Un nuovo studio di Kaspersky ha rivelato che oltre due terzi delle aziende sono disposte a investire nella sicurezza dei propri collaboratori esterni e fornitori, al fine di garantire una maggiore protezione dagli attacchi informatici, mentre un ulteriore quarto lo sta già facendo. Questo cambiamento legata alla volontà di condividere i costi dimostra come i collaboratori esterni siano ormai considerati parte integrante di un ecosistema di sicurezza unico e interconnesso.
A fronte dell’aumento degli attacchi alla supply chain, che nell’ultimo anno hanno colpito quasi un’azienda su tre, e degli attacchi alle relazioni di fiducia già esistenti, che hanno interessato un quarto delle aziende a livello globale, le organizzazioni stanno riconsiderando i propri approcci alla sicurezza interna. Sempre più aziende riconoscono infatti che il proprio livello di rischio informatico dipende anche dalla sicurezza di ogni appaltatore o partner con accesso alle loro infrastrutture e ai loro sistemi, e sono quindi pronte ad agire di conseguenza.
Secondo la ricerca, il 69% degli intervistati sta valutando di investire nella sicurezza dei propri fornitori esterni per rafforzare la propria resilienza informatica. Questa propensione risulta particolarmente elevata in India (83%), Indonesia (80%), Russia (80%) e Brasile (76%). È inoltre significativo che le organizzazioni in Indonesia, Brasile e Russia mostrino una maggiore fiducia nei fornitori rispetto ad altri Paesi, come dimostrato da un numero superiore alla media di fornitori con accesso ai sistemi aziendali.
Allo stesso tempo, il 25% delle aziende ha già iniziato a condividere i costi di sicurezza con i propri fornitori, passando quindi dalle intenzioni all’azione. I tassi di adozione più elevati si registrano a Hong Kong e Taiwan (33%), in Spagna (33%), in Turchia (31%) e in Vietnam (31%).
“Oggi le aziende si rendono conto che la sicurezza non può più limitarsi ai confini della propria organizzazione, ma deve estendersi all’intero ecosistema”, ha commentato Sergey Soldatov, Head of Security Operations Center di Kaspersky. “Le aziende più piccole spesso non dispongono delle stesse capacità di sicurezza delle grandi imprese per cui lavorano, il che comporta rischi aggiuntivi per queste ultime. Condividendo risorse e competenze, le grandi aziende possono colmare questa lacuna, rafforzando i punti deboli lungo l’intera catena di dipendenza e diventando così un motore fondamentale della resilienza informatica globale”.
Per ridurre i rischi legati alla supply chain, Kaspersky raccomanda alle aziende di rafforzare la propria sicurezza attraverso misure organizzative, tra cui una valutazione rigorosa e basata su dati concreti dei fornitori di software. Analizzando le pratiche di sicurezza dei fornitori, esaminando i processi di sviluppo del software e applicando modelli di valutazione strutturati, le aziende possono assicurarsi che nella propria infrastruttura vengano utilizzati esclusivamente prodotti sicuri e resilienti. Una guida più dettagliata su come scegliere il prodotto migliore è disponibile al seguente link.
Per ridurre i rischi legati alla supply chain e alle relazioni di fiducia, Kaspersky raccomanda di:
- Collaborare con i fornitori sulle questioni relative alla sicurezza. È fondamentale lavorare a stretto contatto con i fornitori per migliorare le loro misure di sicurezza: tale collaborazione rafforza la fiducia reciproca e fa della protezione una priorità condivisa.
- Valutare attentamente i fornitori prima di concludere un accordo. È fondamentale verificare il livello di sicurezza dei potenziali fornitori prima di avviare una collaborazione. Questo comporta richiedere un esame delle loro policy in materia di sicurezza informatica, informazioni su incidenti verificatisi in passato e la conformità agli standard di sicurezza del settore.
- Per i prodotti software e i servizi cloud, si raccomanda di raccogliere dati sulle vulnerabilità e sui penetration test; in alcuni casi è consigliabile eseguire test dinamici di sicurezza delle applicazioni (DAST).
- Attuare i requisiti di sicurezza previsti dai contratti. I contratti con i fornitori dovrebbero includere requisiti specifici in materia di sicurezza delle informazioni, quali verifiche periodiche della sicurezza, il rispetto delle politiche di sicurezza pertinenti della propria organizzazione e i protocolli di notifica degli incidenti.
- Adottare misure tecnologiche preventive. Il rischio di danni gravi derivanti dalla compromissione dei fornitori si riduce notevolmente se la propria organizzazione adotta pratiche di sicurezza quali il principio del privilegio minimo, l’approccio zero trust e una gestione delle identità ben consolidata.
