网络安全之供应链安全:评估供应链安全

下表提供了一系列用于衡量供应链安全性的场景。这个想法是给我们一些具体的参考例子,说明供应链安全的好坏,帮助我们了解自己的供应链安全情况。

好的 坏的
了解供应商可能给组织、更广泛的供应链以及提供的产品和服务带来的风险了解供应商持有的信息的敏感性以及他们支持的项目的价值。 对供应商可能对更广泛的供应链及其提供的产品和服务构成的风险缺乏了解。不知道他们持有什么数据,也不知道他们支持的项目的价值。
全面了解供应链,包括分包商。 只了解直接供应商,但对任何分包商的了解有限/不了解。
了解供应商的安全安排并定期与他们接触以确认他们继续有效地管理合同风险。 对供应链的安全状态一无所知,但认为它们可能没问题。无法查看此状态。
控制您的供应链,行使审计权和/或要求供应商向上报告,以提供一切运行良好的安全保证。审核请求不会是与供应商的第一次互动。 锻炼对供应链控制力弱,视力判上判输,不能行使审计权,不寻求向上报告。通常,安全团队与供应商的第一次接触是在事件发生后进行审计。
根据对风险的评估和认为必要的保护措施,为供应商设置最低安全要求,告诉他们合同中的预期内容。 未能设置最低安全要求,让供应商自己做事,即使他们可能没有安全意识来了解需要什么,或知道如何有效地做到这一点。或者设置最低安全要求,但未能将这些要求与对风险的评估相匹配 - 可能使许多供应商无法实现安全。
区分将评估的风险与特定合同相匹配所需的保护级别。确保这些保护是合理的、相称的和可实现的。 为所有供应商设置不成比例的“一刀切”方法,无论合同和评估风险如何。未能确保这些控制是合理且可实现的,可能导致供应商不与竞争合同。
要求在每种情况下都认为必要的保护措施在整个供应链中传递下去。检查以确保它正在发生。 将安全性留给直接供应商来管理,但未能强制执行和/或检查它的发生。
履行作为供应商的责任(并在缺乏指导的地方挑战客户)。向下传递客户的要求并提供向上报告。 忽视作为供应商的责任,或忽视任何缺乏客户指导的情况。未能向下传递需求,和/或未能提供向上报告。
为响应事件的供应商提供一些指导和支持。交流经验教训,以便供应链中的其他人避免“已知问题”。 不向供应商提供事件支持。未能采取行动或发现“已知问题”可能影响供应链中其他人的地方,也未就这些问题向其他人发出警告 - 可能导致更大的中断:已知问题影响到许多供应商。
促进提高供应商的网络意识。积极分享最佳实践以提高标准。鼓励供应商订阅免费的威胁情报服务,以便他们更好地了解潜在威胁。 无论供应商的安全意识和能力如何,都希望供应商能够预见到网络攻击的发展,提供很少或根本不提供支持或建议。
将保证措施纳入最低安全要求(例如Cyber Essentials  Plus、审计和渗透测试)。这些提供了有关供应商安全有效性的独立视图。 未能将保证措施纳入您的安全要求,相信供应商会做正确的事情 - 无论他们是否有足够的知识或经验来了解对他们的期望。
监控已实施的安全措施的有效性。根据从事件中吸取的经验教训、保证活动的反馈或供应商对问题的反馈,准备修改或删除证明无效的控制措施。 未能监控安全措施的有效性。未能听取反馈。不愿意做出改变,即使支持这样做的证据是压倒性的。
参考来源:英国国家网络安全中心官网
(0)

相关推荐