Le PMI svizzere esternalizzano sempre pi\u00f9 la loro informatica a fornitori esterni. Managed Service Provider (MSP), system integrator e consulenti cloud si occupano della gestione di reti, server e dispositivi. Questo \u00e8 spesso ragionevole \u2013 ma crea un rischio di cui si parla troppo poco: il vostro fornitore IT ha un ampio accesso ai vostri sistemi. E se viene compromesso, lo siete anche voi.<\/p>\n
Uno scenario tipico per le PMI: il fornitore IT dispone di diritti di amministratore sul domain controller, accesso VPN alla rete interna, accesso alla configurazione del firewall e password root per tutti i server. Gestisce i backup, cura gli aggiornamenti software e si occupa dei nuovi collaboratori.<\/p>\n
Si tratta di un rapporto di fiducia enorme. E nella maggior parte dei casi non esiste alcun controllo indipendente<\/strong> sul fatto che il fornitore stesso adotti pratiche sicure. La sua rete \u00e8 protetta? Utilizza l’autenticazione a pi\u00f9 fattori? I suoi strumenti di accesso remoto sono aggiornati? Le credenziali dei suoi clienti sono conservate in modo sicuro?<\/p>\n La risposta onesta \u00e8: la maggior parte delle PMI non lo sa. E la maggior parte non lo chiede.<\/p>\n Gli attacchi alla catena di fornitura (supply chain attack) \u2013 ossia attacchi attraverso fornitori e partner \u2013 sono tra le categorie di minacce in pi\u00f9 rapida crescita. La logica \u00e8 disarmante nella sua semplicit\u00e0: perch\u00e9 un aggressore dovrebbe attaccare 100 PMI singolarmente, quando attraverso un unico fornitore IT pu\u00f2 ottenere accesso a tutte e 100 le aziende?<\/p>\n Il passato fornisce esempi impressionanti:<\/p>\n Questi incidenti non sono casi isolati, ma un modello ricorrente. L’Agenzia europea per la sicurezza informatica (ENISA) classifica gli attacchi alla catena di fornitura come una delle principali minacce. E l’Ufficio federale della cibersicurezza (UFCS) mette regolarmente in guardia da questo rischio.<\/p>\n I vettori d’attacco attraverso i fornitori IT sono molteplici:<\/p>\n Gli MSP utilizzano strumenti come ConnectWise, Kaseya, Datto o TeamViewer per gestire i sistemi dei propri clienti. Questi strumenti hanno per design un ampio accesso ai dispositivi e server gestiti. Una vulnerabilit\u00e0 nello strumento di gestione remota o credenziali rubate del tecnico MSP aprono la porta a tutte le reti dei clienti contemporaneamente.<\/p>\n Non tutti gli attacchi si basano su una vulnerabilit\u00e0 software. Problemi frequenti presso i fornitori IT:<\/p>\n Alcuni fornitori gestiscono sistemi di monitoraggio o backup condivisi. Se questa infrastruttura centrale viene compromessa, tutti i clienti collegati ne sono coinvolti.<\/p>\n La fiducia \u00e8 importante, ma deve basarsi su una base informata. Ecco domande concrete da porre al vostro fornitore IT:<\/p>\n Se il vostro fornitore non pu\u00f2 o non vuole rispondere a queste domande, \u00e8 un segnale d’allarme.<\/p>\n Indipendentemente da quanto sia competente e affidabile il vostro fornitore IT, ci sono buoni motivi per gestire una propria scansione delle vulnerabilit\u00e0:<\/p>\n Visibilit\u00e0 indipendente:<\/strong> il vostro fornitore IT ha un interesse intrinseco a presentare il proprio lavoro sotto una luce favorevole. Una scansione delle vulnerabilit\u00e0 indipendente vi mostra la realt\u00e0 oggettiva: i sistemi sono effettivamente aggiornati? Le regole del firewall sono pulite? Ci sono servizi esposti che non dovrebbero esserci?<\/p>\n Controllo sul proprio rischio:<\/strong> la responsabilit\u00e0 per i vostri dati non pu\u00f2 essere esternalizzata. Anche se il fornitore IT gestisce i sistemi, in caso di perdita di dati la responsabilit\u00e0 ricade su di voi come azienda. La nLPD (nuova Legge sulla Protezione dei Dati) lo chiarisce in modo inequivocabile.<\/p>\n Rilevamento precoce dei problemi:<\/strong> le scansioni regolari rilevano quando una patch non \u00e8 stata installata, un servizio \u00e8 configurato in modo errato o una nuova vulnerabilit\u00e0 interessa i vostri sistemi. Potete reagire in modo proattivo, invece di attendere il prossimo incidente di sicurezza.