La gestione del rischio informatico derivante dalla supply chain comporta spesso un elevato effort in termini di risorse e spending.

A seguito delle recenti evoluzioni normative ed in particolare con riferimento al Digital Operational Resilience Act (DORA) e alla NIS 2 diverse organizzazioni stanno investendo sul rafforzamento della mitigazione del rischio cyber nell’ecosistema dei fornitori.

Le best practice, quali ad esempio la NIST SP 800-161 forniscono degli spunti utili a comprendere gli elementi funzionali all’implementazione di presidi di rafforzamento della cyber in ambito supply chain.

Il Cybersecurity Supply Chain Risk Management (C-SCRM) descritto dalla best practice riportata rappresenta un sistema di gestione dei rischi di cyber security lungo tutta la catena di fornitura, finalizzato inoltre allo sviluppo di strategie di risposta, politiche, processi e procedure adeguate.

Il C-SCRM richiede un elevato livello di maturità della cyber security posture e un commitment da parte del top management suggerendo un’efficace applicabilità soprattutto nell’ambito di grandi aziende con elevate capacità di cyber security.

Tuttavia, è comunque possibile declinare il C-SCRM in contesti aziendali meno estesi, identificando alcune azioni chiave da implementare in ottica quick win. La presente analisi ha il duplice obiettivo di descrivere le caratteristiche del C-SCRM e di fornire alcuni spunti di riflessione in merito all’implementazione dello stesso in vari contesti aziendali.

Gestione dei fornitori: quadro di riferimento

L’efficienza della supply chain determina la capacità delle organizzazioni di condurre attività di business, tra cui la commercializzazione di prodotti e servizi, e di conseguenza questa risulta funzionale al raggiungere gli obiettivi strategici.

Se consideriamo la progressiva digitalizzazione dei processi aziendali e l’evoluzione del contesto di minaccia, la mitigazione del rischio cyber risulta di particolare rilevanza al fine di garantire l’efficienza della supply chain.

Nonostante l’interconnessione operativa tra aziende e fornitori spesso in realtà non emergono sinergie significative nell’ambito della risposta agli incidenti informatici e rispetto ad iniziative di prevenzione del rischio.

Per comprendere meglio tali dinamiche bisogna, in primo luogo, considerare la limitata visibilità delle interconnessioni tra i fornitori e le aziende, dalla quale derivano una serie di complessità operative. Ad esempio: “Saremmo in grado di identificare rapidamente quali siano i fornitori critici di un’azienda?” Oppure: “Quanti gradi di separazione dovremmo considerare (es. terze parti, quarte parti ecc.) al fine di monitorare correttamente il rischio cyber?”.

In entrambi i casi, è chiaro che siano necessarie una serie di attività preliminari al fine di fornire delle risposte precise.

La qualità di queste attività, tra cui la classificazione dei processi, dipende essenzialmente dal grado di maturità cyber di un’organizzazione. Tuttavia, anche nel caso di organizzazioni particolarmente avanzate in termini di presidio del rischio cyber emergono due principali criticità che impattano sulla qualità della gestione del rischio in ambito supply chain:

1. La frammentazione delle informazioni all’interno del contesto aziendale e localizzate in molteplici funzioni e all’esterno rispetto all’asimmetria informativa tra aziende e fornitori.
2. Il livello di maturità della cybersecurity necessario per svolgere le attività di gestione del rischio cyber ed in particolare le attività di identificazione e mappatura dei processi critici anche in funzione di garantire la continuità operativa.

Da quanto osservato, le complessità riportate sono correlate con la cybersecurity posture delle organizzazioni, intesa non solo come verticalità/qualità dei presidi di sicurezza operativa, ma anche come awareness e coinvolgimento del top management nel fornire l’imprinting strategico necessario allo svolgimento efficace delle attività di cybersecurity.

