Supply Chain Security

I rischi della catena di fornitura

La supply chain (“catena di fornitura”) è una rete di organizzazioni coinvolte nelle attività di produzione o di erogazione di servizi fino al cliente o utente finale. Infatti, le singole organizzazioni non dispongono internamente di tutte le risorse necessarie per gestire l'intero ciclo di vita di un prodotto o di un servizio ed è per questo motivo che devono ricorrere a numerosi fornitori.

Nello specifico, la supply chain relativa ai servizi ICT ha subito nel tempo profonde trasformazioni, passando da soluzioni gestite nei data center interni all’outsourcing e al cloud, interessando non solo la classica informatica di base ma anche l’automazione degli impianti con soluzioni OT (Operational Technology) e IoT (Internet of Things). L'esternalizzazione dei servizi ha inoltre avuto come conseguenza che sempre più fornitori accedono ai sistemi informatici dell'organizzazione cliente.

Il presente libro tratta i rischi relativi alla sicurezza della supply chain ICT. Il termine supply chain sarà dunque normalmente riferito, in modo implicito, a quella ICT, pur estendendo talvolta la trattazione, più in generale, a quegli oggetti digitalizzati la cui sicurezza è fortemente correlata a quella dei loro fornitori.

In particolare, la Clusit Community for Security si propone con questa pubblicazione di fornire alcuni suggerimenti di taglio interfunzionale come:

Ampio spazio è inoltre dedicato alla trattazione delle principali normative dedicate a settori regolamentati, quale ad esempio la Direttiva NIS2, di recente pubblicazione, destinata alle organizzazioni private e alle pubbliche amministrazioni che operano nei servizi fondamentali e nelle infrastrutture critiche e ai loro fornitori.

La necessità di un’adeguata gestione dei rischi è dimostrata anche da molti casi di incidenti dovuti a errori, leggerezze e mancati controlli da parte dei subfornitori della supply chain, i cui impatti si sono propagati poi sino al cliente finale, con conseguenze anche gravi per il business. Varie ricerche ed esempi rilevanti di incidenti di sicurezza vengono quindi inclusi, fornendo ulteriori utili spunti.

Perché questo libro?

Dai dati del Rapporto Clusit 2021 sulla sicurezza ICT in Italia e nel mondo, emerge un incremento di attacchi veicolati sfruttando vulnerabilità della supply chain, che consente ai criminali informatici di colpire tutti i soggetti in essa coinvolti (clienti, altri fornitori e soggetti terzi). Alcune dinamiche emergenti o recentemente consolidatesi in esso evidenziate sono:

Purtroppo la crescente interconnessione tra le varie organizzazioni fa sì che la debolezza di un solo anello della catena permetta l’accesso ai dati e alle reti dei committenti e di tutta la filiera.

Diviene perciò fondamentale per il management comprendere come lo scenario descritto possa interessare la propria organizzazione e a quali rischi essa è esposta, considerando tutte le tipologie di servizi ICT interni o esternalizzati.

Lo scopo non è soltanto quello di aiutare i clienti a comprendere cosa chiedere ai propri fornitori ma anche quello di aiutare i fornitori a prepararsi a sostenere le possibili (e sempre più probabili) richieste dei propri clienti.

A chi si rivolge?

A beneficiare della lettura di questo libro saranno certamente i vertici delle organizzazioni (p.e. componenti dei CdA, CEO e CFO). Essi infatti giocano un ruolo fondamentale nella definizione delle strategie di sicurezza e di esternalizzazione, potranno sviluppare la consapevolezza sul tema e richiedere un adeguato monitoraggio della supply chain.

Il libro sarà inoltre un'utile lettura per le altre figure con responsabilità più operative e di supporto al vertice. Ad esempio i risk manager, i CIO, i CISO, i DPO e, nell'ambito pubblico, i responsabili per la transizione al digitale, i responsabili degli acquisti, i project e product manager.

La lettura di questo libro non presuppone competenze pregresse approfondite: si assumerà per il lettore almeno una sensibilità verso i processi critici di un’organizzazione e un’attenzione a cosa è esternalizzato.


