[CYBERTOOL] Supplier Management IT: la tua azienda verifica adeguatamente la struttura organizzativa dei propri fornitori di servizi IT?

Dotarsi di appropriati fornitori, soprattutto in ambito IT e sicurezza informatica, è ormai un’esigenza di primaria importanza per le aziende che -tramite un’analisi dei propri partners commerciali– devono garantire costantemente un’adeguata protezione dei dati e delle informazioni aziendali. 

Attraverso un’indagine preventiva e un continuo monitoraggio, l’azienda è in grado di mappare i c.d. rischi indiretti (derivanti dai rapporti con i propri fornitori), così da definire e perseguire le best practices preventive e tutelative nella gestione dei rapporti commerciali. 

 

Le 3 azioni fondamentali per un Supplier Management IT efficace

Prima di concludere un accordo commerciale, quindi, l’azienda deve strutturare una road map specifica, composta da 3 diversi step valutativi tra loro sinergici. 

In questo modo, al termine della valutazione, l’azienda disporrà delle informazioni necessarie per poter scegliere consapevolmente il proprio partner commerciale. 

 

1. Definire i criteri su cui basare la scelta del fornitore IT 

È importante che l’azienda delinei i requisiti e gli obblighi organizzativi minimi ed imprescindibili che un potenziale fornitore deve rispecchiare prima di instaurare una collaborazione produttiva e sicura. 

Alcuni dei criteri per eseguire l’analisi riguardano: 

-le modalità di gestione dell’infrastruttura IT 

-l’impianto relativo alla cybersecurity, nonché la previsione di costanti obblighi formativi e di aggiornamento

-la creazione di un business continuity plan e un disaster recovery plan, che assicurino la continuità dei servizi offerti e della disponibilità dei dati 

-la presenza di adeguati servizi di supporto e di intervento, nonché di sistemi di comunicazione agevolati per favorire il contatto con l’interlocutore 

-la certificazione di competenze specifiche (ad esempio, la certificazione ISO 27001 sugli standard internazionali della sicurezza delle informazioni)

 

2. Verificare le condizioni contrattuali e i Service Level Agreement (c.d. SLA) 

L’analisi delle clausole contrattuali e delle SLA (nonché dei relativi allegati) permette all’azienda di individuare il fornitore più adeguato allo sviluppo della propria attività. 

In particolare, dovranno essere oggetto d’esame: 

-gli obblighi a carico del fornitore, tra cui: 

      1. prestare idonee garanzie di continuità del servizio e di adozione delle best practices di settore, eventualmente prevedendo il pagamento di una penale in caso di violazione
      2. adottare misure di sicurezza fisica e ambientale idonee a salvaguardare dati e le informazioni appartenenti al patrimonio aziendale 
      3. stipulare una copertura assicurativa adeguata 

-gli obblighi dell’azienda cliente  

-le ripartizioni di responsabilità tra le parti in merito alla Data Protection con la nomina a responsabile del trattamento del partner commerciale, nel rispetto dei requisiti di cui all’art. 28 GDPR 

 

3. Svolgere attività di valutazione sia preliminare che continuativa 

Tramite consulenti specializzati, per avere un quadro veritiero e sempre aggiornato dei propri fornitori, l’azienda dovrà analizzare il maggior numero di dati e informazioni a loro riferiti, al fine di ottenere degli output che le permettano di effettuare scelte consapevoli e tutelanti. 

Per esempio, tra le attività che l’azienda può eseguire rientra l’Open Source Intelligence (OSINT), un processo volto a raccogliere informazioni di pubblico dominio relative ad una specifica realtà, tra le quali: 

-l’analisi della configurazione SSL e DNS del web server, per vagliare sia la sicurezza della trasmissione delle informazioni sia la capacità di contrastare eventuali disservizi 

-la scansione delle web application del fornitore 

-l’attività di intelligence nel dark web 

Per implementare le proprie verifiche, l’azienda può anche approfondire aspetti organizzativi del proprio fornitore non esclusivamente attinenti alla sicurezza informatica, ma che comunque le permettono di evidenziare la necessità di predisporre ulteriori indagini (come, per esempio, analisi di resoconti finanziari e di informazioni di mercato; ricerche nei social e nei forum aziendali). 

 

Lo scopo del tool 

Sottoponendo questo tool, composto da 15 domande a risposta multipla, al Responsabile IT (o ad un suo delegato), sarà possibile verificare se l’azienda esegue adeguate verifiche e il monitoraggio dei propri fornitori in tema supplier management IT, al fine di adottare le best practices sulla cybersecurity. 

 

Per iniziare l’autoanalisi, clicca qui. 

Veronica Zanibellato

Veronica Zanibellato

Nata a Padova, laureata presso l’Università degli Studi di Padova, è stata abilitata alla professione forense nel 2020. Legal specialist presso società bancarie e immobiliari, occupandosi della redazione e della revisione dei contratti ha contribuito alla redazione di modelli contrattuali semplificati, volti a garantirne la trasparenza e l’equilibrio tra le parti coinvolte secondo l’applicazione del legal design. Si occupa di diritto civile, diritto societario, diritto immobiliare e contrattualistica. Pratica tennis e nuoto, nel tempo libero ama fare escursioni o leggere un buon libro.