以下是需要考虑的前五个领域:
对您的技术堆栈进行全面的IT审查
人们无法保护看不到的东西。为了最大限度地减少任何未知因素,需要从全面审核IT环境开始,包括任何未经批准的影子IT。需要准确了解正在使用哪些硬件、软件和SaaS产品、安全漏洞在哪里以及企业的业务依赖哪些供应商和合作伙伴——包括这些交互的性质,从它们处理的数据类型到系统接口和不同层次的整合。
接下来,评估每个供应商对业务的重要性。如果存在冗余或不必要的关系,需要解决它们。每个进出的供应商都应根据他们提供的服务类型在记录系统中进行说明。保持供应商的最新库存并集中管理这些关系是识别和最小化任何固有风险的起点。分层合作伙伴关系还允许您快速跟踪低风险供应商的采购。
提出正确的问题
在进行安全对话时,优先考虑那些最重要的供应商。关注那些妥协可能对您的业务运营造成最大损害和干扰的合作伙伴。
您的供应商的安全态势有多强,他们对易受攻击区域的理解如何,以及他们如何加强防御?具体的定制问题将产生更好的结果。无论企业的规模有多小,都应准备好一系列明确定义的要求,并准备好提出一些令人不安的问题。
评估合作伙伴可能会给您带来哪些风险,以及他们正在采取哪些措施来缩小这些差距。您投资组合中的每个供应商都应该能够解释他们如何保护自己和客户免受攻击,包括他们如何限制对系统的访问以及他们如何加密数据。他们是否遵循行业标准?他们能否证明他们正在以与相同的方式保护客户数据的机密性、完整性和可用性?供应商还应该能够在被要求时展示对其安全性能的独立审计。
设定对业务连续性的期望
在业务连续性和灾难恢复(BCDR)方面,设定明确的期望非常重要。如果可用性是一个问题,则必须将坚定的SLA写入合同,并且您的合作伙伴应该有一个充分且记录良好的事件响应计划。如果他们没有正式的、经过测试的BCDR策略可供审查,请准备好共同努力实施。提交答案以准备下一次安全审查也是一个好主意。
建立网络安全文化
已经说过很多次了,但用户仍然是最薄弱的环节。为了减轻这种风险,组织需要建立一种强大的安全文化,该文化建立在广泛的员工培训基础上,并辅以适当的威胁预防和监控工具。用户必须知道如何发现可疑活动-例如网络钓鱼电子邮件-并且应始终强烈鼓励他们报告任何不寻常的事情,无论它看起来多么微不足道。
继续追究供应商的责任
完成初始风险评估后,不要忘记跟进调查结果。既然已经建立了识别最关键供应商的标准,请开发一种适当的方法来持续评估它们。以反映组织内部要求的方式衡量供应商。在大多数情况下,第1层供应商应被视为业务的延伸,因此应具有与您为自己的组织设置的政策、程序、流程和能力相似或更好的政策、程序、流程和能力。
管理供应商是一个持续的过程,而不是一次性的勾选框练习,所以要坚持并保持关系透明。您的合作伙伴的安全计划应该朝着正确的方向发展,他们应该能够证明他们能够适应不断变化的威胁。
此外,随着供应商关系的增长,尽职调查和安全期望的水平也必须提高。每个合同关系都带有一定程度的责任感。合同安全语言不仅可以通过让供应商遵守最佳实践来保护您的组织——它还将为整个关系设定节奏。它将使双方遵守在发生事故时应满足的标准。事件响应、数据检索、数据所有权和评估权都应事先达成一致。
结论
企业可以而且必须要求其供应商提供高质量的安全成果。毕竟,值得信赖的供应商的地位不是通过关系的长短来获得的,而是来自于安全方面的更大透明度。与您的供应商合作,找出可能的弱点,并继续定期审查您和他们的防御措施。建立这种信任最终将帮助您应对来自供应链攻击的风险。