voorsieningskettingleiding van globale kuberveiligheidsliggame

Internasionale kuberagentskappe reik voorsieningskettingleiding uit na onlangse styging in kuberaanvalle

Verlede maand, as deel van 'n gesamentlike advies, het kuberveiligheidsbeheerliggame van die VSA, die Verenigde Koninkryk, Australië, Kanada en Nieu-Seeland uitgereik amptelike verskaffingsketting kuber sekuriteit leiding om organisasies te help om hul inligting en data veilig te hou.   

Die vars leiding, gefokus op die ondersteuning van medium tot groot ondernemings en diegene binne organisasies wat verantwoordelik is vir risiko-, inligting- en kubersekuriteitbestuur, sal help om organisatoriese benaderings te vestig of te verbeter om voorsieningsketting-kubersekuriteitsrisiko's te assesseer. 

Waarom fokus kuberagentskappe op voorsieningskettingsekuriteit?

Verskaffingsketting kompromie het die nuus in ongekende volumes getref. Die SolarWinds-aanval terug in 2020 het oënskynlik die sluise oopgemaak, en die oortredings sal nie ophou kom nie.  

In die afgelope maand alleen het MediBank in Australië gesien dat meer as 4 miljoen pasiëntrekords gekompromitteer en aanlyn uitgelek is. Supeo, 'n verskaffer aan DSB, die grootste treinnetwerk in Denemarke, het 'n breuk opgedoen wat fisies verhoed het dat treine vir meer as twee uur beweeg. En Chase UK het 'n aanval opgedoen wat hul kliënte vir byna twee dae verhinder het om toegang tot hul banktoepassing te kry.  

Aangesien organisasies staatmaak op groeiende getalle verskaffers om produkte, stelsels en dienste te lewer, verhoog die risiko dat kwesbaarhede via hierdie verskaffers ingestel of uitgebuit word aansienlik. Hierdie toenemende kompleksiteit maak dit moeilik vir besighede om te weet hoe veilig hul voorsieningsketting is en of hulle genoeg beskerming in plek het.  

Uiteindelik kan hierdie kuberaanvalle 'n verwoestende impak op besighede hê, met duur en langtermyn gevolge vir geaffekteerde organisasies, hul kritieke verskaffers en hul kliënte.  

Waarom is voorsieningskettingsekuriteit so moeilik vir besighede om aan te spreek   

Ten spyte van die goed gedokumenteerde risiko's, verloor baie maatskappye steeds hul voorsieningskettings uit die oog. Trouens, volgens die 2022 Sekuriteitsoortredings-opname, "net meer as een uit tien besighede hersien die risiko's wat hul onmiddellike verskaffers inhou (13%), en die verhouding vir die breër voorsieningsketting is die helfte van daardie syfer (7%)." 

Die kuberrisiko's verbonde aan 'n voorsieningskettingaanval was nog nooit hoër nie; aanvallers ontwikkel aanvalsmetodes en gereedskap teen 'n toenemend kommerwekkende tempo. Tog, ten spyte van groeiende publieke bewustheid van die bedreigings en verhoogde regulatoriese toesig, hou besighede nie tred nie.  

Volgens die Nasionale Kuberveiligheidsentrum (NCSC), terwyl baie organisasies verstaan ​​dat hul voorsieningsketting kommerwekkend moet wees, bly daar 'n:  

  • gebrek aan belegging om teen hierdie kuberrisiko te beskerm 
  • beperkte sigbaarheid in voorsieningskettings 
  • onvoldoende gereedskap en kundigheid om verskaffers se kuberveiligheid te evalueer 
  • gebrek aan duidelikheid oor wat jy jou verskaffers moet vra om te doen

Hierdie kwessies laat voorsieningskettings blootgestel en loop die risiko van uitbuiting deur kubermisdadigers.   

Praktiese stappe vir organisasies om hul voorsieningsketting te beveilig 

Die leiding wat deur die kuberregeringsliggame vrygestel is, verdeel die beste benadering in vyf sleutelstappe: 

  1. Verstaan ​​waarom jou organisasie moet omgee vir voorsieningskettingsekuriteit 

 Organisasies moet verstaan ​​wat beskerming benodig binne hul ekosisteem en waarom dit verseker moet word om betekenisvolle beheer oor die voorsieningsketting te vestig.  

