
Non passa settimana, ormai, senza la notizia di un’organizzazione finita nel mirino di un attacco che non nasce dai propri sistemi, ma da quelli di un fornitore terzo: un servizio esterno compromesso, un accesso scoperto solo a danno fatto, un partner che si dichiarava “a norma” e che non si era accorto di nulla. Episodi diversi, radice comune: la fiducia riposta in un fornitore che, sulla carta, rispettava ogni requisito richiesto.
È in questo scenario che il rating cyber aziendale – la capacità di misurare in modo oggettivo e continuativo il livello di esposizione al rischio informatico, proprio e della propria catena di fornitura – smette di essere un tema per soli addetti ai lavori e diventa una priorità di business.
«Ogni volta che un incidente coinvolge un fornitore, la domanda che tutti si pongono è la stessa: com’è possibile che nessuno se ne sia accorto prima? Nella maggior parte dei casi, la risposta è che ci si è fermati alla compliance formale, senza mai verificare cosa accadeva realmente sul perimetro esposto di quel fornitore» dichiara Fabio Cassanelli, attuale CTO e co-founder di Cyberating.
Compliance e gestione del rischio non sono la stessa cosa
Rispondere a un questionario di sicurezza, ottenere una certificazione, dichiararsi conformi a un framework come ISO 27001 o alla direttiva NIS2: sono passaggi corretti, spesso obbligatori, il cui valore normativo non è in discussione. Il punto è un altro: un questionario fotografa un istante. Racconta come un’azienda dichiara di essere organizzata in un determinato momento, sulla base di risposte che, nell’immediato, nessuno può verificare in modo indipendente. Ma la sicurezza informatica non è statica: cambia ogni giorno, con un nuovo servizio esposto online, una configurazione modificata, una vulnerabilità scoperta e non ancora corretta. Un documento firmato oggi non racconta cosa accadrà – o cosa sta già accadendo – domani. Per questo il solo adempimento formale, per quanto necessario, ha un valore limitato se non è accompagnato da una fotografia costantemente aggiornata dell’esposizione reale al rischio.
Il monitoraggio dei fornitori non è (solo) un tema di compliance
C’è ancora una parte di mercato che considera il monitoraggio dei fornitori una semplice estensione della compliance: si invia un questionario, si raccolgono le risposte, si archivia il risultato. Ma non è così che dovrebbe funzionare. Non si può monitorare un fornitore limitandosi a chiedergli come è messo: bisogna osservarlo dal punto di vista del rischio di esposizione, con dati verificabili dall’esterno e aggiornati nel tempo.
Un esempio chiarisce il concetto: se un fornitore dichiara di effettuare regolarmente i backup dei propri dati, ha risposto correttamente a una domanda di compliance. Ma quella risposta non dice nulla su come – e se – quel fornitore monitora il proprio perimetro esposto su internet, né tantomeno lo avvisa quando la sua superficie di rischio cambia: una porta lasciata aperta, un servizio non aggiornato, una credenziale finita in circolazione. È esattamente in questo scarto, tra ciò che un fornitore dichiara e ciò che accade davvero sulla sua infrastruttura, che si annida gran parte degli incidenti che oggi colpiscono le supply chain digitali.



























































