Aumentano i rischi informatici e gli hacker non si fanno scrupoli a sfruttare le lacune dei sistemi di sicurezza di terzi per sferrare attacchi informatici mirati. Il lavoro in remoto, una tendenza che non accenna a diminuire, crea sempre più punti deboli da cui lanciare un attacco informatico. Grazie alla collaborazione con Orpheus, calcoliamo il punteggio di rischio informatico dei fornitori per offrire alle organizzazioni acquirenti che utilizzano Achilles informazioni di livello avanzato sulle minacce informatiche.
Che cosa si intende con punteggio di rischio informatico?
Le valutazioni del rischio informatico denotano i livelli di rischio informatico inerenti a un’organizzazione. Un punteggio elevato indica una probabilità più elevata che l’azienda sia vittima di attacchi.
Perché è importante gestire i rischi informatici delle supply chain?
Invece di prendere di mira direttamente la vittima desiderata, molti attacchi informatici partono dalle aziende della catena di approvvigionamento. Spesso, quelle di dimensioni maggiori adottano rigorose misure di sicurezza, ma consentono l’accesso ai propri sistemi a fornitori legittimi. Con questo accesso, i fornitori entrano a far parte della tua rete aziendale e, di conseguenza, possono esporre la tua azienda ad attacchi. Inoltre, è molto più probabile che la tua azienda subisca interruzioni se uno qualsiasi dei tuoi fornitori principali è colpito da un attacco informatico, a prescindere dal fatto che abbia o meno accesso ai sistemi aziendali; è anche altamente probabile che molti dei fornitori conservino i dati relativi a te e ai tuoi clienti. A rispondere di eventuali violazioni dei dati dei clienti da parte dei fornitori sarai direttamente tu, soprattutto se non hai rispettato le migliori prassi per la gestione del rischio informatico lungo la supply chain. Se, però, non valuti le misure di sicurezza informatica adottate dai tuoi fornitori, non hai modo di sapere se rappresentano un rischio di una certa entità o no. I pirati informatici lo sanno bene e sfruttano le scarse misure di sicurezza adottate da alcuni fornitori per inserirsi nel sistema.
Va inoltre sottolineato che gli enti regolatori internazionali hanno iniziato a imporre orientamenti in materia di sicurezza della supply chain. Le autorità di vigilanza e gli organi direttivi hanno messo in chiaro che non saranno applicate riduzioni alle penali se i pirati informatici sfruttano terzi per introdursi nei sistemi: ritengono infatti che ogni azienda debba premunirsi contro questo tipo di rischi.
Quali informazioni si usano per calcolare il rischio informatico?
Per calcolare il rischio informatico si utilizzano moltissimi data point e si sfrutta l’apprendimento automatico. Tra le informazioni contemplate troviamo:
- informazioni sulle minacce informatiche presenti nei settori e nei paesi dove operi;
- eventuali vulnerabilità non risolte;
- dati che comprovano la debolezza dei sistemi di sicurezza della posta elettronica;
- problemi di igiene informatica.
Quali elementi influiscono sul punteggio di rischio informatico?
Nella valutazione del rischio, infatti, confluiscono un punteggio relativo alle minacce informatiche e uno sul livello di vulnerabilità. La relazione mette in risalto i punteggi di queste due categorie e le informazioni utilizzate per calcolare il punteggio finale. Inoltre, offre consigli pratici per risolvere le problematiche rilevate.
Come so se il punteggio è giusto?
Ci avvaliamo degli stessi strumenti e metodologia utilizzati da . Grazie alla nostra grande esperienza in materia di rilevamento delle minacce informatiche sappiamo cosa cercano i pirati informatici e quali falle proveranno a sfruttare. Il nostro sistema di apprendimento automatico è stato sottoposto a revisione tra pari e riesce a prevedere le minacce future con una precisione di almeno il 94%.