Autori, contributori e ringraziamenti


  • ARISK
  • Cassa Centrale Banca
  • CBA
  • ConsAL
  • CSI Piemonte
  • CSQA
  • Cyber Partners
  • Cybertech
  • DI.GI. Academy
  • DITEN
  • ENI
  • ENI Plenitude
  • GRCteam
  • Hackmanac
  • IBM
  • ITree Consulting
  • Iusintech
  • Liguria Digitale
  • Mead
  • Microsoft
  • MM
  • Oracle
  • Osservatori del Politecnico
  • PCAutomotive
  • PKF
  • PluribusOne
  • PQE Group
  • Qualys
  • Rexilience
  • S2E
  • Sernet
  • Servitecno
  • Stella McKartney
  • Studio LA&P
  • VMware

Editor e team leader

Orlando Arena Consulente Cyber Risk Management & Digital Innovation
Fabrizio Bulgarelli PKF GODOLI RAS Partner
Andrea Cabras Webuild S.p.A Cyber Security Expert
Cesare Gallotti Consulente di sicurezza delle informazioni, qualità e privacy
Francesca Gatti CLUSIT
Valeria Lazzaroli Arisk Chief Risk Officer
Alberto Leporati Università degli Studi di Milano-Bicocca, Professore Associato Comitato Scientifico Clusit
Paola Meroni Whirlpool Corporation Global Privacy Manager
Roberto Obialero CLUSIT, Consiglio Direttivo Membro di ECSO-CISO European Community; S2E, CISO & Manager BL Cybersecurity Advisory & Compliance
Manuel Angelo Salvi GRC Team ISO 27001 e GDPR Consultant, DPO
Silvia Stefanelli Studio Legale Stefanelli & Stefanelli Avvocato
Mario Testino ServiTecno COO e Consigliere
Alessandro Vallega CLUSIT Coordinatore Community for Security

