[CYBERTOOL] Supplier Management IT: la tua azienda verifica adeguatamente la struttura organizzativa dei propri fornitori di servizi IT?

In un mondo digitale in rapida evoluzione, la sicurezza informatica è fondamentale per la tutela dei dati aziendali. La selezione accurata dei fornitori IT è cruciale in questo processo. Questo articolo esplora tre azioni essenziali per un efficace gestione dei fornitori IT, dalla definizione di criteri stringenti per la scelta, alla verifica delle condizioni contrattuali e degli SLA, fino all’importanza di un’attenta valutazione continua. Un approccio metodico può significativamente ridurre i rischi e garantire la sicurezza delle informazioni aziendali.

Dotarsi di appropriati fornitori, soprattutto in ambito IT e sicurezza informatica, è ormai un’esigenza di primaria importanza per le aziende che -tramite un’analisi dei propri partners commerciali– devono garantire costantemente un’adeguata protezione dei dati e delle informazioni aziendali

Attraverso un’indagine preventiva e un continuo monitoraggio, l’azienda è in grado di mappare i c.d. rischi indiretti (derivanti dai rapporti con i propri fornitori), così da definire e perseguire le best practices preventive e tutelative nella gestione dei rapporti commerciali. 

Supplier Management IT efficace: 3 azioni fondamentali per renderlo efficace

Prima di concludere un accordo commerciale, quindi, l’azienda deve strutturare una road map specifica, composta da 3 diversi step valutativi tra loro sinergici. 

In questo modo, al termine della valutazione, l’azienda disporrà delle informazioni necessarie per poter scegliere consapevolmente il proprio partner commerciale. 

1. Definire i criteri su cui basare la scelta del fornitore IT 

È importante che l’azienda delinei i requisiti e gli obblighi organizzativi minimi ed imprescindibili che un potenziale fornitore deve rispecchiare prima di instaurare una collaborazione produttiva e sicura. 

Alcuni dei criteri per eseguire l’analisi riguardano: 

  • le modalità di gestione dell’infrastruttura IT
  • l’impianto relativo alla cybersecurity, nonché la previsione di costanti obblighi formativi e di aggiornamento;
  • la creazione di un business continuity plan e un disaster recovery plan, che assicurino la continuità dei servizi offerti e della disponibilità dei dati; 
  • la presenza di adeguati servizi di supporto e di intervento, nonché di sistemi di comunicazione agevolati per favorire il contatto con l’interlocutore; 
  • la certificazione di competenze specifiche (ad esempio, la certificazione ISO 27001 sugli standard internazionali della sicurezza delle informazioni).

2. Verificare le condizioni contrattuali e i Service Level Agreement (c.d. SLA) 

L’analisi delle clausole contrattuali e delle SLA (nonché dei relativi allegati) permette all’azienda di individuare il fornitore più adeguato allo sviluppo della propria attività. 

In particolare, dovranno essere oggetto d’esame: 

  • gli obblighi a carico del fornitore, tra cui: 
    1. prestare idonee garanzie di continuità del servizio e di adozione delle best practices di settore, eventualmente prevedendo il pagamento di una penale in caso di violazione;
    2. adottare misure di sicurezza fisica e ambientale idonee a salvaguardare dati e le informazioni appartenenti al patrimonio aziendale; 
    3. stipulare una copertura assicurativa adeguata. 
  • gli obblighi dell’azienda cliente  
  • le ripartizioni di responsabilità tra le parti in merito alla Data Protection con la nomina a responsabile del trattamento del partner commerciale, nel rispetto dei requisiti di cui all’art. 28 GDPR 

3. Svolgere attività di valutazione sia preliminare che continuativa 

Tramite consulenti specializzati, per avere un quadro veritiero e sempre aggiornato dei propri fornitori, l’azienda dovrà analizzare il maggior numero di dati e informazioni a loro riferiti, al fine di ottenere degli output che le permettano di effettuare scelte consapevoli e tutelanti. 

Per esempio, tra le attività che l’azienda può eseguire rientra l’Open Source Intelligence (OSINT), un processo volto a raccogliere informazioni di pubblico dominio relative ad una specifica realtà, tra le quali: 

  • l’analisi della configurazione SSL e DNS del web server, per vagliare sia la sicurezza della trasmissione delle informazioni sia la capacità di contrastare eventuali disservizi; 
  • la scansione delle web application del fornitore
  • l’attività di intelligence nel dark web

Per implementare le proprie verifiche, l’azienda può anche approfondire aspetti organizzativi del proprio fornitore non esclusivamente attinenti alla sicurezza informatica, ma che comunque le permettono di evidenziare la necessità di predisporre ulteriori indagini (come, per esempio, analisi di resoconti finanziari e di informazioni di mercato; ricerche nei social e nei forum aziendali). 

CYBERTOOL – IT Supplier Management

"*" indicates required fields

La tua azienda adotta procedure di selezione prima di scegliere i propri fornitori?*
Prima di scegliere un fornitore, vengono analizzate le sue procedure e policy interne?*
Quanto è importante per la tua azienda conoscere dove il proprio fornitore colloca i dati?*
La tua azienda controlla che i propri fornitori adottino idonee coperture assicurative?*
La tua realtà aziendale ha mai verificato il livello di formazione perseguito dai propri fornitori?*
E' mai stato verificato se i fornitori della tua azienda dispongono di un business continuity plan adeguato?*
E la tua azienda dispone di un business continuity plan tale da far fronte a eventuali carenze da parte del fornitore?*
La tua azienda esegue verifiche su le Infrastructure Security, Host, Middleware e Application Security?*
Come viene gestito il controllo delle misure di sicurezza da parte della tua azienda?*
La tua azienda verifica i modelli di servizio per ripartire le responsabilità con il fornitore?*
Nel contratto stipulato con il fornitore sono chiaramente elencati gli obblighi in termini di sicurezza informatica?*
Nei contratti IT sono adeguatamente disciplinati i log di sistema?*
Nei contratti, sono indicate le policy e le misure di sicurezza a cui il fornitore deve attenersi?*
Nel contratto è prevista la nomina a responsabile del trattamento ex art. 28 GDPR del fornitore?*
Come vengono gestiti i dati a seguito della cessazione del rapporto contrattuale?*
Nome*

PER QUANDO HAI TEMPO E VOGLIA DI APPROFONDIRE