Security: SMB Technology Solutions News
Strengthening the weakest link

Più forza all’anello più debole

Il livello di sicurezza di un’azienda è determinato dal suo anello più debole e per molte imprese il rischio maggiore è nella supply chain. Servono soluzioni con sicurezza integrata in ogni punto, nonché la garanzia che la supply chain sia protetta e conforme a ogni livello. Stuart Constable identifica l’anello più debole.

 

La fiducia ha un ruolo preminente in una supply chain sicura.

Puoi avere a disposizione tutti i contratti necessari e soddisfare ogni requisito. Tuttavia, una supply chain funziona solo se si basa su uno dei concetti più umani: la fiducia. Più è complessa, più solida deve essere la fiducia.

Un fornitore non conoscerà mai tutti i provider coinvolti in progettazione, sviluppo, produzione, assemblaggio, spedizione, consegna e manutenzione di un prodotto o di una soluzione. Ogni relazione individuale si basa sulla fiducia tra le parti interessate, che include il presupposto (o in alcuni casi la prova) che tutte le altre relazioni siano ugualmente solide.

La tecnologia delle supply chain deve affrontare una sfida particolare, perché può essere attaccata da qualsiasi punto con relativa facilità. I componenti fisici, come magazzini, impianti, veicoli e così via, sono separati. Se un magazzino subisce furti o atti di vandalismo, possono verificarsi interruzioni, ma le altre strutture potranno continuare a operare. Al contrario, se l’infrastruttura e le applicazioni che collegano i singoli provider nella catena vengono danneggiate in qualsiasi punto, l’intera linea di approvvigionamento può subire conseguenze materiali. Il tutto senza che il criminale informatico debba mai lasciare la propria stanza.

Quando è la stessa supply chain a doversi dotare di una tecnologia sicura, le sfide si fanno ancora più complesse. Se stai fornendo al tuo team tutti i dispositivi necessari per lavorare ovunque, devi poter contare sul fatto che ogni dispositivo sia realizzato in base alle tue esatte specifiche e a standard di protezione precisi.

Qualsiasi endpoint può fornire un punto di ingresso per malware o attacchi mirati. Il problema è che esiste un mercato nero in buona salute per i componenti più costosi, che possono essere scambiati con articoli contraffatti in qualsiasi punto della supply chain. Il dispositivo che lascia la fabbrica può anche essere realizzato in base a standard corretti, ma al suo interno possono essere state sostituite parti essenziali, compromettendo l’integrità e la sicurezza. E te ne renderai conto solo quando sarà tardi.

È per questo che la supply chain trasparente di Lenovo è divenuta una parte essenziale della relazione fra Lenovo e i clienti. Integriamo la protezione nei nostri prodotti sin dai componenti, con tracciabilità a livello di sistema e di componente. Ogni fornitore di componenti intelligenti viene esaminato e sottoposto a controlli di sicurezza e i nostri prodotti vengono forniti in confezioni sicure che indicano immediatamente se hanno subito manomissioni lungo la linea di approvvigionamento.

La principale caratteristica del crimine informatico è il fatto di evolvere a velocità sbalorditive. Il prossimo attacco ransomware potrebbe essere a portata di clic, mentre gli attacchi DDoS stanno iniziando a sfruttare le vulnerabilità dell’IoT, potenzialmente su larga scala. Allo stesso tempo, la protezione dei dispositivi resta un aspetto strategico, in quanto gli utenti scelgono sempre più di lavorare con una combinazione di dispositivi personali e di proprietà dell’azienda.

Oltre alla supply chain trasparente, il sistema di gestione della protezione dei prodotti di Lenovo è configurato per garantire protezione lungo tutto il ciclo di vita dei prodotti, dallo sviluppo alla produzione, fino al supporto clienti. Ci impegniamo a garantire che la sicurezza sia integrata fino al cuore dei nostri prodotti e non solo implementata dall’esterno.

La supervisione, o governance, della sicurezza dei prodotti è integrata in questo processo per garantire che lo sviluppo segua procedure sicure e adeguate, in particolare per quanto riguarda la creazione e la distribuzione di BIOS e firmware.

Nel corso di tutto il processo di sviluppo e test, il programma di hackeraggio etico di Lenovo fornisce informazioni dettagliate sui potenziali problemi dei clienti, in modo che possano essere risolti prima della spedizione del prodotto. Investiamo continuamente anche in programmi di formazione per garantire che il personale che occupa posizioni chiave sia sempre al corrente dei problemi di sicurezza critici.

L’immaginazione umana è l’unico limite per reati e crimini. Ecco perché la protezione deve essere affrontata con soluzioni ugualmente ingegnose, partendo dalle qualità più umane: la fiducia e la vulnerabilità personale. Qualsiasi anello nella catena di protezione, che si tratti di un fornitore, un aggiornamento software o un utente disattento, deve essere considerato un possibile punto debole.

Abbiamo fatto di questo approccio olistico un principio fondante della nostra strategia di produzione e supply chain. Questo significa che la fiducia riposta in noi in quanto fornitori è avvalorata da best practice solide e dimostrabili, che mantengono al minimo i rischi per i nostri clienti, dal tavolo di disegno fino al portapacchi per il trasporto.