sicurezza

TPRM: gestione dei rischi di terze parti nella Supply Chain, come fare bene

Home Sicurezza digitale
Indirizzo copiato

Le moderne catene di approvvigionamento presentano rischi sia interni sia esterni che possono interrompere la continuità aziendale e avere conseguenze disastrose per le organizzazioni. Vediamo di che si tratta

Pubblicato il 19 lug 2023
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, BCI Cyber Resilience Group, Clusit, ENIA

Smart,Warehouse,Management,System,Using,Augmented,Reality,Technology,To,Identify

I recenti attacchi alla supply chain di diverse grandi organizzazioni, operanti in vari settori, hanno avuto gravi conseguenze operative, finanziarie e reputazionali. Questi eventi non riguardano solo la vittima, ma tutte le parti interessate della catena del valore, dimostrando quanto sia fondamentale adottare un approccio collaborativo e olistico nella gestione dei rischi di terze parti in modo tale da prendere le opportune decisioni strategiche per rilevare, valutare ed eliminare i rischi.

Perché la supply chain è il bersaglio perfetto per i cyberattacchi

Gestione del rischio della supply chain

Le moderne catene di approvvigionamento presentano rischi sia interni sia esterni. Vediamoli.

Rischi esterni

Le aziende sono esposte ai rischi esterni della catena di approvvigionamento da parte di terzi. Si tratta di rischi che sono difficili da prevedere e che necessitano adeguate risorse al fine di ridurre al minimo le minacce ed i relativi impatti. Qui di seguito un elenco dei principali rischi della catena di fornitura esterna di cui il Top Management dovrebbe essere consapevole.

  • Rischio della domanda – Le organizzazioni che non riescono a prevedere correttamente la domanda dei prodotti, a causa della mancanza di comprensione dei precedenti trend di acquisto, possono esporre la catena di approvvigionamento al rischio della domanda.
  • Rischi di fornitura – L’interruzione dell’approvvigionamento di materie prime può causare un’interruzione significativa del flusso di prodotti o delle operazioni di produzione.
  • Rischi ambientali – Sfide ambientali, socio-economiche o politiche comportano rischi ambientali della catena di approvvigionamento, che hanno un impatto diretto sui tempi e su altri aspetti della catena di distribuzione.
  • Rischi Organizzativi – Le catene di approvvigionamento sono esposte ai rischi organizzativi, ad esempio, quando si verificano cambiamenti imprevisti nella relazione con una delle terze parti su cui l’azienda fa affidamento e che possono creare intoppi.

Rischi interni

Il rischio interno della catena di fornitura si verifica a causa di fattori di cui l’organizzazione è responsabile. Pertanto, le organizzazioni possono utilizzare strumenti di valutazione del rischio della supply chain, soluzioni di analisi avanzate, funzionalità Internet of Things (IoT) e altre tecnologie per identificare e tenere traccia dei rischi interni. Di seguito alcune indicazioni su come gestirli.

  • Rischi di produzione – Le aziende sono esposte ai rischi di produzione a causa di interruzioni nelle principali aree operative che possono comportare ritardi nella produzione e nelle consegne.
  • Pianificazione e controllo dei rischi – Previsioni e valutazioni imprecise della catena di approvvigionamento possono esporre a rischi di pianificazione e controllo. Inoltre, una produzione e una gestione non correttamente pianificate possono, altresì, esporre le organizzazioni a questi rischi della catena di fornitura.
  • Rischi e relativa mitigazione – Le organizzazioni prive di un piano di emergenza efficiente per gestire le interruzioni della catena di approvvigionamento si trovano a gestire rischi di mitigazione e di emergenza. Ne consegue che esse devono passare ad una visione olistica dei potenziali fattori di rischio della catena di approvvigionamento e predisporre un piano strategico per superare le potenziali interruzioni. Pertanto, sarà quanto mai necessario valutare l’intera catena di approvvigionamento end-to-end in modo tale da identificare i potenziali problemi che potrebbero verificarsi e, di conseguenza, implementare una strategia di mitigazione dei rischi. È doveroso ricordare che sono presenti sul mercato molteplici tecnologie in grado di avere una visibilità in tempo reale dei prodotti lungo tutta la catena di fornitura e di rilevare potenziali fattori di rischio. L’adozione di strumenti di analisi predittiva e prescrittiva, ad esempio, contribuisce a trasformare i dati a disposizione in preziose informazioni. Inoltre, le organizzazioni possono persino utilizzare le API (Application Programming Interface)per estrapolare dati e aggiornare lo scenario dei venditori e dei fornitori di terze parti in modo da ottenere una visione olistica della supply chain in tempo reale.

La valutazione dei rischi di terze parti

La valutazione dei rischi di terze parti è impegnativa a causa dell’elevato numero di fornitori che le organizzazioni devono integrare e gestire. Di fatto, il 60% delle organizzazioni a livello globale – secondo quanto rivela Gartner – lavora mediamente con oltre 1.000 fornitori. Inoltre, è doveroso sottolineare che anche il processo di digitalizzazione ed innovazione delle organizzazioni aumenta ulteriormente la complessità della gestione del rischio di terze parti all’interno della supply chain.

La maggior parte degli approcci di gestione del rischio di terze parti dipende dalla configurazione dei processi e dei sistemi, dalla cultura e dalle priorità interne dell’organizzazione. Pertanto, una strategia collaborativa e un approccio olistico tra le parti interessate della catena supply chain possono produrre molteplici vantaggi per le organizzazioni.

Rischi di terze parti, le raccomandazioni del WEF

Un report del World Economic Forum (WEF) dal titolo “Managing third-party risks? Here’s how a holistic approach can help” – pubblicato nel 2021 ed ancora valido – esorta le organizzazioni a prendere in considerazione quattro raccomandazioni in termini di gestione dei rischi di terze parti e, precisamente:

  • Raccomandazione n. 1 – Stabilire requisiti di base comuni per la sicurezza informatica di terze parti seguendo 10 principi chiave, ovvero:
  1. Governare il rischio di terze parti stabilendo ruoli e responsabilità chiari all’interno dell’organizzazione, nonché definendo i risk owner.
  2. Sviluppare l’alfabetizzazione informatica e l’educazione dei dipendenti che gestiscono terze parti.
  3. Stabilire controlli di accesso e gestione delle risorse critiche per quanto riguarda sia i dipendenti sia gli appaltatori di terze parti.
  4. Implementare la gestione delle modifiche e della configurazione dei sistemi in particolare in termini di risorse, informazioni e strutture che rientrano nell’ambito di coinvolgimento della terza parte.
  5. Richiedere ai fornitori sistemi, servizi e interfacce sicuri by default e by design.
  6. Mantenere i meccanismi di risposta e ripristino assicurando che la gestione degli incidenti, la gestione della continuità operativa (Business Continuity Management – BCM) e la pianificazione del ripristino di emergenza (Disaster Recovery Plan -DRP) siano in atto, aggiornate e testate regolarmente seguendo scenari derivati dall’intelligence e dall’analisi degli impatti.
  7. Proteggere le informazioni critiche in conformità alle normative e alle politiche vigenti.
  8. Proteggere gli ambienti operativi e fisici utilizzando le principali pratiche di sicurezza.
  9. Implementare un ciclo di vita di sviluppo sicuro di prodotti, sistemi e strumenti.
  10. Fornire supporto per la gestione delle vulnerabilità e l’applicazione di patch.
  • Raccomandazione n. 2 – Definire e adottare un approccio in termini di valutazione a seconda del livello di rischio di prodotti e di servizi da parte dei fornitori, combinando diversi metodi di valutazione basati sulla scalabilità ai fini di una copertura ottimale del rischio.
  • Raccomandazione n. 3 – Monitorare continuamente tutte le terze parti a seconda del livello di rischio e condurre periodicamente gli audit, oltre a:
  • Concordare i termini e le condizioni contrattuali standard di sicurezza informatica a livello di organizzazione.
  • Stabilire, termini contrattuali più strutturati in base al tipo di prodotto / servizio e alla sua criticità.
  • Utilizzare criteri di segmentazione per valutare i rischi e determinare il grado di miglioramento del livello dei termini e delle condizioni necessari, oltre a considerare i problemi identificati durante il processo di valutazione, prima finalizzare il contratto, in modo da adeguare i termini e le condizioni a fronte di eventuali evoluzioni del rischio.
  • Interagire con esperti in risk management e con l’ufficio legale nella fase di negoziazione del contratto con il fornitore e, in particolare modo, nella fase di redazione delle clausole contrattuali.
  • Raccomandazione 4 – Condividere, coinvolgere e comunicare continuamente con gli stakeholder della supply chain per identificare, monitorare e mitigare i rischi più rapidamente. Ovvero si tratta di:
  • Programmare la revisione periodica della valutazione del rischio della terza parte al fine di rilevare qualsiasi cambiamento in termini di profilo di rischio o di relazione.
  • Effettuare una revisione continua dei vari rischi, oltre a monitorarli nel tempo.
  • Definire criteri in base ai quali si rende necessaria un’attività di valutazione e audit ad hoc, automatizzando, se possibile, il processo.
  • Integrare la sicurezza informatica nelle revisioni aziendali con terze parti e comunicare continuamente i rischi in evoluzione unitamente al panorama delle minacce.
  • Definire meccanismi di reporting per aumentare la consapevolezza del consiglio di amministrazione e del Top Management e per garantire decisioni tempestive e informate considerando, ad esempio, la pianificazione di riunioni di supervisione oppure creando una scorecard delle prestazioni.

