In today’s globally connected world, 澳门赌场官方下载发现自己面临着比以往任何时候都大的供应链妥协风险. 的 2022 Verizon Data Breach Investigations Report (DBIR) 在过去的一年中,供应链合作伙伴在他们审查的系统入侵事件中所占的比例接近60%, astoundingly up from less than 1% percent the previous year.
随着澳门赌场官方下载加强网络防御和成熟的资产保护能力, 不法分子正在寻找最简单的方法来绕过这些保护措施:通过可信任的第三方合作伙伴或供应商进行渗透. 通常, as organizations press to implement the best defenses, 他们没有考虑到供应链合作伙伴的安全风险. 威胁行为者发现,攻击网络安全能力较弱的小型目标,以最终渗透到主要目标,要容易得多. When you think about it, it makes perfect sense. 为什么要浪费时间和资源去攻破城堡的正门呢?
的 threat of supply chain compromise 是否引起了世界各国高层官员的注意. 在美国,一项关于改善国家网络安全的总统行政命令 发布 由于需要提供关于打击公共和私营部门供应链妥协的指导. 该命令要求联邦机构改进他们的识别方法, protecting against, responding to, and learning from supply chain attacks. 因为许多联邦机构处于供应链的末端, 这项行政命令影响到所有与联邦政府有业务往来的组织, from independent “mom & pop shops” all the way up to massive defense contractors. 行政命令要求的是,组织通过使用网络供应链风险管理(C-SCRM)流程,开发一种有效的手段来确保其供应链的完整性.
C-SCRM将信息安全概念纳入组织当前的风险管理过程. This integration helps identify, 评估和减轻与信息技术(IT)和操作技术(OT)的产品和服务供应链相关的风险. 识别供应链风险是一个成熟项目的关键第一步. To understand supply chain risk, 一个组织必须首先对它的资产有一个清晰的了解.g., 产品, 服务, personnel) throughout the entirety of their lifecycles, 包括组织使用的提供给第三方或从第三方接收的资产. Additionally, 资产应该根据它们对整个业务任务和目标的重要性进行分类,以帮助理解评估风险时的优先级.
强大的资产识别和管理过程将为更容易地评估和管理组织供应链风险提供途径. 一个好的网络供应链风险评估会考虑到所有潜在风险发生的可能性和对组织及其合作伙伴的影响, then prioritizes them by the greatest overall risk. Once risks are identified and prioritized, an organization must designate how to manage and respond (i.e., avoid, transfer, mitigate, accept) to each. 无论是内部响应还是由供应商执行的操作, 风险应对措施必须记录在案,并提前达成一致, when possible.
识别风险和记录响应行动只是等式的一部分. 对于整个C-SCRM过程来说,至关重要的是对所有相关方进行沟通和教育,让他们了解组织风险以及如何应对. 组织必须确保所有人员和第三方合作伙伴都接受过供应链风险方面的培训, encourage awareness from the top down, 让合作伙伴和供应商参与组织范围内的响应计划测试和评估. 组织应该与供应商合作伙伴就风险问题建立公开的沟通,并鼓励合作伙伴也这样做. 总体思路是通过澳门赌场官方下载力量实现个人力量. 随着组织的C-SCRM(或整体网络安全)流程的成熟, 经验教训和最佳实践应该在此过程中分享,以帮助支持其他项目.
的 concept of C-SCRM is not a new one. 事实上,多年来有许多来源提供了关于该主题的指导. 美国国家标准与技术研究院(NIST)有一个 Special Publication (SP) 800-161 和一个 Internal Report (IR) 8276 on the subject. 网络安全和基础设施安全局(CISA)有一个 website dedicated to Supply Chain Risk Management as well as an assessment guide on managing dependencies. 这些只是无数出版物中的一小部分资源, 网站, and posts addressing the topic.
为了帮助过滤噪音和建立一个更强大的C-SCRM项目, the CMMI Cybermaturity Platform (CMMI-CP) ISACA不仅为组织提供了成熟C-SCRM过程的资源, but their overall cybersecurity program. CMMI-CP基于风险的解决方案通过基于全球公认的行业标准的风险识别和评估,帮助组织建立网络供应链弹性. 该平台包括用于确定组织依赖关系和识别供应链风险的目标方法的实践领域,以帮助组织制定稳健的网络供应链风险管理计划. More information regarding the CMMI-CP is available at http://ntq.aprender-a-bailar.com/enterprise/cmmi-cybermaturity-platform.
