I professionisti della supply chain e del procurement devono assumersi maggiori responsabilità per la cybersecurity.
Con l’avanzare della digitalizzazione in diversi domini questo diventa un aspetto cruciale.
Minacce informatiche e cybesecurity
Brian Schultz , Senior Director Analyst presso Gartner Supply Chain Practice, afferma che i CSCO dovrebbero mitigare le minacce informatiche seguendo un approccio su tre fronti per la cybersecurity..
Il primo riguarda la promozione di partnership interne ed esterne con funzioni chiave basate su risultati aziendali chiari. Il secondo lo sviluppo di processi di governance allineati al rischio implementando quadri, standard e linee guida informatici della catena di fornitura. Infine, un aspetto altrettanto importante e forse imprescindibile è creare controlli allineati nell’ecosistema dei partner sviluppando e implementando una capacità di gestione del rischio di terze parti della catena di fornitura per la cybersecurity.
Un criterio di acquisti chiave
In un rapporto dell’inizio di quest’anno, Gartner aveva previsto che il 60% delle organizzazioni della catena di fornitura utilizzerà il rischio di sicurezza informatica come criterio di acquisto chiave entro il 2025. Sebbene un livello di consapevolezza così crescente sia incoraggiante, i CSCO devono fare di più per gestire attivamente i rischi presentati dai loro partner ecosistemici.
Gartner sottolinea che sebbene non sia ragionevole aspettarsi che i CSCO assumano il ruolo di Chief Information Security Officer, è fondamentale che “abbiano una comprensione di come si stanno evolvendo gli attacchi informatici alla catena di fornitura, compresi attacchi sofisticati che possono avere un impatto sui prodotti senza essere rilevati finché non raggiungono il cliente”. E devono anche svolgere un ruolo di primo piano nella gestione del rischio di terze parti, “poiché gli attacchi ai fornitori chiave possono causare significative interruzioni della continuità aziendale”.
Acquisti come centrale di coordinamento
Per il suo posizionamento centrale e di osservazione privilegiata sull’azienda e la filiera, la funzione Acquisti rappresenta una parte centrale nella gestione del rischio e nel coordinamento tra azienda e fornitori. Una visione e un’esperienza che possono essere sfruttate nel coordinare l’azione tra molti e diversi stakeholder sia all’interno che all’esterno della loro funzione. Il ruolo è quello di coordinare una visione condivisa delle minacce e tradurre questa visione in chiari impatti aziendali che la leadership possa comprendere e che mitighino il rischio cyber.
Gartner consiglia ai professionisti dela supply chain di creare questa visibilità. Intanto identificando le risorse operative che supportano i fattori trainanti del valore di un’organizzazione; poi valutando l’impatto di una perdita di tali risorse in termini di costi aziendali in giorni di attività persi; comunicando chiaramente questi impatti al consiglio di amministrazione e ai dirigenti e implementando un playbook per monitorare queste risorse critiche, compresi test regolari dei piani di mitigazione attraverso esercizi coordinati. Per affrontare l’esposizione di terze parti e costruire una catena di fornitura più resiliente, è necessario sviluppare un piano di continuità operativa in caso di attacco informatico e collaborare per sviluppare il linguaggio contrattuale appropriato.
Il mix giusto di tutele
Oggi non esiste una soluzione unica per la sicurezza informatica e questo sottolinea l’importanza di selezionare un mix appropriato di funzioni informatiche interne o esternalizzate in base alle proprie esigenze di rischio aziendale. Questa selezione deve essere determinata sulla base di un equilibrio tra propensione al rischio dell’organizzazione, dettaglio e accuratezza dei requisiti di informazione sul rischio, urgenza di servizio e utilità in termini di costi della funzionalità. Non serve reinventare la strategia di resilienza informatica, ma guidare lo sforzo per allineare i propri stakeholder a un insieme comune di best practice e aiutarli a comprendere la natura dei compromessi da fare.
Un recente report della società di gestione della catena di fornitura di software, Sonatype, mostra che nel 2023 si sono verificati il doppio degli attacchi informatici alla catena di fornitura di software rispetto ai tre anni precedenti, con i cosiddetti attacchi backdoor che hanno preso di mira le catene di fornitura come mezzo per lavorare a monte o a valle verso organizzazioni più grandi. Questi attacchi sottolineano che oggi la cybersecurity deve essere una priorità.