Autori

Riccardo Abeti EXP Legal Founding Partner, specializzato in “Privacy e diritto delle nuove tecnologie"
Davide Agostinello Comparto sanitario pubblico Collaboratore Tecnico
Davide Ariu Pluribus One CEO
Andrea Arrigoni Sanofi S.r.l IT Country Leader
Giovanni Belluzzo InfoCert Head of Cyber Security & Management System, Chief Information Security Officer
Manfredi Blasucci Qualys Inc. Senior Security Solution Architect
Milena Boetti Cassa Centrale Banca IT Security Governance Specialist
Raffaele Borrelli Revo Insurance SpA Cyber & Technology Underwriter
Angelo Bosis Oracle Technology Architect Director
Giuseppe Brando ENI Head of Cyber Threat Analysis and Research
Fabio Bucciarelli Cybertech - Engineering Group Solution Architect Master
Giancarlo Butti Esperto privacy e sicurezza
Dario Carnelli Codd&Date Suisse IT Strategy & GRC Advisor
Andrea Castello CSQA Certificazioni Digital Improvement and Development Executive Manager
Marco Ceccon Deloitte Risk Advisory Director
Federico Cerutti Università degli Studi di Brescia Ricercatore Rita Levi-Montalcini e Professore Associato
Mauro Cicognini CLUSIT Founding Partner
Coreena Corgado Unicredit Cyber Security Specialist
Igino Corona Pluribus One Chief Technology Officer
Rita Eva Cresci IUSINTECH Innovation Lawyer
Giuseppe Cusello Cyber Partners S.p.A. (Gruppo RINA) GRC Director
Carlo Di Giangiacomo Unicredit Head of Group BC & Resilience Methodology
Giorgia Dragoni Politecnico di Milano Researcher at Osservatori Digital Innovation
Elenio Dursi CLUSIT IT project manager and Scientific Committee Board Member at Clusit
Ambrogio Ferretti A2A Senior IT Auditor
Enrico Ferretti Protiviti Managing Director
Giovanni Battista Gallus Array studio legale Avvocato; Fellow Centro Nexa su Internet e Società; membro Advisory Board Osservatorio Droni Polimi
Chiara Gatti UnipolSai Assicurazioni s.p.a. Responsabile Sottoscrizione Rischi Cyber (head of cyber risk underwriting)
Patrizia Gona Cybertech - Engineering Group Presale Manager Security Architect
Carlo Guastone Sernet SpA Vicepresidente Business Development
Anna Iorio CBA Studio Legale e Tributario Avvocato - Privacy & Intellectual Property and Technology
Anna Italiano Partners4Innovation Avvocato - Senior Legal Consultant
Lorenzo Ivaldi DITEN Università di Genova, SysAdmin (funzionario tecnico), docente a contratto
Franco Lazzari IBM Italia Cybersecurity Consultant
Veronica Leonardi Cyberoo S.p.A Executive Board Member and Chief Marketing Officer
Federica Maria Rita Livelli Business Continuity & Risk Management Consultant; ANRA - Board Member; BCI ITALY CHAPTER - Board Member; CLUSIT Scientific Committee
Marco Locatelli Rexilience CEO
Andrea Longhi ConsAL Consulente Direzionale
Lorena Manco UnipolSai Assicurazioni s.p.a. Sottoscrittore Rischi Cyber (Cyber risk underwriter)
Davide Manconi Plenitude Cyber Security Manager
Franco Marconcini Electrolux Professional CISO
Andrea Mariotti EY Associate Partner Cybersecurity & Digital Protection
Stefano Mastella Studio ing. Stefano Mastella Titolare
Luigi Mauro Protiviti Manager
Savino Menna Studio LA&P Avvocato Senior Partner - Head of Tech Law, Cybersecurity & Data Protection Department
Riccardo Modena Sernet spa Manager delle Lines of Business "ICT Governance" e "ICT Security"
Enzo Mudu IBM Consulting Business Sales & Delivery Executive - Security & Privacy e Chief Information Security Officer presso DOCK (an IBM Company)
Raffaele Munari MM spa Responsabile ICT Governance
Michele Onorato Westpole CISO & Security BU Manager
Paolo Ottolino ISC2 Chapter-Italy PMP CISSP-ISSAP CISA CISM OPST ITIL
Enrico Palmerini Università degli Studi "G. d'Annunzio" Chieti-Pescara Responsabile Settore Help Desk Informatico
Gian Fabio Palmerini Webuild S.p.A. Information & Cyber Security Senior Manager
Ignazio Parrinello Mead Informatica Responsabile Governance Risk e Compliance
Maurizio Pastore Liguria Digitale Responsabile servizi Privacy
Maria Roberta Perugini IUSINTECH Avvocato
Pieraldo Pistocchi MM spa CISO
Riccardo Ranza Consulente IT e Security
Roberto Raspatella Oracle Senior Technology Specialist
Roberto Reale Agenzia per l'Italia Digitale Project Manager
Andrea Rui CLUSIT, CISA, CBCP, CCSK Consulente IT e Security
Corrado Salvemini Stella McCartney Head of IS&T Security
Martina Santi PKF Godoli Ras Srl Assistente legale
Sofia Scozzari HACKMANAC, CEO & Founder CLUSIT, Membro del Direttivo
Eliana Sessa MunichRe Cyber Underwriter
Mattia Spagnoli VMware Lead Solution Engineer, Security
Giulio Spreafico AIEA Auditor di Sistemi Informativi e Consulente Rischi ICT, Sicurezza e Privacy
Claudio Telmon CLUSIT Membro del Direttivo Clusit
Andrea Tomassi Di.Gi. Academy Cyber Security Manager
Guglielmo Troiano Grant Thornton Manager Data Protection Services
Elena Vaciago THE INNOVATION GROUP Research Manager
Roberto Veca Cyberoo S.p.A. Head of Cybersecurity
Enzo Veiluva CSI Piemonte DPO
Luca Verderame Talos Security
Sylvio Verrecchia Supply Chain Cyber Security Risk Manager
Gianfranco Vinucci PCAutomotive Chief Operating Officer
Luca Zammarchi PQE Group Digital Governance International Delivery Director
Fabrizio Zarri Oracle Cloud Security Advisor

Contributori

Sergio L. Insalaco UnipolSai Responsabile Governance Standard, Continuità e Sicurezza dei servizi informatici
Alessandro Maria Manfredini Direttore di Group Security e Cyber Defence del Gruppo A2A e Presidente dell’Associazione AIPSA Associazione Italiana Professionisti della Security Aziendale
Alessandro Marzi Responsabile Cyber Defence e CISO del Gruppo A2A
Gianbattista Piacentini Head of Digital Security Validation at UniCredit

Download

È possibile scaricare il documento (aggiornato a febbraio 2023) cliccando sulla copertina del libro, o sul pulsante di download.

Supply Chain Security
Scarica il libro

Per dimostrare il vostro apprezzamento, per darci un consiglio e/o per richiedere eventuali aggiornamenti dei nostri lavori potete contattarci scrivendo a c4s@clusit.it

Il documento, le appendici e gli allegati sono concessi in licenza Creative Commons 4.0 Italia, Attribuzione - Condividi allo stesso modo.

La licenza utilizzata permette a chiunque di usare il nostro prodotto anche per crearne una sua evoluzione a condizione che citi gli autori originali e utilizzi a sua volta lo stesso tipo di licenza. Autorizziamo la pubblicazione anche parziale di testo e immagini non già protette da altri copyright riportando la nostra url http://c4s.clusit.it.


Torna al sito c4s