你可以盡可能地將公司的大門緊閉，以防止數(shù)字入侵者的攻擊，但仍然可能面臨來自嵌入供應商系統(tǒng)中的網(wǎng)絡犯罪分子的風險，甚至這些犯罪分子可能藏身于供應商的供應商系統(tǒng)中。

如果你的企業(yè)還沒有經(jīng)歷過供應鏈漏洞，那你是少數(shù)幸運兒之一。根據(jù)Gartner的一份報告，多達89%的公司在過去五年中受到了供應商數(shù)據(jù)泄露的影響，而其中太多公司缺乏足夠的程序來預見或適當應對這種情況。

作為一家全球科技公司的CISO，我認為供應鏈安全是三大風險之一，而且這是我與公司會面時最常聽到的擔憂之一。在當今互聯(lián)的全球合作伙伴、供應商、客戶和子公司網(wǎng)絡中，欺詐者找到一個未加防護的后門或安全漏洞，并通過這些漏洞進入系統(tǒng)，獲取敏感信息或對整個供應商生態(tài)系統(tǒng)造成破壞的可能性非?，F(xiàn)實。

以一次供應鏈攻擊為例，惡意行為者成功地將惡意代碼注入到知名軟件公司SolarWinds銷售的一款軟件產(chǎn)品中，然后通過軟件更新傳播給客戶。估計有18000家公司，包括政府機構，安裝了這一惡意軟件，侵入者因此得以進入這些系統(tǒng)。雖然大多數(shù)供應鏈漏洞不至于如此嚴重，但潛在的損害足夠大，必須認真對待。

根據(jù)我的經(jīng)驗，雖然公司逐漸意識到內(nèi)部數(shù)字泄露的危險并采取措施保護自己的數(shù)據(jù)邊界，但仍有太多公司尚未完全理解將同樣的重視程度延伸到其供應鏈的重要性。

承諾、評估并記錄

保護供應鏈可能會帶來一些獨特的挑戰(zhàn)，但也正在出現(xiàn)一些最佳實踐，以幫助公司在自身內(nèi)部以及整個企業(yè)范圍內(nèi)實現(xiàn)保護。以下是我對客戶的建議。

承諾采取行動

保護供應鏈需要領導層的關注和公司資源的投入。CISO處于理想位置，可以教育領導團隊了解不安全的供應鏈所帶來的風險，這也是一個需要整個業(yè)務部門緊密合作才能正確實施保護措施的領域，必須了解企業(yè)各個部分的供應商概況。供應鏈安全正迅速成為任何成功公司的基礎要求，所以現(xiàn)在就應該開始行動。

建立治理框架

除了建立治理框架，還要指定一名領導者全面負責政策的制定和執(zhí)行。例如，由于我們是一家全球公司，我們的基準框架基于國際公認的標準，如ISO信息安全標準和歐洲的GDPR數(shù)據(jù)保護法規(guī)，根據(jù)這些框架應用于你的企業(yè)。

識別、優(yōu)先排序并審計所有供應商和合作伙伴

除了供應商和合作伙伴，還要確保對所有有權訪問你的系統(tǒng)或數(shù)據(jù)的其他實體采取這些步驟。記錄他們對你安全協(xié)議的遵守情況，并建立一個流程，按照既定的時間表對每個相關方進行持續(xù)審查。只有當你對整個供應鏈安全有完全透明的了解時，才能識別和減輕風險區(qū)域。

在我們公司，我們每季度對那些對公司數(shù)據(jù)系統(tǒng)有直接訪問權限的供應商和合作伙伴進行相互支持的審查，以確保他們滿足我們的安全要求。對于那些對核心系統(tǒng)訪問較少的其他方，我們至少每年審查一次。

兌現(xiàn)客戶對你的信任

客戶希望相信我們能夠保護他們最敏感的信息。考慮為客戶建立一個信任中心，并通過獨立的第三方驗證來確認你的安全狀況。建立客戶信任的重要部分是為每個客戶量身定制的數(shù)據(jù)保護計劃，詳細說明數(shù)據(jù)將如何被使用和保護，這也成為每次客戶合作的一部分。

提前做好準備

制定一個響應計劃，詳細說明如何應對任何數(shù)據(jù)泄露，無論是主要的還是第三方的。與危機響應團隊合作，確保你的補救計劃包含在公司的業(yè)務連續(xù)性計劃中。數(shù)據(jù)泄露可能隨時發(fā)生，隨時準備好的公司在應對方面遠勝于那些措手不及的公司。

通過采取這些步驟，你的公司將向成熟的安全級別邁出重要的一步，從而保護公司、客戶、供應商和合作伙伴。

最后一步

當然，作為一名安全專業(yè)人士，我不能忽視最重要的一步。

不斷進化和更新

信息安全在不斷發(fā)展，新技術的引入和惡意行為者日益復雜的攻擊手段也會帶來新的威脅。緊跟當前威脅環(huán)境并為未來做好準備對于公司的成功至關重要。

然而，憑借堅實的安全基礎、持續(xù)的警惕性以及在必要時借助安全技術合作伙伴的幫助，你公司供應鏈帶來的風險將得到良好的管理，甚至可能成為市場的一個差異化優(yōu)勢。