili anelli della vostra catena di sicurezza. Se un attacker compromette il sistema del fornitore, l’hacker può usarlo come backdoor per la vostra rete. Parallelamente, se aumenta il livello di rischio del fornitore, altrettanto fa il vostro.
2. In secondo luogo, ci sono rischi relatvi al business. Se nel sistema del fornitore è stata creata una breccia e attraverso questa un malintenzionato può ottenere l’accesso al vostro sistema, il nome della vostra azienda entrerà nel novero di quelli con una cattiva fama. Una pessima pubblicità allontana i clienti e può persino condurre a una poco piacevole revisione da parte degli apparati normativi.
3. In terzo luogo, permettendo un accesso esterno di questa natura consentite di aggirare i controlli tecnici, come i firewall: se le terze parti desiderano installare software che contiene malware, il loro accesso remoto si trasforma in una pipeline diretta per il codice maligno nella vostra rete.
Prima di concedere l’accesso a terze parti, è quindi importante definire alcune policy. Anzitutto, condurre una completa valutazione di rischio dei vostri partner. Considerate persino una visita onsite alle loro facility, soprattutto ai loro data center, a tutte le altre location It e all’infrastruttura della rete. Assicuratevi che rispondano ai vostri standard di sicurezza nelle seguenti aree: sicurezza della rete e fisica, accesso e controlli amministrativi. Assicuratevi che i vostri partner abbiano definito policy di sicurezza delle informazioni che riguardano tutti questi controlli e che il dipartimento di sicurezza It le abbia fatte rispettare.
Successivamente, limitare drasticamente l’accesso ai vostri sistemi. Le terze parti dovrebbero soltanto avere accesso a un segmento del vostro network che è separato dalla rete interna tramite firewall o a una sottorete isolata. L’accesso dovrebbe essere limitato soltanto a specifici indirizzi IP della parte esterna e a un periodo di tempo ristretto e quindi controllato molto attentamente.
Un discorso particolare va fatto per l’aggiornamento del software di terze parti. Il team It dovrebbe accedere alla rete del provider per richiamare gli aggiornamenti piuttosto che permettere al fornitore di venire a mettere le mani nel vostro network.
