DORA e la sicurezza delle terze parti: cosa è necessario sapere | NTT DATA

mar, 19 novembre 2024

DORA e la sicurezza delle terze parti: cosa è necessario sapere

Il Digital Operational Resilience Act (DORA) dedica una particolare attenzione alle terze parti che hanno accesso ai sistemi aziendali per fornire i loro servizi, perché potrebbero essere una potenziale fonte di rischio. Scopri in questo articolo come NTT DATA guida le aziende nel gestire questi casi attraverso una soluzione dedicata.

Perché le terze parti potrebbero essere l’anello debole nella catena della sicurezza informatica

A cura di Fabiola Giambattista, Executive Manager e Anna Raspa, Cybersecurity Associate Manager

I fornitori di servizi IT, con il loro ampio accesso ai sistemi dei clienti e l'uso diffuso dei loro servizi, sono particolarmente vulnerabili alle minacce informatiche e un qualsiasi evento negativo ad un attore dell’ecosistema potrebbe causare un degrado del livello di efficienza e di resilienza. È necessario quindi presidiare l’intero ecosistema affinché i fornitori garantiscano un livello di sicurezza appropriato (c.d. security posture).
Per avere un’idea basti sapere che nel Global Third-Party Cybersecurity Breaches Report si stima che quasi tutte le aziende (98%) abbiano un rapporto con una terza parte che è stata compromessa o violata. Altri studi hanno dimostrato che il 75% delle violazioni di terze parti ha riguardato prodotti o servizi software o tecnologici, con il settore dei servizi finanziari che ha registrato il volume più elevato di violazioni. 

Il rischio di attacchi informatici da parte di terzi si ripercuote direttamente sulle aziende, esponendo potenzialmente dati e informazioni confidenziali o interrompendo le operazioni:  questo rischio è ancora più elevato quando le aziende si affidano a servizi di terzi per funzioni critiche come, ad esempio, l'archiviazione dei dati o l'elaborazione dei pagamenti. Negli ultimi anni, diversi attacchi informatici avvenuti tramite lo sfruttamente di vulnerabilità di terze parti hanno cambiato drasticamente la percezione di questo rischio. Ad esempio, il cyberattacco SolarWinds del 2020, che ha colpito più di 18.000 organizzazioni, tra cui importanti enti governativi e aziende, ha causato violazioni di dati diffuse e ha provocato settimane di interruzione delle operazioni.  Analogamente, l'attacco ransomware di Kaseya del 2021, che ha preso di mira la piattaforma software dell'azienda utilizzata dai fornitori di servizi gestiti, ha provocato una reazione a catena di violazioni in oltre 1.500 aziende, costringendo diverse società a interrompere le operazioni per giorni.  Inoltre, nel maggio 2023 è stata scoperta una vulnerabilità all'interno del sistema di trasferimento di file MOVEit, che ha provocato il più grande furto di dati del 2023, che ha colpito oltre 2000 organizzazioni e più di 62 milioni di persone . Questi sono solamente alcuni esempi che evidenziano una conseguenza particolarmente importante, ovvero il problema delle violazioni a cascata, che si verifica quando un singolo attacco è in grado di provocare una reazione a catena di violazioni in un'intera rete di partner, evidenziando l'interconnessione del più ampio ecosistema di terze parti.    

Le sfide che i nostri clienti si trovano ad affrontare: quando entra in gioco il regolamento DORA?

PLa gestione della sicurezza delle terze parti risulta quindi di fondamentale importanza, nonostante presenti diverse sfide. 

  • Nel 2023 Risk Trends Report, molte aziende segnalano la mancanza di una governance centralizzata sulla propria rete, dichiarando di avere visibilità e  supervisione  notevolmente limitati: 
    • Circa l'80% delle aziende teme di non avere una visibilità completa, il che può portare a punti ciechi e lacune nell’implementazione di misure difensive.  
    • Il 69% delle aziende dichiara di spendere 1000 ore o più all'anno per la gestione del rischio.  
  • Un'ulteriore complessità è rappresentata dall'estensione della catena di fornitura: i fornitori di terze e quarte parti rendono ancora più difficile la mappatura e il monitoraggio di tutti i rischi potenziali, poiché la visibilità su questi livelli più profondi di fornitori è spesso limitata. 
  • Molte aziende non dispongono di accordi e leve contrattuali adeguati per imporre i controlli di sicurezza ai propri fornitori, rendendo più difficile garantire la conformità ed eseguire gli audit e le verifiche necessari. 
  • Inoltre, le aziende spesso non hanno le competenze necessarie per governare il programma di gestione dei rischi di terze parti e sono rallentati soprattutto da processi manuali che non agevolano il processo di monitoraggio continuo.

