SSI464

propensi ad estendere questa responsabilità anche all’esterno, verso partner e fornitori strategici. Dai soggetti della supply chain ai fornitori di servizi IT e di sicurezza, inclusi quelli di backup-as- a-service (BaaS), ogni anello della catena di resilienza e recupero dei dati diventa cruciale e non può essere trascurato. Fornitori terzi sotto osservazione Secondo l’EY Global Third-Party Risk Management Survey, il 44% delle organizzazioni prevede di intensificare la collaborazione con fornitori terzi nei prossimi cinque anni. Con il proseguire di que- sta tendenza, è lecito aspettarsi che i dirigenti esamineranno con sempre maggiore attenzione i propri partner esterni, valutando in dettaglio ogni aspetto delle loro misure di resilienza dei dati e ri- sposta agli incidenti. In passato, un semplice accordo contrattuale o una certificazione erano sufficienti a tranquillizzare la C-suite. Ma oggi, con l’ingresso ufficiale della responsabilità aziendale, cresce la necessità di esigere maggiore trasparenza e responsabi- lità anche dai fornitori esterni. Questo potrebbe tradursi in diverse azioni concrete, come la rinegoziazione degli accordi sul livello di servizio (SLA) e verifi- che più approfondite, mentre i dirigenti si impegnano a mettere in sicurezza l’intera catena di custodia della resilienza dei dati, analizzando ogni fase del processo. Sebbene non sia possibile esternalizzare il rischio e la responsabilità ai fornitori terzi, i re- sponsabili aziendali devono poter contare su una totale traspa- renza da parte loro. Solo così, in caso di violazione, sarà possibile individuare rapidamente il punto di cedimento e intervenire pron- tamente, evitando sanzioni e danni reputazionali. Un tuffo nella realtà Queste misure contribuiranno sicuramente a rafforzare la resi- lienza complessiva dei dati, ma eliminare completamente il rischio di una violazione è impossibile. D’altra parte, regolamenti come NIS2 e Dora non richiedono questo. L’obiettivo non è raggiungere l’immunità, ma ridurre il rischio il più possibile e, soprattutto, pre- pararsi a gestire gli incidenti quando, non se, si verificheranno. Non bastano SLA, processi e tecnologie: senza test, la resilienza non è garantita. Si possono avere tutti gli accordi sul livello di servizio, i processi e le soluzioni tecnologiche, ma non è possi- bile certificarne l’efficacia senza metterli alla prova. Questo è l’a- spetto cruciale per affrontare e migliorare la resilienza. È giusto e necessario che la C-suite conduca tutte le verifiche necessarie per costruire fiducia nella propria filiera dei dati e nei fornitori, ma questa fiducia va messa alla prova. Serve una strategia di test con- tinua e approfondita, che spinga le difese al limite, e non solo in scenari ideali. Una violazione può verificarsi in qualsiasi momento, quindi è fondamentale simulare incidenti nei momenti più critici: quando i team di sicurezza sono già sotto pressione o quando alcune figure chiave non sono disponibili. In sostanza, bisogna andare oltre i piani teorici. Non si impara a nuotare leggendo un manuale. L’unico modo per farlo è tuffarsi. Certo, potresti cavartela senza problemi, ma potresti anche af- fondare. Ed è molto meglio affondare con i braccioli addosso, durante una simulazione, piuttosto che in un’emergenza reale. Veeam Software - www.veeam.com