Come Leidos sta promuovendo la formazione sulla gestione del rischio della catena di approvvigionamento per un futuro sicuro

Mostrare alla leadership il valore della gestione del rischio della catena di approvvigionamento è fondamentale per una migliore sicurezza informatica e un minor numero di incidenti informatici.

La violazione della catena di approvvigionamento del software SolarWinds alla fine del 2020 ha portato la gestione dei rischi della catena di approvvigionamento (SCRM) in primo piano nelle notizie IT, ma molte organizzazioni lottano ancora per conciliare le opportunità di business con i potenziali rischi della catena di approvvigionamento e pianificarle di conseguenza.

Leidos, un leader in soluzioni e servizi di tecnologia, ingegneria e scienza che lavora per risolvere le sfide più difficili del mondo nei mercati della difesa, dell’intelligence, civile e sanitario, sta collaborando con aziende private e organizzazioni del settore pubblico per trasformare la gestione del rischio della catena di approvvigionamento da un “bello to-have” a un requisito di base per fare affari.

“Negli ultimi due decenni, con l’aumento del cloud computing e dell’Internet delle cose, all’improvviso le catene di approvvigionamento protette e le parti limitate della catena di approvvigionamento delle reti dei fornitori sono improvvisamente interconnesse in questa folle rete di dove scorrono i dati e chi ce l’ha e dove risiede e come è protetto”, ha affermato Nika Zannini, Senior Manager di Leidos per la gestione dei rischi per la sicurezza informatica, in un’intervista con GovCIO Media & Research. “Crea questo nuovo enorme problema complesso che prima non esisteva e aggiunge molti più rischi e preoccupazioni per la sicurezza a monte del cliente”.

Brian Johnson, che è stato il primo manager SCRM di Leidos e ora Direttore del Supply Chain Risk and Resiliency di Leidos, ha affermato che un ostacolo a un SCRM efficace è che le C-suite diano il via libera ai finanziamenti e alle risorse SCRM.

“Noi come esseri umani vogliamo mitigare le cose che sono immediate e più misurabili”, ha affermato in un’intervista con GovCIO Media & Research. “La vera gestione del rischio consiste nel valutare le potenzialità, la probabilità e l’impatto. È molto nebuloso, quindi realizzare il business case che parla al team dirigenziale delle risorse umane e alle attività di gestione del rischio può essere una sfida. Avere ruoli chiaramente definiti e una chiara responsabilità per il rischio della catena di approvvigionamento è un ottimo primo passo, come abbiamo fatto qui nella nostra organizzazione di approvvigionamento. Lavorare in modo collaborativo su tutte le funzioni interessate è un altro passaggio necessario.

“Per Leidos in particolare, è stato riconosciuto un certo numero di anni fa che questa era un’area che non potevamo ignorare e che dovevamo essere più strategici e premurosi per risolvere il problema, altrimenti stavamo marciando da un dirupo”, ha detto Johnson.

La gestione del rischio in generale soffre in tutte le organizzazioni, non solo in SCRM, ha aggiunto Zannini.

“Un sacco di gestione del rischio sta lavorando nel regno di potrebbe accadere o potrebbe accadere, quindi i segni e il valore del dollaro effettivi sono molto più difficili da valutare e trovare”, ha affermato. “In tal senso, la gestione del rischio tende a essere una priorità in qualche modo meno prioritaria nella strategia aziendale complessiva di un’azienda. Gli incendi che abbiamo spento da un lato sono incendi non realizzati che abbiamo valutato avrebbero un impatto preoccupante sui rischi realizzati che si stanno verificando”.

Ciò che sta aiutando il nostro settore a migliorare in SCRM sono entità federali come la Cybersecurity and Infrastructure Security Agency (CISA), il Dipartimento della Difesa, il National Institute of Standards and Technology (NIST), l’Office of the Director of National Intelligence (ODNI) e altri aggiornano regolarmente le linee guida e le strategie SCRM.

Brian Paap, un consulente di ingegneria informatica presso CISA, ha recentemente affermato che l’agenzia rilascerà una nuova guida SCRM che integra le linee guida SCRM di CISA, DOD, NIST e dell’industria. Paap ha evidenziato la mancanza di finanziamenti, risorse e formazione della forza lavoro come sfide principali per un SCRM efficace.

