Garanzia della conformità agli standard di cybersecurity da parte di fornitori e partner

Il processo per garantire la conformità agli standard di cybersicurezza da parte di fornitori e partner ha l'obiettivo di monitorare e migliorare continuamente le pratiche di sicurezza dei terzi. Le misure comprendono obblighi contrattuali, audit regolari, valutazioni della sicurezza e monitoraggio continuo.

1. Obiettivo del processo

L'obiettivo è garantire che tutti i fornitori e partner esterni, che hanno accesso ai sistemi, alle reti o ai dati dell'azienda, rispettino e mantengano gli standard di cybersicurezza concordati. Questo processo assicura la minimizzazione dei rischi e la protezione dei processi aziendali critici.

2. Ambito di applicazione

Il processo si applica a tutte le parti esterne che forniscono servizi per processi aziendali critici o hanno accesso a sistemi e dati sensibili. Ciò include fornitori, aziende partner e fornitori di servizi.

3. Fasi del processo

3.1 Obblighi contrattuali

Responsabile: Responsabile della conformità, Responsabile degli approvvigionamenti

Attività:

• I requisiti di cybersicurezza sono inseriti come clausole contrattuali chiare negli accordi con partner esterni.
• Si garantisce che tutti i nuovi contratti includano requisiti dettagliati sugli standard di sicurezza.
• Documentazione dei requisiti di sicurezza specifici, adeguati ai rischi e all'importanza del partner.

3.2 Verifica preliminare e valutazione della sicurezza

Responsabile: Responsabile della sicurezza IT, Lead Auditor

Attività:

• Verifica preliminare e valutazione di nuovi fornitori e partner prima di concedere l'accesso ai sistemi interni.
• Revisione dei certificati di sicurezza esistenti (ad esempio, ISO/IEC 27001) e dei risultati di audit precedenti.
• Creazione di un rapporto di sicurezza per valutare l'idoneità e il livello di rischio del partner.

3.3 Audit regolari

Responsabile: Lead Auditor

Attività:

• Esecuzione di audit regolari per verificare la conformità agli standard di cybersicurezza.
• Controllo completo della documentazione e ispezioni in loco per garantire che tutte le misure di sicurezza siano implementate correttamente.
• Documentazione dei risultati dell'audit e monitoraggio dell'implementazione delle misure correttive.

3.4 Monitoraggio continuo

Responsabile: Responsabile della sicurezza IT

Attività:

• Implementazione di un sistema per il monitoraggio continuo delle pratiche di sicurezza dei fornitori e partner.
• Utilizzo di sistemi SIEM per rilevare e segnalare in tempo reale gli incidenti di sicurezza.
• Revisione regolare dei rapporti di monitoraggio per garantire l'efficacia delle misure di sicurezza.

3.5 Valutazioni della sicurezza e gestione del rischio

Responsabile: Responsabile del rischio

Attività:

• Valutazioni della sicurezza annuali per fornitori e partner critici.
• Aggiornamento del piano di gestione del rischio in base ai risultati delle valutazioni e ai cambiamenti nello scenario delle minacce.
• Collaborazione con i fornitori per implementare strategie di mitigazione del rischio.

3.6 Procedure di escalation in caso di non conformità

Responsabile: Responsabile della conformità

Attività:

• Sviluppo di una procedura di escalation per le violazioni degli standard di cybersicurezza da parte dei fornitori o dei partner.
• Notifica immediata in caso di violazioni rilevate e richiesta di risoluzione entro un tempo prestabilito.
• Applicazione di sanzioni contrattuali o cessazione della collaborazione in caso di violazioni ripetute o gravi.

3.7 Follow-up e documentazione

Responsabile: Lead Auditor, Responsabile della conformità

Attività:

• Monitoraggio dell'implementazione delle misure correttive.
• Documentazione centralizzata di tutti i risultati degli audit e delle attività di monitoraggio, insieme alle misure correttive.
• Rapporti regolari alla direzione sullo stato attuale della cybersicurezza presso fornitori e partner.

4. Responsabilità

• Responsabile della conformità: Supervisiona l'inclusione contrattuale dei requisiti di cybersicurezza, avvia le procedure di escalation.
• Responsabile della sicurezza IT: Conduce verifiche preliminari, monitora continuamente e fornisce supporto tecnico negli audit.
• Lead Auditor: Pianifica e conduce audit, redige rapporti, monitora l'implementazione delle misure correttive.
• Responsabile del rischio: Responsabile delle valutazioni della sicurezza, gestione del rischio e collaborazione con i fornitori per la mitigazione del rischio.

5. Reportistica e miglioramento continuo

• Reportistica: Rapporti regolari alla direzione sullo stato della cybersicurezza presso fornitori e partner, risultati degli audit e misure correttive.
• Miglioramento continuo: Revisione annuale del processo per garantire che rimanga efficace. Adeguamento in base ai risultati degli audit e delle valutazioni di sicurezza, nonché ai cambiamenti nello scenario delle minacce.

Con queste misure, la cybersicurezza di fornitori e partner rimane sempre a un livello elevato e si adatta proattivamente ai nuovi rischi.