Gardets

Security Think Tank: GrundlÀggande steg för att sÀkra din leveranskedja

NÀr vi tÀnker pÄ försörjningskedjor tÀnker vi vanligtvis pÄ dem i samband med tillverkning, till exempel kommer en bil vanligtvis att ha en radio frÄn en tillverkare, ett luftkonditioneringssystem frÄn en annan leverantör (eller tvÄ), muttrar, bultar och skruvar frÄn andra leverantörer och sÄ vidare. Detsamma gÀller för de flesta företag som Àr verksamma idag med avseende pÄ sin IT.

NÀr man tittar pÄ sÀkerheten i lÀnkarna mellan ett företag och dess affÀrspartners Àr det sjÀlvklart att sÀkerheten bara Àr lika bra som den svagaste affÀrspartnerlÀnken. Men nÀr vi sÀger det mÄste vi ta med företagets IT i det uttalandet och sÀkerheten i en partners IT-system.

God praxis, frÄn min erfarenhet, nÀr det gÀller att hantera IT-försörjningskedjans sÀkerhet, kan delas upp i följande steg, men kom ihÄg att dessa steg Àr relativt höga och att djÀvulen finns i detaljen. Observera ocksÄ att listan inte Àr uttömmande eftersom varje IT-scenario Àr olika.

  • Ett IT-sĂ€kerhetsteam behöver en gedigen förstĂ„else för ett företags verksamhet, inklusive alla partners, dotterbolag och andra externa tjĂ€nster som anvĂ€nds, vare sig de Ă€r offentliga eller privata.
  • Som ett resultat av detta kommer en förstĂ„else för de tillgĂ„ngar som Ă€r i riskzonen och det tillhörande riskvĂ€rdet (rykte, finansiellt, förmĂ„ga att handla, etc).
  • LikasĂ„ behöver IT-sĂ€kerhetsteamet en gedigen förstĂ„else för företagets IT, inklusive dess leverantörer.
  • Internt, internt/tredjepartsunderhĂ„ll, partiell outsourcing: outsourcar leverantörerna i sin tur en del av “sin” IT, distansarbete, etc?
  • SĂ€kerhetsteamet behöver en bra och uppdaterad förstĂ„else för hot- och sĂ„rbarhetslandskapet.
  • SĂ€kerhetsteamet mĂ„ste kunna kartlĂ€gga de viktigaste delarna av försörjningskedjan. Varning: för mycket detaljer och du kommer inte att se skogen för trĂ€den, men omvĂ€nt, ta en för hög nivĂ„ och du kommer att börja missa nĂ„gra viktiga punkter.
  • NĂ€r nyckeldelarna i kedjan har kartlagts mĂ„ste teamet för varje del identifiera om dess sĂ€kerhet ligger inom företagets direkta kontroll, företaget har indirekt kontroll eller om företaget inte har nĂ„gon kontroll.
  • Nyckeln hĂ€r Ă€r att identifiera grĂ€nserna mellan varje del av försörjningskedjan och vem som har den tekniska hanteringen av sĂ€kerheten för varje del och dess grĂ€nssnitt.
  • Som en del av denna kartlĂ€ggning bör teamet övervĂ€ga vilka sĂ€kerhetskontroller för nuvarande branschpraxis som de förvĂ€ntar sig att hitta, bĂ„de för den del av försörjningskedjan som övervĂ€gs och dess grĂ€nssnitt till andra delar av försörjningskedjan.
  • För varje del av kedjan Ă€r nĂ€sta steg att se över vilka sĂ€kerhetskontroller som faktiskt finns pĂ„ plats, inklusive dess grĂ€nssnitt, och jĂ€mföra dem med de identifierade kontrollerna för god praxis.
  • Dessa granskningar, tillsammans med kunskapen om företagets tillgĂ„ngar som kan exponeras av ett sĂ€kerhetsbrott och riskvĂ€rdet om en kontroll misslyckas, kommer att leda till en riskprofil och en Ă„tgĂ€rdsplan för att förbĂ€ttra sĂ€kerheten.

Vad jag inte uttryckligen har tagit upp hÀr Àr de fysiska aspekterna av sÀkerheten, till exempel om ett företags kontor Àr i en delad byggnad eller byggnad med flera hyresgÀster, dÄ Àr kabelrum, garderober och stigare viktiga, Àr bevakning utlagd, skapar en utlagd bevakningstjÀnst intrÀdeskort, och vem anstÀller stÀdarna? Det Àr inte en uttömmande lista, men dessa Àr alla lika del av sÀkerhetsförsörjningskedjan.

NĂ„gra tankar att avsluta med:

Direkt kontroll: Det skulle vara dÀr företagets tillgÄngar kontrolleras av företagets policyer, procedurer, standarder och arbetsguider. UnderhÄllspersonal kan vara anstÀllda eller entreprenörer som enligt lag mÄste följa företagets policyer etc.

Indirekt kontroll: Det Ă€r hĂ€r en tredje part tillhandahĂ„ller tjĂ€nster under ett juridiskt avtal. Det avtalet skulle innehĂ„lla klausuler om sĂ€kerhet och bilagor som preciserar sĂ€kerhetskraven i detalj. SĂ€kerhet mĂ„ste preciseras; det Ă€r inte bra att bara sĂ€ga att den tredje parten mĂ„ste vara ISO27001-kompatibel, att tillĂ€mplighetsförklaringen och relevanta klausuler mĂ„ste identifieras, tillsammans med eventuell nödvĂ€ndig expansion. Andra standarder, inklusive eventuella företagsspecifika, mĂ„ste omfattas av kontraktet, tillsammans med mekanismer för att sĂ€kerstĂ€lla att sĂ€kerheten upprĂ€tthĂ„lls regelbundet – oberoende revisors utlĂ„tande, kopia av ett standardförnyelsecertifikat, till exempel.

Ingen kontroll: Sammankopplingarna mellan företaget och dess partners (och dotterbolag och distansarbetare) över offentliga eller tredjepartsnÀtverk sÄsom internet. HÀr skulle vi behöva leta efter grÀnssnittssÀkerheten för försörjningskedjan, till exempel för att lÀgga till ett lager av sÀkerhet, sÄsom kryptering.

Min tidigare Think Tank-artikel, Security Think Tank: För att följa en vÀg behöver du en bra karta, kanske lÀgga till lite mer nÀr det gÀller riskanalys.

HĂ„ll kontakten med oss ​​pĂ„ sociala medieplattformar för omedelbar uppdatering klicka hĂ€r för att gĂ„ med i vĂ„r Twitter och Facebook

BotĂłn volver arriba

Annonsblockerare upptÀckt

Du mÄste ta bort AD BLOCKER för att fortsÀtta anvÀnda vÄr webbplats TACK