Per questo motivo, la definizione di un “sistema” o di un “programma” inteso come una iniziativa funzionale ad acquisire e confermare il buy-in dei decision maker aziendali costituisce la soluzione ideale per coinvolgere nel modo appropriato tutti gli stakeholder interni rilevanti.

Il perimetro di analisi: la best practice della NIST 800-161

La necessità di definire ed implementare un programma per il rafforzamento della supply chain security, viene inoltre suggerito da varie best practice tra cui la NIST SP 800-161r1 “Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations”.

La breve analisi di seguito ha l’obiettivo di fornire una rappresentazione degli elementi principali di gestione del rischio cyber in ambito supply chain e alcune riflessioni rispetto all’applicabilità nei contesti aziendali.

La NIST 800-161 si concentra sulla definizione ed implementazione di un Cyber Supply Chain Risk Management (C-SCRM) un sistema o programma da adottare al fine di gestire efficacemente la prevenzione e la gestione dei rischi informatici nell’ecosistema dei fornitori.

Un primo punto di attenzione fornito dalla best practice è costituito dalla perimetrazione di alcuni scenari di minaccia che possano essere indirizzati efficacemente dal C-SCRM, come ad esempio:

1. Insider threat con riferimento alla possibilità che personale esterno appartenente al fornitore comprometta la confidenzialità delle informazioni.
2. Compromissione hardware o software: che indica la possibilità che threat actor con accesso ai sistemi del fornitore possano inserire malware sulle componenti acquisite dall’azienda.
3. Fornitura di componenti hardware o software contraffatti e quindi potenzialmente rischiosi in termini di sicurezza informatica.
4. Fornitura di componenti non contraffatti, ma di origine e specifiche differenti da quelle dichiarate dal fornitore e di conseguenza potenzialmente inaffidabili o compromesse.

La capacità di un’organizzazione di mitigare il rischio derivante dagli scenari riportati dipende essenzialmente dal livello di oversight applicabile alla supply chain e dunque in prima istanza dalla capacità di gestione dei requisiti di sicurezza e della loro applicazione secondo i Service Level Agreement (SLA), ma soprattutto dal coinvolgimento dei fornitori nell’ambito del programma di C-SCRM attraverso le dovute azioni di verifica, monitoraggio e intelligence sharing rispetto ai rischi applicabili.

I presupposti per l’implementazione di un C-SCRM

L’implementazione di un programma di C-SCRM, come riportato in precedenza richiede il buy-in delle prime linee aziendali al fine di garantire un’adozione delle attività condivisa dalle funzioni coinvolte.

Infatti, il C-SCRM prevede in primis la definizione di un team congiunto e multidisciplinare con componenti provenienti da varie funzioni aziendali al fine di gestire la supply chain security secondo un approccio multirischio.

Chiaramente, il team di lavoro congiunto non dovrà sostituire le varie funzioni aziendali, che dovranno continuare a supportare il C-SCRM ciascuna nell’ambito del proprio perimetro di responsabilità.

Tra le varie funzioni potenzialmente coinvolte la NIST 800-161 suggerisce la funzione di governance cyber, IT, legal, HR e Risk Management.

Alcuni potrebbero obiettare che tali funzioni sono già incluse in tavoli di lavoro dedicati alla mitigazione del rischio nell’ambito dell’Enterprise Risk Management. Tuttavia, la quantità e la verticalità delle azioni necessarie per indirizzare il rischio di supply chain rende comunque necessaria la creazione di un team dedicato.

Ovviamente, nell’ottica di uniformare le attività aziendali, la best practice in oggetto suggerisce di prevedere un’integrazione degli output a livello strategico tra il gruppo di coordinamento dell’ERM e del C-SCRM.

In aggiunta, è utile riportare che il team di C-SCRM dovrebbe in ogni caso declinarsi sui tre livelli decisionali: strategico, tattico e operativo coinvolgendo quindi gli stakeholder appropriati in base alle attività.

