企业进行大量投入以保护自己免受网络风险和威胁,他们未来的生存和声誉取决于此。然而,他们的强弱程度取决于最薄弱的环节,通常是供应链,这是他们的对手也非常清楚的事实。
正如英国政府《2021 年网络安全漏洞调查》所强调的,“规模各异的大多数组织都没有正式审查其直接供应商和更广泛的供应链带来的风险。” 进一步阅读调查发现,缺乏时间、信息和知识是未审查供应链安全风险的主要原因。当涉及网络安全时,许多组织面临的问题是一样的。
供应链让不法分子可以从一个点发起广泛的攻击,SolarWinds 和 Kaseya 攻击是最近的两个众所周知的例子。根据总部位于伦敦的屡获殊荣的调查机构Opinion Matters的说法,供应链互连性非常敏感,以至于 97% 的组织都受到供应链中发生的网络安全事件的负面影响。
随着公司的发展,其第三方生态系统也在发展,管理和减轻网络风险以达到安全标准变得越来越困难。招募新供应商、评估当前的第三方风险并尝试在整个组织内清楚地传达安全性能是一项艰巨且必要的任务。
作为基础,值得考虑使用第三方风险管理 (TPRM) 工具,该工具可以在面临供应链风险挑战时执行三项关键任务。
1) 供应商验证
无论是评估新供应商还是现有供应商,拥有能够自信地保持大规模风险承受能力的工具有助于更快、更有效地做出决策。TPRM 工具提供了更好地管理风险标准和/或企业目标的能力,并通过以下方式评估供应商的安全状况:
- 基于固有风险的供应商分级,允许优先级更高的补救决策
- 用于补充或验证供应商问卷回复的客观风险数据
- 通过单一参考点大规模评估和评估供应商的集成,允许行业基准将供应商与其竞争对手进行比较,以评估安全地位。
2) 持续监控
管理有效的第三方风险计划需要在整个供应商生命周期中进行持续评估。风险在不断演变,由于执行评估的成本很高,并且难以管理与供应商的关系,因此很难识别每一个潜在风险。
TPRM 通过以下方式简化并提供对第三方的持续可见性,简化重新评估过程并简化与供应商的协作:
- 实时分析以识别和补救发生的风险
- 与供应链合作伙伴更好地协作以进行有效的补救
- 提高对第四方(供应商供应商)生态系统的可见性,以提供更大的保护。
3) 有效保证
在您的供应商组合中衡量网络控制的性能可能既麻烦又耗时,尤其是随着您的计划的改变。将您的第三方风险计划绩效传达给利益相关者以确定和调整组织成功、竞争定位和资源分配也很重要。TPRM 通过以下方式减轻这些负担:
- 易于沟通和理解的综合报告
- 对违规和勒索软件概率的有意义的见解
- 与公司价值和绩效直接相关的经过验证的指标。
一家总部位于英国的大型技术供应商概述了其第三方参与的流程和规则。他们的出发点是合作伙伴至少持有一套正式网络卫生证书,即 CyberEssentials/ISO27001 认证,并且合同包括审核和测试条款合规性的权利,其中包括网络安全状况。
由此可见,组织开始认真对待对供应链的威胁。如果可以证明安全立场和黑客威胁得到认真对待,这将在争取新业务时提供竞争优势。
为了证明这一点,应考虑以下几点:
- 在招聘员工时,一定要勤于进行背景调查和详细筛选。内部威胁仍然是黑客的头号乐事。
- 不要认为安全漏洞不可能发生。积极主动并了解地缘政治环境。行为者很可能有动机造成伤害或寻求访问您的资源。
- 供应商和合作伙伴应该是众所周知的。采取合理措施验证供应商的安全实践和程序。鉴于您的客户正在审查您的业务,因此您对他们做同样的事情是正确的;对待别人就像对待你一样!
- 应实施稳健的集中治理流程,并涉及所有内部安全主管。能够通过持续审计、员工网络培训等来证明内部安全状况,将有助于展示“言行一致”的状态,这对获得合同有很大帮助。
保障供应链安全是每个公司的责任。只有当所有实体都采取有效、协调的安全措施,确保供应链数据的完整性、货物的安全和全球经济的安全时,供应链才能真正的安全。
原标题:Is There a Weak Link in Your Supply Chain?
作者:Colin Tankard
链接:https://www.infosecurity-magazine.com/opinions/weak-link-supply-chain/