Grazie alla collaborazione con Orpheus offriamo un rigoroso sistema di verifica manuale per la rilevazione di eventuali falsi positivi che farebbero aumentare (erroneamente) il punteggio. Inoltre, le aziende possono utilizzare uno dei nostri processi per eliminare i risultati che, a seguito di verifiche, si rivelano incorretti; detto ciò, si tratta di eventualità rarissime. Alcune aziende specializzate nella valutazione dei rischi consentono alle organizzazioni di aggiornare il punteggio se risolvono i problemi; nel nostro caso, invece, sarà necessaria una convalida che confermi l’accuratezza dei nostri risultati.
Se il punteggio di rischio informatico è basso, devo preoccuparmi di altro?
Rischio basso non significa nessun rischio. Le insider threat e il phishing sono due esempi di rischi fondamentali ai quali sono esposte quasi tutte le aziende. Il punteggio della valutazione del rischio informatico di Orpheus è un indicatore valido: delinea inoltre misure concrete che le aziende possono adottare per ridurre i rischi. Offriamo il punto di vista degli hacker; detto ciò, potrebbe essere utile cercare informazioni ulteriori e accessibili soltanto da chi lavora già per l’organizzazione.
Non accetto il punteggio. Cosa posso fare?
Le organizzazioni in disaccordo col punteggio di rischio informatico possono contattarci direttamente per vagliare eventuali provvedimenti di riparazione. Ci impegniamo a eliminare i falsi positivi dai punteggi calcolati ed è raro che si verifichino errori. Per il calcolo del punteggio di rischio informatico si utilizzano vari data point, quindi è improbabile che un falso positivo da qualche parte abbia ripercussioni significative sul punteggio totale. Nell’eventualità molto improbabile che sia così, però, offriamo un processo di riparazione per rettificare il problema e convalidare l’errore rilevato da un’azienda.
Dove trovo il mio punteggio di rischio informatico?
Gli acquirenti possono visualizzare i punteggi dei fornitori in Achilles Insights. Inoltre, puoi ottenere una relazione con una valutazione personalizzata dei rischi informatici della supply chain che analizza più nel dettaglio le minacce e i rischi specifici ai quali è esposta la tua azienda.
I fornitori possono visualizzare il loro punteggio di rischio informatico nella dashboard MyAchilles. Se decidi di ricevere le valutazioni mensili dei rischi informatici di Orpheus, poi, otterrai un’analisi dettagliata del tuo rischio informatico e un piano d’azione con misure semplici per migliorare le aree che necessitano di intervento, quindi in ultima analisi migliorerai il tuo punteggio. Con l’abbonamento ad Achilles hai tariffe preferenziali.
Per gli acquirenti
In quali casi posso esonerare un fornitore dal processo?
Spetta a te decidere quale livello ritieni accettabile in base alla tua tolleranza al rischio. Consigliamo di aiutare i fornitori a ridurre il loro punteggio invece di esonerarli del tutto e indichiamo come fare nella nostra relazione. Consigliamo inoltre di escludere da eventuali appalti i fornitori non intenzionati o incapaci di risolvere rischi per la sicurezza gravi.
Con che frequenza devo controllare il punteggio di rischio informatico di un fornitore?
Aggiorniamo di continuo i punteggi da noi calcolati man mano che vengono alla luce nuove vulnerabilità, pertanto possono esserci aggiornamenti quotidiani. Puoi impostare la frequenza che desideri, ma consigliamo di consultare i punteggi almeno una volta al mese per passare in rassegna eventuali modifiche che possono esporre la tua azienda a nuovi rischi.
Posso controllare il punteggio di rischio informatico della mia azienda?
Certo, puoi controllare anche il tuo punteggio di rischio informatico. Consigliamo di tenerlo d’occhio per risolvere eventuali problematiche di sicurezza interne all’organizzazione, riducendo così le falle nel sistema che i pirati informatici possono sfruttare per sferrare gli attacchi.