Fidarsi dei fornitori è una grande sfida che richiede impegno diretto. Bisogna andare oltre il concetto di sicurezza aziendale per entrare in quello di sicurezza del business. Durante un incontro sul GDPR che RSA ha tenuto a Londra, sono emersi alcuni discorsi molto interessanti su una delle implicazioni della nuova normativa europea sulla protezione dei dati: se uno dei nostri fornitori di servizi subisce un attacco informatico che porta alla perdita di dati appartenenti a uno dei suoi clienti, il cliente stesso è ritenuto responsabile a meno che non dimostri di aver fatto il possibile per mettere in sicurezza quanto rubato.
Sembra una situazione paradossale, ma il GDPR non si fa molti scrupoli a riguardo: per proteggere il dato, la normativa picchia a destra e a manca, senza guardare in faccia nessuno.
Ma come è possibile mettere in sicurezza dei dati che non sono in possesso della nostra azienda? È davvero possibile andare a far le pulci ai sistemi informatici di chi ci programma le app, gestisce il customer service, analizza i dati vendita e così via?
“La risposta ideale” – ci dice Rashmi Knowles, EMEA Field CTO di RSA, “sarebbe quella di potersi fidare ciecamente dei propri partner, ma sappiamo benissimo che non tutti hanno un budget adeguato a proteggere tutti gli aspetti della propria rete, soprattutto quando si sovrappone a quella dei propri clienti”.
Questo appare lampante semplicemente pensando al fatto che tutte le grandi aziende poi ha tra i propri fornitori un nugolo di aziende di dimensioni medie, piccole o addirittura professionisti. La risposta, quindi, è in una collaborazione più profonda in tema di sicurezza tra le grandi società e i propri fornitori. “Quello che sta succedendo con le banche” – continua Knowles – “è che si occupano in prima persona di verificare la sicurezza dei propri partner, aiutandoli a portarla a livelli ottimali, addirittura investendo dei soldi quando necessario”.
Questo è un cambiamento di paradigma importante che, a pensarci bene, è solo una naturale evoluzione del concetto di sicurezza informatica. Quella che una volta era la sicurezza informatica della propria azienda, adesso deve diventare la sicurezza informatica del proprio business, a prescindere dai confini “fisici” nei quali si sviluppa.
Le implicazioni di una perdita di dati sono sempre gravi, ma adesso che sono anche collegate a una multa potenzialmente salata, diventano vitali e non si può pensare di scaricare la colpa su qualcun altro. Bisogna farsi carico in prima persona del controllo dei dati anche quando li si affida ad altri, possano essere colossi del web quali Amazon o Microsoft, o i piccoli sviluppatori software che ci hanno fatto l’app per verificare l’andamento delle vendite mentre siamo in mobilità.
La definizione del budget di sicurezza, quindi, deve pensare non solo a quello che è necessario per tenere al sicuro i nostri, ma anche a quanto server perché questi siano al sicuro anche mentre sono nelle mani dei nostri partner.
Considerato quanto è difficile farsi assegnare del budget, non sarà una passeggiata riuscire a implementare questo nuovo concetto della sicurezza “per tutto il business”, ma è un passaggio indispensabile in un momento in cui le best practises sono applicate solo a macchia di leopardo.