La governance dei fornitori

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "La governance dei fornitori"

Ferdinando Cappelli
5 anni fa
Visualizzazioni

1 La governance dei fornitori un aspetto critico per garantire Information & Cyber Security Alessio L.R. Pennasilico Treviso, Maggio 2018

2 Alessio L.R. Pennasilico aka -=mayhem=- Practice Leader Information & Cyber Security Membro del Comitato Direttivo e del Comitato Tecnico Scientifico Presidente dell Associazione Informatici Professionisti Vice Presidente del Comitato di Salvaguardia per l Imparzialità Membro del Comitato di schema Direttore Scientifico della testata

3 #iosonopreoccupato

4 L attuale scenario di mercato globale è caratterizzato da una forte propensione delle aziende e delle pubbliche amministrazioni all esternalizzazione e all affidamento di differenti tipologie di servizi a fornitori esterni

5 Esigenza gestire in maniera efficace il processo di scelta del fornitore non solo a fini di compliance alle principali normative ma di protezione dei dati stessi che vengono esternalizzati

6 #iosonopreoccupato

7 La realtà non sempre la scelta del fornitore viene effettuata in accordo con le strutture centrali di business e con quelle preposte alla gestione e al controllo delle informazioni, quali l IT Security e l apparato legale aziendale

8 Obiettivo strutturare un processo di gestione dei fornitori centralizzato che tenga conto dei rischi dei rischi legati alla sicurezza delle informazioni in ottica di protezione del business aziendale, di compliance ai requisiti cogenti e delle best practice di cyber security.

9 Necessità adozione di un sistema interdisciplinare di policy e procedure, univoco e formalizzato, che ne garantisca la corretta gestione dovrebbe tenere conto delle esigenze dettate dal business a livello di performance del servizio richiesto, dell adesione dei servizi esternalizzati alle policy interne e alle normative vigenti e dei relativi rischi correlati ma anche, e in particolare, dei rischi strettamente legati alle informazioni che vengono date in gestione al fornitore

10 Cosa definire n n n KPI (Key performance indicators) e SLA (Service level Agreement richiesti), su indicazione del Service owner interessato; Budget a disposizione, su indicazione del Business Owner interessato; Obiettivi di sicurezza e compliance auspicabili, con il coinvolgimento della funzione aziendale di IT Security e del dipartimento Legale

11 Layer n n n Analisi, effettuata dal Cliente Autodichiarazione, effettuata dal potenziale fornitore stesso, sui livelli di sicurezza delle informazioni garantiti e sulle misure implementate (anche attraverso la presentazione di eventuali certificazioni in ambito di IT Security) sulla base di una checklist fornita dall azienda inerente a una serie di obiettivi da raggiungere in ambito IT Security Audit, sulle dichiarazioni anomale o a campione

12 Informazioni disponibili Molto spesso sono presenti informazioni ratificate a livello aziendale che possono essere riutilizzate. Es: n n Politica di Classificazione delle Informazioni u indice di riservatezza necessaria Politica di Businsess Continuity / BIA u indice di disponibilità necessaria

13 Aderenza agli standard Come framework di riferimento possono essere utilizzati KPI specifici (rilevanza) o mutuati da standard di mercato (es. ISO/IEC 27001, ISO 20000, CSA STAR, PCI/DSS, GDPR, etc etc)

14 #iosonopreoccupato

15 Conclusioni Il tema «gestione dei fornitori» è troppo spesso sottovalutato sia da un punto di vista di compliance che operativo La necessità di modelli formali di gestione è oggettiva a fronte di una maturità di adozione di mercato completamente inadeguata

16 Grazie! Linkedin: Facebook:

Documenti analoghi

Sicuramente www.clusit.it

Sicuramente www.clusit.it L applicazione degli standard della sicurezza delle informazioni nella piccola e media impresa Claudio Telmon Clusit ctelmon@clusit.it Sicuramente www.clusit.it Associazione no