"Trust your Supply Chain" è un Managed Service in quattro ambiti, progettato per tenere sotto controllo il rischio cyber della propria rete di fornitori nel contesto normativo di NIS/NIS2 e DORA.
Servizio #1: Prioritizza
Tramite una valutazione standardizzata (cyberscore) del proprio ecosistema di fornitori effettuata con strumenti automatici, si definiscono le priorità e modalità di intervento per ciascun fornitore.
Questa fase si pone l'obiettivo di rispondere alle seguenti domanda chiave:
Da dove comincio? Come capisco su quali fornitori devo concentrarmi?
Posso dare un rating standardizzato, monitorabile nel tempo?
Quali sono le aree di ‘debolezza’ dei miei fornitori?
Servizio #2 RIMEDIA
in questa seconda fase si definiscono le azioni correttive - a livello umano, procedurale o tecnico - che vanno effettuate all'interno dei fornitori con un cyberscore inadeguato. Un attenzione specifica viene rivolta alla implementazione di quick-wins.
Le domande chiave a cui dare risposta sono:
Quali sono le misura minime (quick-win) da adottare?
Rimedio me (azienda cliente) e/o rimedio il fornitore?
Quale aspetto va rimediato? Persone, procedurale o tecnico?
Servizio #3 Sensibilizza
Questo servizio è mirato ad aiutare il fornitore - con rating inadeguato - ad innalzare il proprio livello di cyber-consapevolezza, definendo piani formativi e implementando programmi di affiancamento (Tutorship).
Le domande chiave sono:
Quale è il livello di cyber-consapevolezza?
Come imposto un piano formativo ?
E' necessario un affiancamento (Tutorship)?
Servizio #4: Monitora
Il monitoraggio, continuo o periodico, opera su tre processi chiave: controllo dell andamento del cyberscore, rilevazione di eventuali anomalie di utilizzo delle credenziali fornite ai fornitori (es. furto o abuso di credenziali) e scambio documenti confidenziali. I servizi di monitoraggio sono effettuati con prodotti software specialistici.
I tre servizi di monitoraggio offerti sono:
Monitoraggio dello score complessivo: "Come monitoro che la score iniziale non peggiori?"
Monitoraggio delle credenziali di accesso "Come monitoro i rischi legati alle credenziali dei fornitori?"
Monitoraggio documentale: "Come mi proteggo dal rischio che documenti scambiati con i miei fornitori finiscano in mani sbagliate?"