Già da questa prima riflessione e come suggerito dalla NIST 800-161, l’entità dell’effort legato all’implementazione del C-SCRM determina la necessità di costituire un budget dedicato per sostenere il C-SCRM, misurandolo rispetto al risk appetite aziendale e agli obiettivi strategici.

Ciò rimanda all’importanza del primo presupposto descritto riguardante il buy-in del top management, che ricopre un ruolo chiave nella ponderazione dello spending in ambito C-SCRM rispetto ai potenziali impatti del rischio supply chain sui target di produttività dell’azienda.

Declinazione del C-SCRM a livello strategico, tattico e operativo

La traduzione di questo “impegno” a livello strategico si concretizza in una serie di documenti definiti e catalogati a livello aziendale al fine di indirizzare la gestione del C-SCRM.

Infatti, secondo quanto riportato dalla NIST 800-161 dovrebbero almeno essere definiti:

1. la strategia di gestione del rischio cyber rispetto alla supply chain;
2. il framing del rischio rispetto alle assumption inerenti agli scenari rilevanti;
3. il piano di implementazione del C-SCRM;
4. la policy di gestione del rischio cyber in ambito supply chain;
5. la pianificazione dell’implementazione del C-SCRM;
6. il modello operativo di gestione;
7. le procedure con le rispettive matrici di responsabilità.

A livello tattico, le attività inerenti al C-SCRM si concentrano sulla customizzazione del programma rispetto al contesto aziendale. Questo obiettivo può essere raggiunto essenzialmente attraverso due attività principali:

1. l’identificazione corretta delle minacce, le vulnerabilità e i processi impattati da un’eventuale disruption della supply chain;
2. la valutazione, la risposta ed il monitoraggio dell’esposizione al rischio sulla base delle interdipendenze nell’ecosistema dei fornitori

Tali attività, dovranno produrre degli output integrati in appositi report direzionali da fornire ai decision maker al fine di supportarli nella definizione dei parametri strategici in ambito supply chain quali ad esempio il risk appetite e l’allocazione dello spending.

A livello operativo possono invece essere incluse tutte le attività inerenti alla gestione del ciclo di vita dei fornitori sia da un punto di vista di procurement che di valutazione del rischio.

Le attività includono anche eventuali modifiche, manutenzioni ed aggiornamenti dei sistemi implementati per la mitigazione del rischio.

Vengono incluse in questo livello anche le analisi di probabilità ed impatto delle minacce in-scope e la definizione dei piani operativi di risposta con i vari Courses of action.

Il ruolo del PMO nella gestione del C-SCRM

È ora importante soffermarci brevemente su un ulteriore elemento essenziale del C-SCRM, il quale garantisce un flusso corretto delle informazioni e un’attivazione efficace dei processi trasversalmente ai tre livelli decisionali.

La NIST 800-161 suggerisce la costituzione di un PMO centrale, ovvero di un gruppo di SMEs in ambito supply chain security che si posizioni come service provider nei confronti di tutti gli stakeholder coinvolti.

Secondo quanto descritto il PMO ricopre principalmente tre ruoli:

1. Reporting delle informazioni trasversalmente ai livelli decisionali sia in termini di definizione dei report direzionali che rispetto allo scambio di informazioni operative a livello orizzontale tra le varie funzioni aziendali.
2. Supporto all’affinamento e rafforzamento dei controlli secondo l’evoluzione del contesto di minaccia e secondo il contesto aziendale.
3. Supporto al monitoraggio del rischio nell’ecosistema fornitori, costituito dalla Threat Intelligence ed eventuali vulnerabilità.

Come anche menzionato nell’ambito della best practice in oggetto, il PMO rappresenta una funzione chiave di raccordo tra le varie strutture coinvolte nel C-SCRM e dunque potrebbe essere soprattutto utile in aziende caratterizzate da un elevata complessità in termini di operazioni gestite, fatturato e numerosità di strutture aziendali.

