La Supply Chain è oggi una parte integrante e decisiva nella competizione tra le aziende.Questo però la rende un obbiettivo per gli hacker e altri cyber criminali.
Per questo motivo l’InformationSecurity Forum (ISF) ha deciso di lanciare una nuova iniziativa in merito. Si tratta di un progetto per analizzare come collaborare e condividere le esperienze tra le varie aziende per rendere le informazioni sicure e a prova di cybercrime.
L’idea è quella di allineare la miriade di approcci diversi delle varie aziende in un unico scenario che garantirà protezione sui dati di tutti.
L’ISF sottolinea che mentre solitamente nella Supply Chain ci si concentra tipicamente sulla sicurezza fisica delle persone e delle cose; la sicurezza delle informazioni – che è importante tanto quanto il prodotto fisico ed è assolutamente necessaria alla catena perché funzioni – è tipicamente gestita in maniera meno rigorosa.
Dati a rischio
L’importanza crescente delle tecnologie per le informazioni e il bisogno di condividere le informazioni sono stati recentemente analizzati nel report del World EconomicForum sui nuovi modelli per la Supply Chain e i rischi nei trasporti.
Nel report è emerso come il rischio che i dati condivisi nella Supply Chain siano compromessi o rubati è altissimo proprio perché le aziende prestano ancora poca attenzione al problema. Molte organizzazioni faticano a comprendere dove finiscano i propri dati.
La chiave di analisi è la domanda “cosa viene condiviso?” Dopo aver risposto a questa domanda, occorre avere il controllo sull’informazione condivisa e mantenerlo per tutte le fasi della catena. Troppo spesso il controllo sull’informazione viene perso passando tra i vari cicli della Supply Chain.
Best Practice confuse e non condivise
Purtroppo questo quadro è complicato da una profusione di standard e guide sulla sicurezza delle informazioni nella Supply Chain.
Questi documenti sono diversi tra loro negli scopi, negli obbiettivi, nei livelli di dettaglio. Pochissimi sono interconnessi tra loro o mappati. Questa mancanza di connessione è un problema poiché non permette la condivisione di soluzioni per la sicurezza tra i diversi soggetti.
Dal punto di vista della sicurezza informatica molte di queste guide si focalizzano sulla protezione delle informazioni all’interno dell’organizzazione. Solo recentemente alcune aziende iniziano a concentrarsi su come proteggere le informazioni nei processi esterni, come la Supply Chain, ma lo fanno spesso in modo “ad hoc”.
Inoltre lo sviluppo e l’implementazione dei controlli sulla sicurezza informatica sono spesso dipendenti dal grado di percezione del rischio che le singole aziende possiedono.
Legislazioni diverse sulle informazioni
A complicare ancora di più la situazione degli standard vi sono le diverse norme legali dei singoli Paesi. Poiché il ciclo della Supply Chain spesso coinvolge aziende di due o più Paesi, i manager sono abituati a gestire scenari legali diversi per la gestione delle merci, il trasporto e la consegna. Questo genera inevitabilmente dei conflitti e dei costi maggiori.
Gli stessi manager si trovano ad affrontare legislazioni diverse anche per quanto riguarda le informazioni, come ad esempio la privacy sui dati. Molte di queste leggi sulle informazioni richiedono che le organizzazioni adottino specifici approcci o tecnologie per proteggere le proprie informazioni.
Le difficoltà dei soggetti coinvolti
Come risultato di questi standard, linee guida, leggi complessee spesso in conflitto fra loro, gli acquirenti e i fornitori si trovano in difficoltà nel gestire le informazioni e la loro protezione.
Tipicamente un fornitore deve seguire la policy sulla sicurezza del proprio cliente, ma per un fornitore con acquirenti multipli questo vuol dire adottare policy multiple, producendo report multipli e diversi fra loro e rispondendo in modo diverso a domande simili o identiche a seconda della fonte da cui provengono.
La soluzione dell’Information Security Forum
Per far fronte ai problemi fin qui elencati e per fornire uno scenario comune per comunicare e misurare le performance, il forum ha lanciato il Supply Chain Information Security Assurance Framework.
L’iniziativa, che coinvolge le organizzazioni che determinano gli standard, quelle che si occupano di Supply Chain, gli acquirenti e i fornitori, si focalizzerà nell’integrazione delle linee guida esistenti, inclusi gli standard dettati in precedenza da ISF e le sue good practice.
L’obbiettivo è quello di fornire una raccolta di tutte le best practice in un’unica grande guida per rendere più sicure le informazioni.Il beneficio sarà un’adozione massiccia che porterà una migliore gestione del rischio ed aumenterà di conseguenza il business per il settore.
