Un nuovo studio globale condotto da Kaspersky evidenzia la carenza di personale qualificato nel settore della sicurezza informatica e la necessità, per le aziende internazionali, di dare priorità a diverse attività di sicurezza per mitigare i rischi legati alla supply chain e alle relazioni di fiducia. Entrambi questi fattori sono stati indicati da quasi la metà degli intervistati (42%). Lo studio di Kaspersky1 sui rischi legati alla supply chain e alle relazioni di fiducia ha evidenziato che gli attacchi alla supply chain sono diventati una delle principali minacce per le aziende: un’azienda su tre ha subito un attacco di questo tipo nell’ultimo anno. La gravità e la frequenza di tali episodi rendono fondamentale individuare le cause che impediscono alle imprese di gestire efficacemente questi rischi.
Secondo l’indagine, uno degli ostacoli principali è proprio la carenza di personale qualificato, che limita la capacità delle organizzazioni di monitorare in modo sistematico le vulnerabilità dei soggetti terzi all’interno dei propri ecosistemi. Il bisogno di professionisti in grado di affrontare queste sfide è particolarmente elevato in Vietnam, negli Emirati Arabi Uniti, in Messico e in Spagna.
Tra le altre criticità emerge la difficoltà di gestire contemporaneamente molteplici priorità di cybersecurity, un aspetto particolarmente sentito in India, Vietnam, Singapore ed Egitto. Questo riflette il sovraccarico dei team di sicurezza, spesso impegnati su troppe attività, con il rischio che le minacce alla supply chain non ricevano la necessaria attenzione.
Oltre alla carenza di risorse, gli intervistati segnalano anche problematiche strutturali: il 39% dichiara che i contratti non includono obblighi chiari in materia di sicurezza informatica per gli appaltatori, con lacune particolarmente evidenti in Vietnam, Turchia, Spagna e Messico. Inoltre, il 32% rileva che il personale non specializzato in cybersecurity non comprende pienamente tali rischi.
A livello globale, l’85% delle aziende ammette la necessità di rafforzare la protezione contro i rischi legati alla supply chain e alle relazioni di fiducia, mentre solo il 15% considera efficaci le misure di sicurezza attualmente adottate. Questo livello di fiducia scende ulteriormente in economie chiave come Germania (6%), Turchia (7%), Italia (8%), Brasile (8%), Russia (8%) e Arabia Saudita (9%).
Allo stesso tempo, le pratiche di mitigazione dei rischi legati a terzi risultano ancora frammentarie: nessuna misura di protezione supera il 40% di diffusione tra gli utilizzatori. Anche l’autenticazione a due fattori, la più adottata, è utilizzata solo dal 38% degli intervistati.
Inoltre, appena il 35% delle aziende effettua controlli periodici sul livello di sicurezza informatica dei propri fornitori. Di conseguenza, quasi due terzi delle organizzazioni non dispongono di una visibilità costante sulla sicurezza dei partner, esponendosi a vulnerabilità in continua evoluzione all’interno dei propri ecosistemi.
È interessante notare che le aziende già colpite da attacchi alla supply chain o da violazioni delle relazioni di fiducia tendono ad adottare misure più rigorose. In particolare, le organizzazioni coinvolte in incidenti legati alla supply chain sono più propense a richiedere i risultati dei penetration test (56%), mentre quelle vittime di violazioni delle relazioni di fiducia danno priorità alla verifica della conformità agli standard di settore (56%) e alle policy della supply chain dei fornitori (53%).
“Quando i team di sicurezza sono sovraccarichi, con risorse limitate e costretti a privilegiare le urgenze rispetto alla resilienza di lungo periodo, le aziende restano esposte a minacce che possono diffondersi silenziosamente lungo l’intero ecosistema dei fornitori. Per interrompere questo circolo vizioso, è necessario adottare strategie di mitigazione più integrate e coerenti, che includano valutazioni standardizzate dei fornitori e una maggiore consapevolezza tra i diversi team. La sicurezza della supply chain deve diventare una responsabilità condivisa e diffusa in tutta la rete aziendale”, ha commentato Sergey Soldatov, Head of Security Operations Center di Kaspersky.
Solo attraverso l’adozione di misure preventive a tutti i livelli e un approccio strategico nella gestione dei rapporti con fornitori e appaltatori, le aziende possono ridurre i rischi legati alla supply chain e garantire la resilienza del proprio business.
Per proteggersi da queste minacce, Kaspersky consiglia di:
· Adottare servizi di sicurezza gestiti. Per le aziende prive di risorse interne dedicate, l’outsourcing rappresenta una soluzione efficace. Servizi come Kaspersky Managed Detection and Response (MDR) e Incident Response coprono l’intero ciclo di gestione degli incidenti, dall’identificazione delle minacce alla protezione continua fino alla risoluzione.
· Investire in corsi aggiuntivi sulla sicurezza informatica. Migliorare le competenze dei dipendenti attraverso programmi come Kaspersky Cybersecurity Training, disponibili in modalità autoguidata o dal vivo, per rafforzare le capacità tecniche e la resilienza aziendale.
· Valutare accuratamente i fornitori prima di stipulare un accordo. Analizzare le policy di cybersecurity, gli eventuali incidenti passati e la conformità agli standard di settore, includendo anche verifiche su vulnerabilità e penetration test per servizi software e cloud.
· Implementare requisiti di sicurezza contrattuali. Prevedere audit periodici, conformità alle policy aziendali e protocolli chiari di notifica degli incidenti.
· Collaborare con I fornitori sulle questioni di sicurezza. Rafforzare la protezione da entrambe le parti e renderla una priorità condivisa.
