你可以尽可能地将公司的大门紧闭,以防止数字入侵者的攻击,但仍然可能面临来自嵌入供应商系统中的网络犯罪分子的风险,甚至这些犯罪分子可能藏身于供应商的供应商系统中。
如果你的企业还没有经历过供应链漏洞,那你是少数幸运儿之一。根据Gartner的一份报告,多达89%的公司在过去五年中受到了供应商数据泄露的影响,而其中太多公司缺乏足够的程序来预见或适当应对这种情况。
作为一家全球科技公司的CISO,我认为供应链安全是三大风险之一,而且这是我与公司会面时最常听到的担忧之一。在当今互联的全球合作伙伴、供应商、客户和子公司网络中,欺诈者找到一个未加防护的后门或安全漏洞,并通过这些漏洞进入系统,获取敏感信息或对整个供应商生态系统造成破坏的可能性非常现实。
以一次供应链攻击为例,恶意行为者成功地将恶意代码注入到知名软件公司SolarWinds销售的一款软件产品中,然后通过软件更新传播给客户。估计有18000家公司,包括政府机构,安装了这一恶意软件,侵入者因此得以进入这些系统。虽然大多数供应链漏洞不至于如此严重,但潜在的损害足够大,必须认真对待。
根据我的经验,虽然公司逐渐意识到内部数字泄露的危险并采取措施保护自己的数据边界,但仍有太多公司尚未完全理解将同样的重视程度延伸到其供应链的重要性。
承诺、评估并记录
保护供应链可能会带来一些独特的挑战,但也正在出现一些最佳实践,以帮助公司在自身内部以及整个企业范围内实现保护。以下是我对客户的建议。
承诺采取行动
保护供应链需要领导层的关注和公司资源的投入。CISO处于理想位置,可以教育领导团队了解不安全的供应链所带来的风险,这也是一个需要整个业务部门紧密合作才能正确实施保护措施的领域,必须了解企业各个部分的供应商概况。供应链安全正迅速成为任何成功公司的基础要求,所以现在就应该开始行动。
建立治理框架
除了建立治理框架,还要指定一名领导者全面负责政策的制定和执行。例如,由于我们是一家全球公司,我们的基准框架基于国际公认的标准,如ISO信息安全标准和欧洲的GDPR数据保护法规,根据这些框架应用于你的企业。
识别、优先排序并审计所有供应商和合作伙伴
除了供应商和合作伙伴,还要确保对所有有权访问你的系统或数据的其他实体采取这些步骤。记录他们对你安全协议的遵守情况,并建立一个流程,按照既定的时间表对每个相关方进行持续审查。只有当你对整个供应链安全有完全透明的了解时,才能识别和减轻风险区域。
在我们公司,我们每季度对那些对公司数据系统有直接访问权限的供应商和合作伙伴进行相互支持的审查,以确保他们满足我们的安全要求。对于那些对核心系统访问较少的其他方,我们至少每年审查一次。
兑现客户对你的信任
客户希望相信我们能够保护他们最敏感的信息。考虑为客户建立一个信任中心,并通过独立的第三方验证来确认你的安全状况。建立客户信任的重要部分是为每个客户量身定制的数据保护计划,详细说明数据将如何被使用和保护,这也成为每次客户合作的一部分。
提前做好准备
制定一个响应计划,详细说明如何应对任何数据泄露,无论是主要的还是第三方的。与危机响应团队合作,确保你的补救计划包含在公司的业务连续性计划中。数据泄露可能随时发生,随时准备好的公司在应对方面远胜于那些措手不及的公司。
通过采取这些步骤,你的公司将向成熟的安全级别迈出重要的一步,从而保护公司、客户、供应商和合作伙伴。
最后一步
当然,作为一名安全专业人士,我不能忽视最重要的一步。
不断进化和更新
信息安全在不断发展,新技术的引入和恶意行为者日益复杂的攻击手段也会带来新的威胁。紧跟当前威胁环境并为未来做好准备对于公司的成功至关重要。
然而,凭借坚实的安全基础、持续的警惕性以及在必要时借助安全技术合作伙伴的帮助,你公司供应链带来的风险将得到良好的管理,甚至可能成为市场的一个差异化优势。