La gestione dei rischi per la sicurezza di terze parti richiede rivalutazioni regolari

Anche se le tue policy di sicurezza per i partner del business sono state attentamente esaminate all’inizio della collaborazione, il risk management per la sicurezza di terze parti richiede rivalutazioni regolari per garantire che siano mantenuti livelli appropriati di sicurezza, privacy, compliance e resilienza.

Con che frequenza è necessario rivalutare i rischi per la sicurezza

Gli esperti concordano che firmare un accordo di business non costituisca la fase finale della gestione del rischio di terze parti, quanto piuttosto quella iniziale. Nonostante molte terze parti preferiscano termini di contratto di tre anni, il livello di sicurezza relativo alle terze parti e lo stato generale della relazione di business dovrebbero essere rivalutati almeno una volta l’anno. Sarebbe inoltre necessario eseguire rivalutazioni in seguito a eventuali modifiche del contratto, a prescindere dal fatto che si tratti di modifiche nell’ambito dell’accordo o di modifiche all’IT impiegato da entrambe le parti. Le terze parti dovrebbero essere sottoposte a valutazione anche quando si verificano problemi come incidenti di sicurezza o carenze di audit materiali.

Il rischio per la sicurezza relativa alle terze parti è stato un argomento di particolare interesse nelle recenti sessioni del Next-Generation Security Summit e i responsabili della sicurezza di diversi settori hanno condiviso le proprie conoscenze ed esperienze in questo ambito. Stando alle loro opinioni, ecco quali sono i quattro aspetti principali da prendere in considerazione durante una rivalutazione:

1. Revisioni indipendenti di terze parti

Queste comprendono business review e revisioni finanziarie, nonché revisioni tecniche dei controlli di sicurezza tecnici, amministrativi e fisici. È possibile eseguire diversi tipi di revisioni indipendenti e oggettive. Ecco alcuni esempi: lo Statement on Standards for Attestation Engagements (SSAE 16, noto in precedenza come SAS 70); gli standard Service Organization Controls (SOC 1 e SOC 2); lo standard ISO 27001:2013, una certificazione specifica per i controlli di sicurezza; lo standard ISO 22301:2012, una certificazione specifica per la Business Continuity; test di penetrazione indipendenti delle reti e delle applicazioni.

2. Revisioni basate su dati concreti

Oltre ai risultati e alle certificazioni delle revisioni indipendenti, è necessario accertarsi di richiedere le procedure e i piani correnti di disaster recovery (DR) e risposta agli incidenti (IR) e i risultati dei test più recenti delle terze parti.

3. Revisione dei controlli esistenti

Questi comprendono: controlli di sicurezza tecnici, amministrativi e fisici; policy sulla privacy relative a raccolta, utilizzo, storage, accesso, correzione ed eliminazione delle informazioni personali; piani operativi; piani di emergenza, tra cui disaster recovery e risposta agli incidenti. Per quanto riguarda applicazioni basate su cloud che sono ospitate da terze parti, le attività di revisione comprendono: revisione di autenticazione e autorizzazione; configurazione e gestione; crittografia e altri metodi di protezione dei dati; convalida degli input di dati; gestione delle sessioni; generazione di alert e monitoraggio in tempo reale. È importante richiedere una descrizione dettagliata di tutte le modifiche apportate a questi controlli dal momento in cui è stato eseguito l’audit iniziale.

4. Revisione delle procedure di interazione e comunicazione

Nonostante il massimo impegno di entrambe le parti e la rispettiva volontà di eseguire una procedura di onboarding ottimale e lineare, molte attività iniziali dovranno inevitabilmente essere riadattate nel corso della collaborazione. Per una partnership di successo sono necessarie revisioni continue di tecnologie, strutture ad albero delle chiamate per la gestione di situazioni anomale, procedure di handoff e sincronizzazione in merito a responsabili, mansioni e tempistiche e, tra le altre cose, autorizzazioni del personale.

Gli obiettivi strategici dell’organizzazione sono soggetti a evoluzioni e modifiche e le relazioni con terze parti devono evolversi ed essere riadattate insieme a tali obiettivi. Queste rivalutazioni periodiche delle relazioni con terze parti non devono essere limitate a rischi per la sicurezza, la privacy e la compliance non compensati, ma devono essere utilizzate anche per garantire che le relazioni con le terze parti supportino in modo ottimale i rischi compensati relativi agli obiettivi di innovazione, produttività e crescita dell’organizzazione.

No Comments