Politica di sicurezza delle terze parti e dei fornitori - PMI

La P26S – Politica di sicurezza delle terze parti e dei fornitori è specificamente adattata alle PMI, riflettendo una struttura di governance in cui ruoli IT dedicati come Responsabile della sicurezza delle informazioni (CISO) o Centro operativo di sicurezza (SOC) sono tipicamente assenti. Invece, la responsabilità è centralizzata sotto l’amministratore delegato (GM), semplificando l’autorità e le responsabilità pur mantenendo una forte conformità a ISO/IEC 27001:2022 e ad altri principali framework normativi. Questo design garantisce una solida vigilanza sulla sicurezza anche per organizzazioni più piccole senza personale specializzato. Lo scopo principale della politica è formalizzare e imporre misure di sicurezza essenziali ogni volta che si ingaggiano, gestiscono o cessano relazioni con terze parti e fornitori che interagiscono con o impattano i dati, i sistemi o i servizi dell’organizzazione. I fornitori coperti includono fornitori di servizi IT e cloud, sviluppatori software e consulenti HR o finanza. Chiarendo le aspettative di sicurezza, documentando i rischi dei fornitori prima di concedere l’accesso e richiedendo misure di salvaguardia contrattuali applicabili, la politica riduce al minimo i rischi di violazione dei dati, modifiche non autorizzate/non pianificate ai sistemi, infrazioni normative e interruzioni operative. La politica definisce esplicitamente il proprio campo di applicazione includendo sia tutte le terze parti con potenziale accesso ai beni aziendali dell’organizzazione, sia il personale interno coinvolto nella selezione, supervisione, onboarding, contrattualizzazione o riesame dei fornitori. I ruoli centralizzati includono l’amministratore delegato, il fornitore IT o il contatto interno per la sicurezza e i referenti di approvvigionamento o amministrativi, garantendo una chiara responsabilità lungo l’intero ciclo di vita del fornitore. Il fornitore è tenuto ad accettare per iscritto di rispettare gli obblighi di sicurezza e di segnalare gli incidenti. I requisiti chiave di governance includono riesami del rischio dei fornitori prima dell’ingaggio, clausole di sicurezza obbligatorie in tutti i contratti, la tenuta di un registro dei fornitori dettagliato e procedure per monitorare cambiamenti nella proprietà, nell’ambito del servizio o nel subappalto. Le fasi di implementazione richiedono che nessun fornitore riceva mai accesso prima della due diligence sui fornitori e senza approvazione esplicita, che venga concesso solo l’accesso minimo a sistemi/dati e che tutta la trasmissione dei dati avvenga tramite canali cifrati. I requisiti continuativi includono audit e riesami periodici, almeno annuali per i fornitori ad alto rischio, insieme a procedure rigorose per cessare i contratti e revocare gli accessi. La politica integra un processo strutturato per il trattamento del rischio ed eccezioni, assicurando che eventuali lacune siano gestite con controlli compensativi e che nessuna eccezione possa violare obblighi legali o obblighi normativi (ad es. requisiti GDPR o DORA). L’applicazione e la conformità sono descritte chiaramente, con sanzioni fino a includere la cessazione del contratto e azioni legali. La preparazione all’audit è incorporata, richiedendo documentazione sufficiente per superare audit ai sensi di ISO 27001, GDPR e norme correlate. Infine, il ciclo di riesame annuale e il collegamento con politiche di sicurezza delle informazioni strettamente correlate garantiscono che la politica rimanga aggiornata, efficace e integrata nel più ampio framework di sicurezza.