L’anno scorso, Alyssa Feola, consulente informatico per l’amministrazione dei servizi generali, ha affermato che “l’IT ombra” e il mancato monitoraggio della tecnologia lungo tutta la catena di approvvigionamento contribuisce a errori nell’SCRM e a un aumento del rischio. Le distinte base del software (SBOM) e un approccio zero trust alla sicurezza informatica possono aiutare le organizzazioni a tenere traccia di tecnologie come software e dispositivi IoT lungo tutta la catena di approvvigionamento.

Questo mese CISA e DOD hanno anche pubblicato un rapporto congiunto sulle pratiche raccomandate per sviluppatori e acquirenti di software per gestire il rischio della catena di approvvigionamento del software.

La scorsa settimana, l’Office of Management and Budget (OMB) della Casa Bianca ha pubblicato una nota con l’obiettivo di migliorare la sicurezza della catena di approvvigionamento del software richiedendo alle agenzie federali di utilizzare software conforme ai controlli di sicurezza informatica di base.

Leidos utilizza alcune strategie per raggiungere le organizzazioni non iniziate in SCRM, tra cui l’istruzione e il rafforzamento dei termini e delle condizioni sulla sicurezza informatica.

È fondamentale una comunicazione costante e chiara tra i team di approvvigionamento, gli amministratori dei contratti, i team legali e per la privacy ei team IT e di sicurezza.

“La collaborazione continua tra CISO e i team SCRM di approvvigionamento garantisce visibilità, trasparenza e cooperazione per accordi con i fornitori, onboarding e revisioni del rischio, fornitori soggetti a restrizioni, gestione degli incidenti della catena di approvvigionamento, revisioni di politiche e procedure, monitoraggio continuo e tutti gli altri aspetti di un approccio proattivo alla gestione del rischio alla filiera”, ha affermato Zannini.

Johnson ha affermato che gli piace concentrarsi sull’istruzione generale e su forti controlli sulla sicurezza informatica, quindi lavorare con le organizzazioni per adattare le loro pratiche SCRM alle loro esigenze individuali e includere misure come valutazioni della sicurezza informatica o revisioni della privacy, se necessario.

“Un po’ come se tutta la politica fosse locale, tutto l’SCRM è locale rispetto al servizio che stai acquistando”, ha detto. “Il primo passo per impedire che le cose arrivino in casa, per cominciare, il secondo passo che interessa un nuovo cancello di mitigazione (se devi consentire il rischio). Dal punto di vista hardware, sta davvero monitorando i canali di distribuzione appropriati. SCRM è dalla culla alla tomba. Va dalla progettazione iniziale alla valutazione del prodotto e della fonte, al monitoraggio di quella fonte e allo smaltimento di quel prodotto”.

Guardando al futuro, Johnson e Zannini vogliono che Leidos e altre organizzazioni arrivino a un punto in cui non stanno più “reagendo” al rischio ma adottano un approccio proattivo. Le tecnologie emergenti come l’intelligenza artificiale (AI) e l’apprendimento automatico (ML) possono aiutare i manager SCRM a sviluppare profili di rischio più chiari e prevedere e prevenire, o almeno mitigare, gli incidenti prima che si verifichino.

“Come possiamo sfruttare enormi quantità di dati a cui abbiamo già accesso e utilizzare i sistemi per automatizzare i processi e creare valutazioni e creare una capacità in cui il rumore viene filtrato e possiamo comporre meccanismi che predicono cosa potrebbe accadere in modo che la piccola risposta e i team di mitigazione possono valutare un sottoinsieme più piccolo di tutti i rischi che si stanno verificando e mettere in atto strategie prima ancora che si verifichino, quindi non stiamo reagendo ma andando avanti e fermandoli prima ancora che inizino? ha detto Johnson. “Alcune di queste attività stanno già avvenendo. Dobbiamo farlo a un livello più aziendale. Siamo solo all’altezza del nostro anello più debole”.

Educare i dipendenti Leidos, i subappaltatori, i partner delle PMI e i fornitori critici della catena di approvvigionamento su come essere proattivi nell’identificare e mitigare i rischi è anche un ingrediente chiave nella ricetta di gestione proattiva del rischio della catena di approvvigionamento. Zannini spiega:

“Costruire e curare un programma di gestione del rischio della catena di approvvigionamento efficace e proattivo richiede tempo, energia e risorse e investire nel nostro team e nelle relazioni con i partner attraverso formazione, comunicazione e collaborazione per migliorare la nostra sicurezza aziendale complessiva avvantaggia tutti lungo il percorso, dal fornitore al clienti agli utenti finali. Come si dice in Marina, ‘Una squadra, un combattimento’”.

Questo articolo è sponsorizzato da Leidos.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *