Il NIST ha pubblicato la Special Publication 800-161, Supply Chain Risk Management Practices. Essa è indirizzata agli enti federali degli USA ma potrebbe essere interessante per tutti:
- http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161.pdf
Io sono un fan delle pubblicazioni del NIST, ma questa non mi ha soddisfatto. Infatti spende 36 pagine per illustrare un metodo di risk assessment (come se il NIST non avesse già un'altra pubblicazione dedicata a questo o come se gli autori di questa pubblicazione volessero dire la loro sulla materia) per poi elencare lungamente dei controlli di sicurezza non sempre applicabili a tutti i fornitori. Anche l'elenco delle minacce non mi sembra particolarmente illuminante.
Mi sarebbe piaciuto infatti trovare considerazioni sui rischi relativi ai fornitori e alla filiera di fornitura, mentre invece non si trova quasi nulla di tutto ciò. E così pure sui controlli di sicurezza.
Bisogna dire che mi sembra quindi un'occasione persa, soprattutto se consideriamo quanta letteratura (di qualità non sempre eccelsa...) è stata fatta sui servizi cloud (ossia su una tipologia specifica di fornitori) e quanta poca ve ne sia sugli altri fornitori. Poteva essere l'occasione per ricordare che gran parte delle questioni di sicurezza delle informazioni relative ai servizi cloud sono in realtà comuni a più tipologie di fornitori e che, pertanto, andrebbero affrontate.
Nessun commento:
Posta un commento