Secondo un’indagine di Kaspersky la maggioranza delle aziende è pronta a investire nella sicurezza interna di collaboratori esterni e fornitori per garantire una maggiore protezione dagli attacchi IT. Un cambiamento che dimostra come i collaboratori esterni siano ormai parte integrante di un ecosistema di sicurezza unico e interconnesso. A fronte dell’aumento degli attacchi alla supply chain alle relazioni di fiducia già esistenti, le organizzazioni stanno riconsiderando i propri approcci alla sicurezza interna.
Investire nella sicurezza dei fornitori per rafforzare la propria resilienza IT
Sempre più aziende riconoscono infatti che il proprio livello di rischio informatico dipende anche dalla sicurezza di ogni appaltatore o partner con accesso alle loro infrastrutture e ai loro sistemi. E sono quindi pronte ad agire di conseguenza. Secondo la ricerca, il 69% degli intervistati sta valutando di investire nella sicurezza dei propri fornitori esterni per rafforzare la propria resilienza informatica. Questa propensione risulta particolarmente elevata in India (83%), Indonesia (80%), Russia (80%) e Brasile (76%). È inoltre significativo che le aziende in Indonesia, Brasile e Russia mostrino una maggiore fiducia nei fornitori rispetto ad altri Paesi. Come dimostrato da un numero superiore alla media di fornitori con accesso ai sistemi aziendali. Allo stesso tempo, il 25% ha già iniziato a condividere i costi di sicurezza con i propri fornitori, passando quindi dalle intenzioni all’azione. I tassi di adozione più elevati si registrano a Hong Kong e Taiwan (33%), Spagna (33%), Turchia (31%) e Vietnam (31%).
Grandi e piccole aziende: perché condividere risorse e competenze
Sergey Soldatov, Head of Security Operations Center di Kaspersky
Oggi le aziende si rendono conto che la sicurezza non può più limitarsi ai confini della propria organizzazione, ma deve estendersi all’intero ecosistema. Le aziende più piccole spesso non dispongono delle stesse capacità di sicurezza delle grandi imprese per cui lavorano, il che comporta rischi aggiuntivi per queste ultime. Condividendo risorse e competenze, le grandi aziende possono colmare questa lacuna, rafforzando i punti deboli lungo l’intera catena di dipendenza. E diventando così un motore fondamentale della resilienza informatica globale.
I consigli di Kaspersky per rafforzare l’approccio alla sicurezza
- Per ridurre i rischi legati alla supply chain, Kaspersky raccomanda alle aziende di rafforzare la propria sicurezza attraverso misure organizzative. Tra queste una valutazione rigorosa e basata su dati concreti dei fornitori di software. Analizzando le pratiche di sicurezza dei fornitori, esaminando i processi di sviluppo del software e applicando modelli di valutazione strutturati, le aziende possono assicurarsi che nella propria infrastruttura vengano utilizzati esclusivamente prodotti sicuri e resilienti.
- Collaborare con i fornitori sulle questioni relative alla sicurezza. È fondamentale lavorare a stretto contatto con i fornitori per migliorare le loro misure. Tale collaborazione rafforza la fiducia reciproca e fa della protezione una priorità condivisa.
- Valutare attentamente i fornitori prima di concludere un accordo. È fondamentale verificare il livello di sicurezza dei potenziali fornitori prima di avviare una collaborazione. Questo comporta richiedere un esame delle loro policy in materia di sicurezza informatica, informazioni su incidenti verificatisi in passato e la conformità agli standard di sicurezza del settore.
- Per i prodotti software e i servizi cloud, si raccomanda di raccogliere dati su vulnerabilità e penetration test. In alcuni casi è consigliabile eseguire test dinamici di sicurezza delle applicazioni (DAST).
- Attuare i requisiti previsti dai contratti. I contratti con i fornitori dovrebbero includere requisiti specifici in materia di sicurezza delle informazioni. Ad esempio verifiche periodiche della sicurezza, rispetto delle politiche di sicurezza pertinenti della propria organizzazione, protocolli di notifica degli incidenti.
- Adottare misure tecnologiche preventive. Il rischio di danni gravi derivanti dalla compromissione dei fornitori si riduce notevolmente se la propria organizzazione adotta pratiche sicure. Come il principio del privilegio minimo, l’approccio zero trust e una gestione delle identità ben consolidata.
