Formazione sulla sicurezza con i fornitori di terze parti

Un modo efficace per gestire le vulnerabilità dei fornitori terzi è quello di implementare la formazione sulla sicurezza con i fornitori terzi.

L’ecosistema dei fornitori è parte integrante di molte organizzazioni e fornisce il supporto per un’attività di successo. Questa relazione intima, spesso complessa, tra i fornitori ha dato origine a linee di faglia che gli hacker sfruttano. La formazione sulla sicurezza dei fornitori terzi è estremamente importante.

La portata di queste vulnerabilità di terze parti è stata rilevata da un’indagine condotta nel 2020 da Opinion Matters: l’indagine ha esaminato le problematiche di sicurezza dell’ecosistema di terze parti con CIO, CISO e Chief Procurement Officer. Uno dei risultati più preoccupanti del rapporto è stato che circa l’82% delle organizzazioni del Regno Unito ha subito una violazione della sicurezza che ha avuto origine nel più ampio ecosistema dei fornitori. L’indagine ha anche evidenziato che il Regno Unito ha la più scarsa visibilità delle vulnerabilità di sicurezza nella catena di fornitura.

Gestire le implicazioni di sicurezza dell’uso di terze parti 

La formazione sulla sicurezza dei fornitori terzi è un processo olistico che coinvolge molte parti in movimento. A causa della complessità di questi sistemi, sia l’esposizione accidentale dei dati che la sicurezza informatica della catena di fornitura portano a gravi minacce alla sicurezza e a un aumento del rischio aziendale.

Le aziende che utilizzano fornitori e altre terze parti, sono tipicamente responsabili degli esiti di un attacco informatico, anche se la colpa è di una terza parte. Regolamenti come ISO27001 e PCI DSS (Payment Card Industry Data Security Standard) hanno requisiti che prevedono qualsiasi i rischi legati ai dati dei fornitori terzi sono gestiti. 

A Un recente studio dell’ENISA ha rilevato che il 58% degli attacchi si concentra sull’ottenimento dell’accesso ai dati e il 62% degli attacchi dipende dalla manipolazione della fiducia dei clienti nella catena di approvvigionamento. Il rapporto ENISA afferma che:   

“Una forte protezione della sicurezza non è più sufficiente per le organizzazioni quando gli aggressori hanno già spostato la loro attenzione sui fornitori“. 

Anche la segnalazione degli incidenti è stata evidenziata nel rapporto come scarsa, con un conseguente impatto sulla visibilità delle vulnerabilità a monte della catena.  

Poiché le catene di fornitura sono responsabili di così tanti attacchi informatici, è fondamentale concentrarsi sul lato umano della sicurezza informatica, assicurandosi che tutte le terze parti siano pienamente consapevoli delle sfide della sicurezza. Per affrontare l’elemento umano nell’equazione delle minacce alla sicurezza informatica è necessaria una formazione di sensibilizzazione alla sicurezza. Ma come fa un’organizzazione a gestire la formazione di sensibilizzazione alla sicurezza con i fornitori terzi?

Domande importanti nella gestione della formazione di sensibilizzazione alla sicurezza con i fornitori terzi

La gestione delle vulnerabilità della sicurezza nella catena di fornitura passa attraverso la formazione dei dipendenti di tutta la catena. La gestione della formazione di sensibilizzazione alla sicurezza con i fornitori e i dipendenti di terze parti comporta diverse domande chiave:  

La terza parte ha una formazione di sensibilizzazione alla sicurezza? 

Scopri se il tuo fornitore ha già un pacchetto di formazione sulla consapevolezza della sicurezza. Tieni presente, però, che non tutti i pacchetti di sensibilizzazione alla sicurezza sono uguali. Il livello di formazione deve essere tale da soddisfare le aspettative della tua azienda. Verifica che la formazione venga effettuata a intervalli regolari. Un pacchetto di formazione scadente, che non utilizza materiali formativi interattivi e coinvolgenti, potrebbe non cambiare le cose.  comportamenti di scarsa sicurezza da parte dei dipendenti.  

Il Fornitore utilizza simulazioni di phishing e altre forme di educazione alla consapevolezza del phishing? 

In un In un sondaggio del 2021 condotto da Thales, il phishing si è classificato al terzo posto nella top ten delle minacce ai dati. Il malware e il ransomware, spesso avviati dal phishing, erano rispettivamente al primo e al secondo posto.  

Le simulazioni di phishing conducono un dipendente attraverso una configurazione accurata di esercizi di simulazione di phishing automatizzati. Con il tempo, il personale acquisisce fiducia nel saper riconoscere i segni rivelatori del phishing e nel saper segnalare la minaccia. Verifica se il tuo fornitore utilizza simulazioni di phishing e, in caso contrario, aiutalo a sviluppare un programma che simuli le tipiche truffe di phishing che colpiscono il tuo settore.  

Valutare qualsiasi campagna di formazione di sensibilizzazione alla sicurezza esistente con fornitori di terze parti 

Una volta accertato che il fornitore dispone di un programma di formazione sulla sicurezza, puoi valutarne l’efficacia controllando il sito: 

• Prove documentali della formazione, ad esempio la partecipazione dei dipendenti alle sessioni di formazione, i tipi di domande poste dai partecipanti, ecc. 
• Metriche sull’efficacia della formazione, ad esempio quanti dipendenti sono riusciti a riconoscere un messaggio di phishing e a segnalarlo? 

Le metriche aiutano ad apportare modifiche mirate a un programma che porta a risultati di formazione ancora migliori. 

Cosa succede se il tuo fornitore terzo non utilizza la formazione di sensibilizzazione alla sicurezza? 

È sempre più importante affrontare l’elemento umano del rischio informatico. Un altro  Il rapporto ENISA ha rilevato che il 95% delle e-mail di phishing richiede l’intervento umano per avviare un’infezione malware. Inoltre, è necessario prendere in considerazione anche la minaccia rappresentata dagli insider accidentali.  Verizon Data Breach Investigations Report, 2021, ha rilevato che il 22% degli incidenti di sicurezza ha coinvolto persone interne. 

Il personale dei fornitori deve essere formato agli stessi livelli di consapevolezza della sicurezza del personale della tua azienda. Per gestire questo aspetto, l’accordo sul livello di servizio (SLA) tra la tua azienda e il tuo fornitore deve riflettere il livello di formazione che ti aspetti. Questo accordo legale deve prevedere che i dettagli del programma di formazione sulla sicurezza siano approvati secondo i tuoi standard. L’esistenza di uno SLA che includa una clausola per la fornitura di formazione sulla sicurezza dimostra che il fornitore si impegna a garantire la sua sicurezza e la tua.  

Ottimi fornitori di terze parti garantiscono un vantaggio competitivo, ma le vulnerabilità della sicurezza possono trasformare un ottimo fornitore in una passività.

I criminali informatici cercano l’anello più debole della catena, il fornitore e il suo personale. Per assicurarti che queste falle nella catena siano attenuate, assicurati che la formazione sulla sicurezza dei fornitori terzi sia gestita con attenzione per soddisfare le aspettative e gli standard che ti aspetti.