根据世界经济论坛(WEF)最近发布的年度网络报告,90%的企业和网络领导者对第三方的网络适应能力表示担忧。 考虑到54%的企业报告称通过第三方遭遇过入侵,这些担忧是有道理的。
全球各国政府同样关注供应链风险。 Solarwinds攻击事件激发了政府对供应链风险的关注,而最近的3CX供应链攻击事件则凸显了风险的严重性和多样性。
随着拜登政府最近发布《国家网络安全战略》,多个部门的风险管理机构已经开始颁布衡量、报告和管理第三方风险的新要求。
在欧洲,不断发展的《网络安全弹性法案》将对供应商提出新的要求,即文件产品中的漏洞。 在法国,一项新的网络评分法将要求面向互联网的平台公司披露基于第三方系统和流程审计的网络弹性 "成绩单"。
各行各业各种规模的组织要想赢得信任并建立网络复原力,就需要一种简单的方法来衡量和量化世界上任何组织的网络风险,包括其供应链中的合作伙伴、承包商、第三方和第四方供应商。
有了这种洞察力,企业可以识别所有供应商带来的网络风险,并做出明智的决策,帮助其业务合作伙伴加强自身的网络防御。
Brendan Peter是SecurityScorecard全球政府事务副总裁。
macbook梯子
对任何组织而言,对第三方计划的成熟度进行公正的评估都是一项有益的工作。 以下基线测验对刚刚开始其旅程的组织非常有用:
1. 贵机构是否制定并更新了全面的第三方风险管理(TPRM)政策和程序?
2. 贵公司的TPRM项目是否有专人管理供应商?
3. 是否通过一个平台发出并跟踪供应商调查问卷,而不是通过其他平台?试算表?
没有两家企业的TPRM计划是相同的;然而,大多数企业都处于适度管理供应商风险的水平。 无论您的TPRM计划是不存在还是已经成熟,您的企业总是可以做更多的事情来降低第三方风险。
TPRM计划仍在发展中的组织应采取以下步骤,开始建立更强大的态势:
确定管理第三方供应商的业务目标和目的,以创建更正式的TPRM计划。
根据最佳实践制定或重新评估政策和程序。
选择工序或安全用于发送和接收问卷回复的评估平台,帮助您评估供应商和合作伙伴的风险。
了解如何向业务领导汇报以及汇报的内容,以展示价值并保持TPRM项目的前进势头。
梯子 macbook
供应链中的网络安全不仅仅是一个IT问题。 它的影响范围遍及整个企业的各个职能部门,因此有必要采取合作的方式来有效应对网络供应链风险。
重要的是要认识到,安全漏洞的发生很少是由于技术故障,而是主要源于人为错误。 无论您的IT安全系统有多先进,只有在员工加入并遵守网络安全惯例的情况下,它们才能为您提供保护。
实现网络复原力的一个好方法是停止区分网络安全和物理安全。 在当今的威胁形势下,这两个领域相互交织。 物理安全的失误可能导致网络攻击,反之亦然。
macbook 梯子
保护您的供应链是一项全职工作。 以下是一些您现在就可以实施的最佳实践,以最大限度地降低您的业务生态系统中的风险:
在每份合同中纳入安全要求。 这样,如果供应商未能遵守基本的安全协议,您就有了退路。
对每个供应商进行安全评估。 接受供应商后,与他们合作解决漏洞和安全漏洞。
严格控制服务供应商的访问。 硬件供应商应仅限于与机械系统进行交互,不得进入控制系统。 所有供应商都应经过授权程序,并在工作期间得到严密的陪同。
macbook梯子
供应链网络安全包括众多需要我们关注的潜在风险和威胁。 在您的供应链中存在着数十甚至数百个第三方和第四方,您不能指望一个小规模的安全团队来应对所有的潜在威胁。
随着企业供应链风险管理方法的成熟,利用自动化和持续监控将成为对内和对外衡量和报告风险态势的关键。 这将减少对人工干预的需求,并将错误风险降至最低。
无论您的企业处于管理供应商风险的哪个阶段,您都不能放松警惕。
