我们都听说供应链风险在增加, 从黑客事件到向外国实体发送数据的芯片组. 但是,我们如何开始攀登评估供应商的大山,以确保他们符合我们的安全标准?
SolarWinds, 芯片组 监测、 云服务 连续几周不上网——这是网络安全项目最可怕的噩梦. 作为网络安全专业人士, 我们有责任跟上行业的发展趋势, 但近年来, 围绕供应链风险出现了新的挑战. ISACA最近完成了一项供应链调查 of 1,300名安全专业人士中,30%的人表示,他们组织的领导者对供应链风险没有足够的了解. 而我们总是有责任保护我们的内部环境, 这些环境已经变成了一个活动网, 从内部托管服务器到云托管服务器, 手机, 软件即服务(SaaS), 还有无数其他成分. 最近的袭击阻碍了这些活动, 以及从最初的黑客攻击扩展而来的妥协, 有时很难确定我们的责任在哪里结束,而供应商的责任在哪里开始.
供应链风险管理是一项挑战,但并非无法克服. 就像我们围绕网络安全所做的一切一样, 必须确保为特定任务选择供应商, 服务或项目正在尽他们的尽职调查,以防止妥协到达他们的客户. 供应商验证其服务的简单方法是定期执行SOC审计, 是iso评定资格的, 或向潜在客户提供其他认证信息,以确保安全控制达到令人满意的水平.
然而, 一些公司尚未适应这些审计,需要以其他方式接受质询,以显示它们的尽职调查. 最近,我的任务是创建一个供应商风险管理表单, 所有处理公司数据(包括受保护的健康信息和个人身份信息)的潜在供应商都需要填写并向我们的网络安全团队提供哪些信息. 从那里, 我们将为供应商确定风险,以确定其是否符合我们的谨慎标准,并在发生违规行为时采取适当行动保护客户.
在计算这个形式中应该包含什么, 我意识到在评估产品时需要考虑一些简单的事情,这些事情可以作为创建您自己表单的基础. ISACA供应链调查发现,只有五分之一的组织在其供应商评估中包含网络安全组件, 这是开始将这些主题纳入项目过程的好方法. 这张清单也可以作为思考供应链及其如何影响您业务的起点:
- 这个应用程序/产品/服务/软件对你的业务有多重要? 例如, 如果它是一个包含所有员工个人数据的应用程序, 你要确保它们满足所有的安全要求, 法律要求的数据和隐私, 你所在的组织. 如果这个系统长时间离线会发生什么? 他们的SLA是什么??
- 软件/产品/服务/应用程序提供或存储的数据有多重要? 数据越重要, 就越需要了解保护它的控制措施.
- 供应商的总部在哪里? 他们的员工住在哪里? 他们是否使用来自可能在其产品硬件中植入恶意芯片组的国家的设备来收集数据?
- 供应商的灾难恢复计划和违约通知计划是什么? 在这些计划中,他们对客户的责任是什么? 如果答案是“没有”,那么您可能需要考虑另一个供应商.
- 做一些研究: 在过去五年中,贵公司遭受了多少次网络性质的入侵或事件? 有什么值得担心的吗?
一旦你有了这些问题的答案, 你可以充实自己的风险管理评估表格. 网上有一些很好的资源可供参考,您可以添加与数据的重要性相关的其他问题, 你所在地区的隐私法, 和更多的. 如果您已经有这些表单之一,但想要添加更多的自动化, 许多供应商都可以处理第三方/供应商风险管理问卷. 这些信息被发送给客户,然后通过评估供应商进行处理,以根据所提供的信息提供见解和报告.
但是,也要记住 “进攻行动,如果不是唯一的防御手段,通常是最可靠的.(乔治·华盛顿,1799) 对供应商进行尽职调查很重要,但要制定计划,在出现违规情况时隔离供应商, 事件响应和业务连续性计划, 同时确保数据备份可用, 这些都应该成为网络安全项目开发的一部分吗.
在讨论这些评估时有人问我一个问题, “你在供应链上走了多远?答案很简单:只要情况危急,你就得这么做. 而政府机构可能需要研究最基本的芯片组,以确保绝密数据不会落入坏人之手, 没有PII/PHI处理的小公司在其评估中需要相同的粒度级别吗? 这是澳门赌场官方下载必须做出的决定,也将构成您创建的评估表格.
随着我们作为一个全球联系的社会继续走到一起, 供应链风险将继续演变,并变得更加纠缠. 了解您的组织的需求并开始评估产品是值得的,以便在未来的妥协之前进行评估,并尽可能地保护您的环境.
正如红绿所说:“我们都在一起.”