Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

il rapporto

Dalla fiducia alla sicurezza: come gestire il rischio di terze parti

Home News, attualità e analisi Cyber sicurezza e privacy
Indirizzo copiato

Il recente Cybersecurity Buyer Intelligence Survey di Cyber Risk Alliance (CRA), realizzato in collaborazione con AuditBoard, sottolinea come adottare le migliore strategie per questo tipo di rischio sia essenziale per garantire l’evoluzione delle operazioni IT

Pubblicato il 11 feb 2025
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, BCI Cyber Resilience Committee Member, CLUSIT Direttivo, ENIA Comitato Scientifico

Dalla fiducia alla sicurezza: come gestire il rischio di terze parti

Oggigiorno, per garantire la sicurezza dei dati, è necessario adottare un approccio proattivo e avere una visibilità completa su cosa viene effettivamente esposto in rete.

Di fatto, la mancanza di trasparenza è una delle preoccupazioni più comuni tra i dirigenti aziendali e i responsabili della sicurezza informatica. Spesso, le organizzazioni non hanno il pieno controllo su come i loro partner utilizzano i loro dati, rendendo cruciale una supervisione chiara e rigorosa. Inoltre, gli investimenti nella sicurezza informatica delle terze parti rimangono insufficienti.

Da quanto si evince dal Cybersecurity Buyer Intelligence Survey di CRA (Cyber Risk Alliance) e AuditBoard – una software company americana che fornisce strumenti per la gestione del rischio, la conformità e l’auditing – i professionisti della cyber security segnalano una carenza di risorse economiche per ottenere una visione completa del rischio di esposizione dei dati e per identificare i partner che potrebbero rappresentare una minaccia, oltre che causare problemi di comunicazione e compromettere la capacità di rispondere in modo efficace alle violazioni.

È doveroso sottolineare che la protezione dei dati condivisi inizia con la comprensione e l’individuazione delle lacune nella supervisione degli stessi.

Di seguito sono riportati i principali risultati del report di CRA e AuditBoard, scaturiti dalle interviste fatte lo scorso giugno 2024 a n. 204 leader e dirigenti della sicurezza informatica e IT, professionisti, amministratori e responsabili della compliance ubicati nel continente nord americano.

Rischio di terze parti – AAA, approccio proattivo cercasi

Il report di CRA e AuditBoard offre alcuni spunti per attuare un approccio proattivo al rischio di terze parti. E, precisamente:

  • Ottenere chiarezza sul proprio contesto – La maggior parte delle aziende condivide i propri dati con decine di partner e, in alcuni casi, centinaia o persino migliaia di soggetti esterni che possono accedere ai dati interni. La mancanza di chiarezza può convertirsi in una grande vulnerabilità in caso di errore o esposizione dei dati da parte di uno o più partner. Pertanto, per definire e applicare efficacemente le politiche di sicurezza, è necessario avere un quadro completo su chi ha accesso a cosa, attraverso la creazione e il mantenimento di un inventario completo della condivisione dei dati.
  • Comprendere cosa è a rischio – È fondamentale, oltre a sapere chi ha accesso ai dati, conoscere come tali dati siano protetti e quali potrebbero essere le conseguenze della loro esposizione. Le organizzazioni ripongono poca fiducia nei confronti delle terze parti, non potendo accedere a informazioni dettagliate su come esse proteggono le proprie reti e i dati. Inoltre, gli addetti alla cyber security non hanno una visione chiara delle conseguenze nel caso in cui tali dati siano compromessi. Di conseguenza, è quanto mai essenziale essere in grado di gestire l’accesso ai dati e minimizzare i rischi.
  • Essere pronti a gestire una violazione da parte di terze parti – I fornitori di software sono considerati le principali fonti di violazioni di terze parti, mentre i fornitori di “quarta parte” rappresentano una delle maggiori preoccupazioni per la sicurezza dei dati. In entrambi i casi, i responsabili di cyber security possono fare ben poco per mitigare i rischi di sicurezza in questi ambiti. Pertanto, quando la sicurezza dei dati non può essere valutata direttamente, è importante controllare la classificazione dei dati e il livello di accesso. Inoltre, si incoraggia le organizzazioni a adottare metodi per controllare direttamente l’accesso ai dati, per monitorare gli accessi non autorizzati e per rilevare le vulnerabilità.

Principali dati del rapporto

Di seguito si forniscono le principale evidenze e relative rappresentazioni grafiche scaturite dal report di CRA e AuditBoard.

Due terzi degli intervistati dichiarano di avere un contratto con un massimo di 100 terze parti.

Più di un intervistato su cinque (22%) indica che dal 26% al 75% dei propri partner terzi sono considerati ad alto rischio.

Più della metà (54%) di tutti gli intervistati ha subito uno o più incidenti di sicurezza IT relativi a un partner di terze parti.

I fornitori di software sono le principali fonti di attacchi e violazioni di terze parti.

Immagine che contiene testo, schermata, software, CarattereDescrizione generata automaticamente

Almeno un intervistato su quattro ha indicato che le interruzioni del servizio clienti, le interruzioni della rete, le interruzioni/chiusure dell’attività e la reputazione danneggiata sono state il risultato diretto di attacchi o violazioni di partner di terze parti.