<\/p>\n Base per la negoziazione:<\/strong> con risultati di scansione concreti potete condurre conversazioni fondate con il vostro fornitore. \u00abLa nostra scansione mostra che il server Exchange non ha installato due patch critiche\u00bb \u00e8 un punto di partenza ben diverso da \u00ab\u00c8 tutto sicuro da noi?\u00bb<\/p>\n Trasparenza della catena di fornitura:<\/strong> una scansione esterna della vostra infrastruttura mostra anche se i sistemi gestiti dal fornitore presentano vulnerabilit\u00e0 che il fornitore avrebbe dovuto risolvere.<\/p>\n Il principio \u00abTrust, but verify\u00bb (fidati, ma verifica) proviene originariamente dalla diplomazia, ma \u00e8 estremamente rilevante nel campo della sicurezza IT. Non significa diffidare del vostro fornitore IT. Significa che come azienda non potete delegare completamente la responsabilit\u00e0 della vostra sicurezza.<\/p>\n Misure concrete che ogni PMI pu\u00f2 attuare:<\/p>\n ExposIQ consente alle PMI svizzere una scansione delle vulnerabilit\u00e0 semplice e indipendente, che funziona in parallelo al fornitore IT esistente. La piattaforma non richiede competenze tecniche: inserite i vostri domini e intervalli IP e ricevete regolarmente una panoramica aggiornata della vostra situazione di sicurezza.<\/p>\n Con oltre 35 motori di scansione, 64’000 CVE e la valutazione del rischio basata su EPSS, vedete a colpo d’occhio quali vulnerabilit\u00e0 sussistono e con quale urgenza devono essere risolte. I risultati forniscono una base oggettiva per il dialogo con il vostro fornitore IT \u2013 oppure vi confermano che sta facendo un buon lavoro.<\/p>\n Ospitata in Svizzera, conforme alla nLPD e disponibile gi\u00e0 a partire da CHF 99 al mese. Perch\u00e9 il controllo indipendente non \u00e8 un voto di sfiducia, ma una gestione professionale del rischio: exposiq.ch<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Le PMI svizzere esternalizzano sempre pi\u00f9 la loro informatica a fornitori esterni. Managed Service Provider (MSP), system integrator e consulenti cloud si occupano della gestione di reti, server e dispositivi. Questo \u00e8 spesso ragionevole \u2013 ma crea un rischio di cui si parla troppo poco: il vostro fornitore IT ha un ampio accesso ai vostri … Leggi tutto<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"rank_math_focus_keyword":"fornitore it rischio sicurezza supply chain","rank_math_title":"Fornitori IT come rischio di sicurezza: Supply Chain Security per PMI","rank_math_description":"Il vostro fornitore IT ha accesso admin ai vostri sistemi. Se viene compromesso, lo siete anche voi. Perch\u00e9 le PMI necessitano di scanning proprio.","rank_math_robots":"","rank_math_canonical_url":"","rank_math_primary_category":"","footnotes":""},"categories":[8],"tags":[],"class_list":["post-1182","post","type-post","status-publish","format-standard","hentry","category-it-sicherheit","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-33"],"_links":{"self":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/posts\/1182","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/comments?post=1182"}],"version-history":[{"count":0,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/posts\/1182\/revisions"}],"wp:attachment":[{"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/media?parent=1182"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/categories?post=1182"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/exposiq.ch\/it\/wp-json\/wp\/v2\/tags?post=1182"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Gli attacchi alla catena di fornitura sono in aumento<\/h2>\n
\n
Come i fornitori IT diventano un punto d’ingresso<\/h2>\n
Strumenti di gestione remota compromessi<\/h3>\n
Pratiche non sicure presso il fornitore<\/h3>\n
\n
Infrastruttura condivisa<\/h3>\n
Come valutare il vostro fornitore IT<\/h2>\n
\n
Perch\u00e9 le PMI hanno bisogno di una propria scansione delle vulnerabilit\u00e0<\/h2>\n
Trust, but verify<\/h2>\n
\n
ExposIQ come controllo indipendente<\/h2>\n