Ciò suggerisce la necessità di articolare il C-SCRM sui vari contesti organizzativi specifici. Infatti, se è vero che il programma di gestione del rischio cyber della supply chain sia un funzionale al core business, dall’altro lato la necessità di budget e strutture dedicate potrebbe non incontrare gli approcci più operativi di gestione del rischio fornitori operati da aziende meno estese.

Di conseguenza, al fine di identificare un middle ground di applicazione degli utili spunti forniti dalla NIST 800-161 anche presso tali organizzazioni, vengono di seguito proposti alcuni spunti.

Ipotesi di applicazione “semplificata”del C-SCRM

La gestione del rischio cyber della supply chain viene spesso ulteriormente complicata dall’effort necessario per condurre le dovute valutazioni del rischio sui fornitori.

In aggiunta, la co-responsabilità della gestione del lifecycle dei fornitori tra le funzioni di procurement, legal e cyber security spesso conduce ad overlap operativi che minano in ultima istanza una precisa valutazione del rischio.

Di seguito, vengono quindi proposte alcune ipotesi volte a rafforzare la supply chain security in un’ottica quick-win con effort ridotto:

1. Identificazione dei processi critici e dei fornitori senza i quali non può essere garantita la continuità operativa. Secondo i principi di resilienza operativa anche definiti nell’ambito della NIST 800-160, la resilienza delle organizzazioni si concretizza nella capacità di sostenere attacchi cibernetici e mantenere contemporaneamente l’operatività del core business. Da ciò l’identificazione dei processi critici risulta fondamentale al fine di orientare l’effort di valutazione e monitoraggio del rischio in un’ottica di prioritizzazione.
2. Automatizzazione ed efficientamento del lifecycle di gestione dei fornitori. Al fine di garantire l’information sharing interno tra le funzioni rilevanti e un corretto tracciamento di quanto definito in termini di valutazione del rischio è importante identificare supporti tecnologici “user friendly” che supportino i fornitori nella compilazione dei questionari. Gli applicativi identificati non dovrebbero semplicemente supportare una digitalizzazione dei questionari, ma consentire di rispondere ai fornitori in maniera automatizzata rispetto a dubbi e specifiche, incidendo notevolmente sull’effort aziendale di gestione del fornitore. Ulteriormente, l’organizzazione dovrebbe tendere verso l’integrazione degli strumenti di onboarding e valutazione del rischio dei fornitori al fine di garantire una migliore oversight da parte di tutti gli stakeholder interni.
3. Definizione dei set di controlli sulla base della classificazione del fornitore. Una volta applicata l’iniziativa riportata al punto 1 sarebbe utile differenziare, al netto di specifici requisiti normativi, i controlli applicati ai fornitori ai fini della valutazione del rischio. I set di controlli dovrebbero essere customizzati rispetto alla tipologia di fornitore al fine di evitare la richiesta di requisiti non inerenti al core business (ad esempio la sicurezza del codice per fornitori che non prevedano la commercializzazione di prodotti digitali). Attraverso tali iniziative, l’azienda potrebbe razionalizzare l’effort ed efficientare il lifecycle.
4. Monitoraggio ed information sharing. In termini di monitoraggio delle minacce come, ad esempio, l’implementazione di strumenti di cyber threat intelligence, l’azienda dovrebbe valutare l’adozione di un full-managed service di modo da non incrementare l’effort delle funzioni interne. In questo modo, l’azienda potrebbe direttamente considerare le informazioni fornite dal provider di threat intelligence e condividerle con i fornitori o in alternativa coinvolgerli nell’adozione di un simile servizio.
5. Awareness delle risorse coinvolte. Al fine di omogeneizzare l’effort delle risorse responsabili del supply chain management, le aziende potrebbero prevedere dei momenti di condivisione dell’intero processo di gestione del rischio al fine di rappresentare le varie fasi e contribuire ad una migliore comprensione delle attività di mitigazione del rischio cyber.