Immagine che contiene testo, Carattere, numero, designDescrizione generata automaticamente

Circa due terzi degli intervistati indicano che la propria organizzazione ha sostenuto costi finanziari a seguito di attacchi o violazioni da parte di terzi.

Gli intervistati hanno valutato i dati dei clienti o dei dipendenti della propria organizzazione e i dati aziendali interni come il livello più alto di esposizione al rischio di terze parti.

Immagine che contiene testo, schermata, Carattere, numeroDescrizione generata automaticamente

I questionari di due diligence e le valutazioni annuali del rischio di terze parti sono i metodi principali per valutare la sicurezza di terze parti.

Immagine che contiene testo, schermata, Sito Web, CarattereDescrizione generata automaticamente

Almeno la metà di tutti gli intervistati indica che la propria organizzazione utilizza la formazione dei dipendenti e politiche e standard di terze parti per gestire il rischio di terze parti.

Immagine che contiene testo, Carattere, Sito Web, Pagina WebDescrizione generata automaticamente

Gli intervistati hanno valutato il rischio di errori umani non intenzionali commessi dai subappaltatori e dai loro dipendenti come uno dei rischi principali.

Immagine che contiene testo, Carattere, schermata, designDescrizione generata automaticamente

Gli intervistati hanno indicato la mancanza di visibilità sui rischi di terze parti e dei partner di quarta parte come le principali preoccupazioni nella gestione del rischio di terze parti.

Immagine che contiene testo, schermata, Carattere, numeroDescrizione generata automaticamente

Circa la metà di tutti gli intervistati indica che il rischio di terze parti è una priorità alta o una priorità critica nella propria organizzazione.

Immagine che contiene testo, schermata, diagramma, CarattereDescrizione generata automaticamente

Meno di uno su quattro (23%) è “molto fiducioso” o “estremamente fiducioso” che la propria organizzazione sia in grado di rilevare potenziali problemi di sicurezza con le proprie terze parti.

Immagine che contiene testo, schermata, diagramma, designDescrizione generata automaticamente

Almeno un terzo degli intervistati ha indicato il personale limitato, la complessità/difficoltà della due diligence di terze parti e un gran numero di terze parti sono le principali sfide nella gestione del rischio di terze parti.

Immagine che contiene testo, Carattere, Sito Web, Pagina WebDescrizione generata automaticamente

Poco più della metà (52%) degli intervistati è “molto probabile” o “estremamente probabile” che rifiuti o interrompa un rapporto commerciale a causa di preoccupazioni sulla posizione di sicurezza informatica di una terza parte.

Immagine che contiene testo, schermata, Carattere, diagrammaDescrizione generata automaticamente

Più della metà (56%) degli intervistati ha dichiarato che la propria organizzazione sta pianificando “alcuni investimenti” o “investimenti significativi” nei prossimi 12 mesi per migliorare le proprie capacità di gestione del rischio di terze parti.

Circa quattro intervistati su dieci (44%) indicano che la propria organizzazione dispone di un programma di gestione del rischio di sicurezza informatica di terze parti “consolidato” o “ottimizzato”.

Le organizzazioni che dispongono di un programma di gestione del rischio di terze parti “consolidato” o “ottimizzato” hanno molte più probabilità di implementare processi, controlli e strumenti specifici per gestire il rischio di terze parti.

Immagine che contiene testo, schermata, numero, CarattereDescrizione generata automaticamente

Conclusioni

La gestione del rischio legato alle terze parti è un elemento cruciale per le organizzazioni IT moderne, soprattutto in un contesto in cui le violazioni di dati legate ai partner esterni rappresentano una minaccia significativa. La mancanza di visibilità e fiducia nei confronti dei partner rimane una sfida importante, evidenziando la necessità di investire maggiormente in strumenti e processi per monitorare e controllare efficacemente l’accesso ai dati.

Solo attraverso una gestione proattiva, con investimenti mirati e una maggiore supervisione, le organizzazioni possono proteggersi dalle minacce derivanti dai partner terzi. In particolare, la collaborazione con i fornitori di software e subappaltatori di quarta parte deve essere gestita con grande attenzione, in quanto rappresentano le fonti principali di violazioni della sicurezza.

Per garantire la cyber resilience e minimizzare i rischi, le organizzazioni devono implementare processi di due diligence più rigorosi, formare adeguatamente il personale e adottare politiche di gestione del rischio più efficaci in modo tale da essere sempre più compliant alle normative vigenti atte a garantire ecosistemi più sicuri e che adottano sempre più un approccio risk-based e resilience-based.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Federica Maria Rita Livelli
Business Continuity & Risk Management Consultant, BCI Cyber Resilience Committee Member, CLUSIT Direttivo, ENIA Comitato Scientifico

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • GDPR AI assicurazioni

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • Conformità alla NIS 2: il ruolo dei Cda dei fornitori

  • supply chain

    Conformità alla NIS 2: il ruolo dei Cda dei fornitori

    20 Mag 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
  • Vulnerabilità OpenSSL attacchi MitM

  • l'exploit

    Grave vulnerabilità in OpenSSL: rischio di attacchi Man-in-the-Middle

    12 Feb 2025

    di Dario Fadda

    Condividi
  • Zero trust

  • soluzioni aziendali

    “Zero trust. Guida per le PMI”: i consigli di Cloud Security Alliance

    23 Lug 2025

    di Federica Maria Rita Livelli

    Condividi