È anche per i motivi sopra indicati che sono state introdotte nel tempo differenti misure normative tra cui il Digital Operational Resilience Act, o DORA, vincolante per tutti i 27 Stati membri dell'UE e promulgato dalla Commissione Europea, che sarà direttamente applicabile dal 17 gennaio 2025.  DORA si occuperà di regolamentare la resilienza operativa digitale tra gli attori del settore finanziario basandosi su 5 pilastri.
Uno di questi è specificamente dedicato alla gestione del rischio derivante da terzi, vincolando le organizzazioni a: 

  • garantire una gestione dei rischi integrata nel quadro generale di gestione del rischio ICT e un monitoraggio completo, dall’ingaggio fino all’exit strategy, anche attraverso elementi contrattuali;
  • mantenere un registro dettagliato delle informazioni in relazione agli accordi contrattuali stipulati;
  • garantire che tutti i fornitori terzi soddisfino uno standard unificato per la sicurezza informatica;
  • tutelare il proprio livello di maturità in ambito Cybersecurity e le leve decisionali e strategiche nei confronti dei fornitori, attraverso la definizione di opportune clausole contrattuali.

Oltre al testo principale, la Commissione europea ha introdotto anche progetti di “Regulatory Technical Standards” e di “Implementing Technical Standards” (RTS e ITS) su una serie di argomenti, tra cui gli ITS sul registro delle informazioni, gli RTS sulla politica di utilizzo dei servizi ICT per le funzioni critiche o importanti e gli RTS sulle politiche di subappalto. Si tratta di documentazione tecnica e di dettaglio, necessaria ad indirizzare e supportare le aziende, nell’implementazione concreta di quanto richiesto dai requisiti DORA.

Un ragazzo e una ragazza lavorano in ufficio davanti a più schermi con linee di codice

La soluzione sviluppata da NTT DATA per gestire il rischio di terze parti

NTT DATA ha sviluppato un approccio complessivo alla gestione del rischio di terze parti, personalizzato per soddisfare le esigenze di ciascun cliente. La nostra metodologia da sempre consente alle aziende di affrontare l’intero ciclo di vita del fornitore, oggi anche con lo sguardo rivolto verso quelle che sono le novità introdotte dal Regolamento DORA.
Quali sono gli elementi chiave della nostra strategia? 

  • Servizio end-to-end che copre l'intero ciclo di vita del fornitore: dalla fase di selezione e qualifica (ad es. anche in fase di gara), allo svolgimento della due diligence e alla negoziazione del contratto, fino al monitoraggio continuo e/o alla definizione di una strategia di uscita, in linea con requisiti di cybersecurity e adempimenti contrattuali;
  • Gestione proattiva del rischio, supportando nell’adattamento delle modifiche normative, anche attraverso l’utilizzo di strumenti e tool che possano agevolare,  ottimizzare e automatizzare l’effort impiegato e che permettano di avere una più facile gestione dei fornitori stessi e delle cosiddette “quarte parti” (sub-fornitori), in ottica di gestione e riduzione del rischio cyber; 
  • Monitoraggio continuo dei fornitori, per avere piena visibilità e controllo su possibili gap e azioni di rimedio da mettere in campo, al fine di garantire una baseline di sicurezza da parte dei fornitori.

In conclusione, quanto emerge dai nuovi requisiti espressi dal Regolamento DORA, in relazione ad un modello di gestione delle terze parti, è riferibile alla necessità di:

  • avere una visione accurata e completa della propria catena di fornitura, in modo tale da agevolare, ad esempio l'implementazione di un processo strutturato di analisi e monitoraggio dei rischi cyber derivanti dai fornitori ed evitare il cosiddetto "rischio di concentrazione" dei fornitori; 
  • definire e implementare a livello contrattuale un set minimo di clausole da prevedere e di opportune exit strategy;
  • integrare il modello di gestione dei rischi delle terze parti nel più ampio modello di gestione del rischio;
  • identificare i momenti chiave in cui prevedere il coinvolgimento dei fornitori (ad es. esecuzione test di BC/DR/resilienza operativa);
  • prevedere l'utilizzo di un asset a supporto della raccolta di tutte le informazioni relative a ciascun fornitore (e raccolte da owner e strutture diverse all'interno dello stesso contesto) tramite l’implementazione di un registro delle informazioni.

Article Tags:

Blog Cybersecurity Cybersecurity

Related Insights

Cybersecurity

DevSecOps: la nuova frontiera della sicurezza del software

Cybersecurity

DORA e NIS2: come garantire una strategia di cybersecurity sostenibile ed efficace attraverso un approccio di conformità integrato

Cybersecurity

DORA e la sicurezza delle terze parti: cosa è necessario sapere

Cybersecurity

4 cyber-reminder per mettere al sicuro i propri dati online

About Us

Crea nuovo valore per il tuo business

CAREERS

Trasforma il tuo futuro

Contattaci ora

Entra in contatto con NTT DATA

Contattaci