當前位置：CIO → 技術(shù)探討 → 正文

保護供應(yīng)鏈的最佳實踐

責任編輯：cres 作者：Bob Bruns |來源：企業(yè)網(wǎng)D1Net 2024-08-14 14:51:34 原創(chuàng)文章企業(yè)網(wǎng)D1Net

你可以盡可能地將公司的大門緊閉，以防止數(shù)字入侵者的攻擊，但仍然可能面臨來自嵌入供應(yīng)商系統(tǒng)中的網(wǎng)絡(luò)犯罪分子的風險，甚至這些犯罪分子可能藏身于供應(yīng)商的供應(yīng)商系統(tǒng)中。

如果你的企業(yè)還沒有經(jīng)歷過供應(yīng)鏈漏洞，那你是少數(shù)幸運兒之一。根據(jù)Gartner的一份報告，多達89%的公司在過去五年中受到了供應(yīng)商數(shù)據(jù)泄露的影響，而其中太多公司缺乏足夠的程序來預(yù)見或適當應(yīng)對這種情況。

作為一家全球科技公司的CISO，我認為供應(yīng)鏈安全是三大風險之一，而且這是我與公司會面時最常聽到的擔憂之一。在當今互聯(lián)的全球合作伙伴、供應(yīng)商、客戶和子公司網(wǎng)絡(luò)中，欺詐者找到一個未加防護的后門或安全漏洞，并通過這些漏洞進入系統(tǒng)，獲取敏感信息或?qū)φ麄€供應(yīng)商生態(tài)系統(tǒng)造成破壞的可能性非常現(xiàn)實。

以一次供應(yīng)鏈攻擊為例，惡意行為者成功地將惡意代碼注入到知名軟件公司SolarWinds銷售的一款軟件產(chǎn)品中，然后通過軟件更新傳播給客戶。估計有18000家公司，包括政府機構(gòu)，安裝了這一惡意軟件，侵入者因此得以進入這些系統(tǒng)。雖然大多數(shù)供應(yīng)鏈漏洞不至于如此嚴重，但潛在的損害足夠大，必須認真對待。

根據(jù)我的經(jīng)驗，雖然公司逐漸意識到內(nèi)部數(shù)字泄露的危險并采取措施保護自己的數(shù)據(jù)邊界，但仍有太多公司尚未完全理解將同樣的重視程度延伸到其供應(yīng)鏈的重要性。

承諾、評估并記錄

保護供應(yīng)鏈可能會帶來一些獨特的挑戰(zhàn)，但也正在出現(xiàn)一些最佳實踐，以幫助公司在自身內(nèi)部以及整個企業(yè)范圍內(nèi)實現(xiàn)保護。以下是我對客戶的建議。

承諾采取行動

保護供應(yīng)鏈需要領(lǐng)導(dǎo)層的關(guān)注和公司資源的投入。CISO處于理想位置，可以教育領(lǐng)導(dǎo)團隊了解不安全的供應(yīng)鏈所帶來的風險，這也是一個需要整個業(yè)務(wù)部門緊密合作才能正確實施保護措施的領(lǐng)域，必須了解企業(yè)各個部分的供應(yīng)商概況。供應(yīng)鏈安全正迅速成為任何成功公司的基礎(chǔ)要求，所以現(xiàn)在就應(yīng)該開始行動。

建立治理框架

除了建立治理框架，還要指定一名領(lǐng)導(dǎo)者全面負責政策的制定和執(zhí)行。例如，由于我們是一家全球公司，我們的基準框架基于國際公認的標準，如ISO信息安全標準和歐洲的GDPR數(shù)據(jù)保護法規(guī)，根據(jù)這些框架應(yīng)用于你的企業(yè)。

識別、優(yōu)先排序并審計所有供應(yīng)商和合作伙伴

除了供應(yīng)商和合作伙伴，還要確保對所有有權(quán)訪問你的系統(tǒng)或數(shù)據(jù)的其他實體采取這些步驟。記錄他們對你安全協(xié)議的遵守情況，并建立一個流程，按照既定的時間表對每個相關(guān)方進行持續(xù)審查。只有當你對整個供應(yīng)鏈安全有完全透明的了解時，才能識別和減輕風險區(qū)域。

在我們公司，我們每季度對那些對公司數(shù)據(jù)系統(tǒng)有直接訪問權(quán)限的供應(yīng)商和合作伙伴進行相互支持的審查，以確保他們滿足我們的安全要求。對于那些對核心系統(tǒng)訪問較少的其他方，我們至少每年審查一次。

兌現(xiàn)客戶對你的信任

客戶希望相信我們能夠保護他們最敏感的信息。考慮為客戶建立一個信任中心，并通過獨立的第三方驗證來確認你的安全狀況。建立客戶信任的重要部分是為每個客戶量身定制的數(shù)據(jù)保護計劃，詳細說明數(shù)據(jù)將如何被使用和保護，這也成為每次客戶合作的一部分。

提前做好準備

制定一個響應(yīng)計劃，詳細說明如何應(yīng)對任何數(shù)據(jù)泄露，無論是主要的還是第三方的。與危機響應(yīng)團隊合作，確保你的補救計劃包含在公司的業(yè)務(wù)連續(xù)性計劃中。數(shù)據(jù)泄露可能隨時發(fā)生，隨時準備好的公司在應(yīng)對方面遠勝于那些措手不及的公司。

通過采取這些步驟，你的公司將向成熟的安全級別邁出重要的一步，從而保護公司、客戶、供應(yīng)商和合作伙伴。

最后一步

當然，作為一名安全專業(yè)人士，我不能忽視最重要的一步。

不斷進化和更新

信息安全在不斷發(fā)展，新技術(shù)的引入和惡意行為者日益復(fù)雜的攻擊手段也會帶來新的威脅。緊跟當前威脅環(huán)境并為未來做好準備對于公司的成功至關(guān)重要。

然而，憑借堅實的安全基礎(chǔ)、持續(xù)的警惕性以及在必要時借助安全技術(shù)合作伙伴的幫助，你公司供應(yīng)鏈帶來的風險將得到良好的管理，甚至可能成為市場的一個差異化優(yōu)勢。

企業(yè)網(wǎng)D1net(hfnxjk.com)：

國內(nèi)主流的to B IT門戶，旗下運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。

關(guān)鍵字：供應(yīng)鏈數(shù)字化