Software di gestione di terze parti: prevenire i rischi di supply chain con la tecnologia

I sotfware di gestione di terze parti sono un insieme di strumenti in grado di gestire il ciclo di vita end-to-end di verifica, selezione, onboarding e gestione di fornitori di terze parti. Questi strumenti in genere contengono una soluzione di gestione completa e possono aiutare a gestire diversi tipi di fornitori a seconda della funzionalità. Inoltre, le organizzazioni stanno sempre più implementando soluzioni di gestione del rischio dedicate per gestire, automatizzare e mitigare tali rischi, dato che l’onboarding e l’affidamento di dati organizzativi a un gran numero di fornitori di terze parti comportano sempre più rischi.

Di fatto, le organizzazioni, grazie alla tecnologia, sono in grado di:

Valutare la reputazione di fornitori e fornitori di terze parti

L’organizzazione, grazie a rigorosi questionari di valutazione del rischio del fornitore e alla raccolta di dati scaturiti da ricerche di mercato, è in grado di strutturare un modello di valutazione del rischio e selezionare il fornitore giusto in base alle proprie esigenze.

Monitorare le prestazioni dei fornitori ed effettuare audit su base continuativa

Le organizzazioni, in base al loro framework IT e aziendale sono in grado di rilevare indicatori in tempo reale – riferiti ai fornitori – che potrebbero mettere l’organizzazione a rischio in termini di reputazione, di aspetti legali o finanziari.

Utilizzare un approccio coerente in termini di onboarding e offboarding dei fornitori

L’organizzazione, in questo modo, potrà stabilire aspettative chiare e semplificare le proprie operazioni, acquisendo trasparenza e stabilendo le responsabilità delle terze parti.

Pianificare la continuità aziendale

Molte aziende, ad oggi, non dedicano sufficientemente tempo e risorse adeguate ad assicurare la continuità del business all’interno dei propri rapporti con le terze parti. Ne consegue che, se un fornitore critico diventasse improvvisamente non disponibile, ciò potrebbe causare gravi interruzioni all’interno dell’organizzazione. Ad esempio, se un fornitore IT di terze parti subisse un’interruzione significativa della sua tecnologia o delle funzioni del personale, ciò potrebbe compromettere irreversibilmente l’organizzazione con cui il fornitore si relaziona. Pertanto, un software di gestione del rischio di terze parti potrebbe monitorare tali scenari e farli emergere con segnali di allerta precoce affinché l’organizzazione intraprenda un’azione immediata.

Ridurre la dipendenza per quanto riguarda le funzioni critiche

Supponiamo che un’organizzazione dipenda da fornitori di terze parti per funzioni critiche come il libro paga o il supporto IT. La piattaforma software di gestione del rischio di terze parti, in tal caso, sarebbe in grado di indicare alla funzione di supply chain la necessità di diversificare il mix di fornitori di servizi di terze parti per ridurre la dipendenza da un singolo fornitore in modo tale che, se esso non riuscisse a rispettare gli impegni aziendali e i livelli di servizio, sarebbe possibile mobilitare i fornitori alternativi.

Monitorare i fornitori per salvaguardare la reputazione del marchio

I fornitori di terze parti potrebbero agire o mettere in atto modalità operative destinate ad impattare in modo significativo sul marchio dell’organizzazione. Ad esempio, un fornitore potrebbe non rispettare i diritti dei lavoratori, utilizzando mano d’opera minorile oppure i principi di sicurezza tecnologica che potrebbero compromettere i dati dei clienti. L’utilizzo del software di gestione del rischio di terze parti può essere di supporto alla funzione di Comunicazione nell’evidenziare tali criticità in modo da mettere in atto misure correttive appropriate.

Supportare la rendicontazione e le responsabilità degli azionisti

Le organizzazioni, oggigiorno, devono rispondere sempre più ai propri stakeholder in termini di standard ESG e conformità normativa, compresi i protocolli di salute e sicurezza sul lavoro. La piattaforma software di gestione del rischio di terze parti può monitorare le relazioni con i fornitori di terze parti e segnalare l’eventuale mancato allineamento a tali aspetti, oltre a fornire supporto alla funzione di procurement per esaminare ed escludere quei fornitori che non rispondono a tali requisiti.

Mitigare l’esposizione al rischio informatico

Un fornitore di terze parti può accedere a numerosi dati dell’organizzazione. Il software di gestione del rischio di terze parti può garantire il monitoraggio dei fornitori e identificare le minacce informatiche che colpiscono la catena di approvvigionamento, permettendo di intraprendere le azioni necessarie per difendere il proprio stack tecnologico.

Conclusioni

Le organizzazioni sono sempre più vulnerabili a causa dell’instabilità geopolitica, dell’inflazione, delle minacce informatiche e di specifici rischi di approvvigionamento che possono ostacolare la continuità, danneggiarne la reputazione o creare un impatto catastrofico sulle prestazioni. Pertanto, oggigiorno, è quanto mai necessario e strategico investire in sistemi e processi automatizzati ed attuare un approccio coerente al rischio: un approccio che si convertirà, altresì, in un vantaggio competitivo.

Le organizzazioni, in questo modo, miglioreranno l’efficienza, costruiranno la resilienza, risulteranno maggiormente conformi alle normative, eviteranno costi inutili, oltre a trovarsi in grado di gestire un contesto turbato da interruzioni ed incertezza.

Concludendo, si tratta sempre di partire dalla conoscenza per arrivare alla consapevolezza dei rischi e dei punti di cedimento della supply chain in modo tale che – grazie ad un approccio risk-based e resilience-based scaturito dall’implementazione dei principi di risk management, business continuity e cybersecurity (gestiti possibilmente da professionisti del settore) – si possa garantire la resilienza della supply chain delle nostre organizzazioni.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • esperto risponde

    Fattura elettronica, se si sbaglia regime fiscale va rettificata

    08 Mar 2024

    di Salvatore De Benedictis

    Condividi

  • l'approfondimento

    Dati in cambio di servizi online, servono regole e prelievi fiscali

    15 Gen 2024

    di Gianluca Pomante

    Condividi

  • Il contest

    Sanità digitale: ecco le best practice nazionali

    29 Dic 2023

    di Mirella Castigli

    Condividi

Prossimo

Fattura elettronica, se si sbaglia regime fiscale va rettificata

Articolo 1 di 4