Uiteindelik moet effektiewe kubersekuriteit gepas wees vir jou stelsels, jou prosesse, jou personeel, jou kultuur en die vlak van risiko wat jy bereid is om te neem.   

  1. Ontwikkel 'n benadering om voorsieningskettingsekuriteit te evalueer 

 Bepaal die kritieke aspekte in jou organisasie wat jy die meeste moet beskerm (jou 'kroonjuwele'), met inagneming van potensiële bedreigings, kwesbaarhede, impak en jou organisasie se risiko-aptyt.  

Deur jou organisasie se geïdentifiseerde sleutelaspekte te gebruik, skep 'n aantal gelaagde verskaffersekuriteitsprofiele. Elke profiel moet 'n toenemende skaal van impak verteenwoordig, en ken dit dan aan elkeen van jou verskaffers toe.  

  1. Pas die benadering toe op nuwe verskaffergesprekke 

Bevestig nuwe sekuriteitspraktyke regdeur die kontraklewensiklus van nuwe verskaffers, van verkryging en verskafferkeuse tot kontraksluiting.   

Hierdie proses moet ook begin om beter sekuriteitsbewustheid onder u personeel aan te dryf en 'n kultuur van deurlopende sekuriteits- en inligtingbestuur-nakomingmonitering te skep.  

  1. Integreer die benadering in bestaande verskaffersooreenkomste

Met 'n nuwe benadering waaroor ooreengekom is, hersien jou bestaande kontrakte óf by hernuwing óf gouer waar kritieke verskaffers betrokke is. 

  1. Verbeter voortdurend

As u u benadering gereeld verfyn namate nuwe kwessies opduik, sal u die waarskynlikheid verminder dat risiko's u organisasie via die voorsieningsketting beïnvloed.  

Hoe ISO 27001 volhoubare voorsieningskettingsekuriteit kan bewerkstellig  

ISO 27001 is 'n internasionaal erkende standaard vir inligtingbestuur, maar dit gaan regtig oor risiko bestuur. En dit is waarna die riglyne wat deur die NCSC, CISA, FBI, ACSC, CCCS en NZ NCSC vrygestel is, steeds terugkom, en daarom sal werk binne die ISO 27001-raamwerk gedrag en sekuriteitsvoordele bevorder vir enige onderneming wat sy kuberveerkragtigheid wil verbeter en homself van sy mededingers onderskei.  

ISO 27001 raai besighede aan om 'n eenvoudige proses in plek vir aanboord en bestuur van verskaffers. Fokus veral op die volgende:  

  • hou infosec-beleide, prosedures en kontroles op datum 
  • Die handhawing van geaffekteerde kritiek besigheidsinligting, stelsels en prosesse 
  • Maak seker dat enige risiko's wat geïdentifiseer is, heroorweeg word en seker maak dat verskaffers aan deurlopende sekuriteitsvereistes voldoen  

Dit lyk dalk na noodsaaklike, gesonde verstand-advies, maar dit kan organisasies tyd, geld, reputasieskade en frustrasie bespaar as dit korrek geïmplementeer word. Daarbenewens kan die bereiking van voldoening aan die ISO 27001-raamwerk 'n beduidende besigheidsvoordeel bied deur jou gesertifiseerde sekuriteitsbewyse aan huidige en toekomstige kliënte te demonstreer. 

Versterk jou voorsieningskettingsekuriteit vandag  

As jy jou reis na beter voorsieningskettingsekuriteit wil begin, kan ons help.   

Ons ISMS-oplossing maak 'n eenvoudige, veilige en volhoubare benadering tot inligtingbestuur moontlik met ISO 27001, NIST en ander raamwerke. Dit bied voorsieningskettingsekuriteitsmodules wat vinnig aangeneem, aangepas en mettertyd bygevoeg kan word om suksesvolle kuberveiligheid en beter aanvaarding van veilige gedrag binne jou organisasie te bewerkstellig. Ontsluit vandag jou mededingende voordeel.  

Boek 'n demo

skrywer

Rebecca Harper

Rebecca is die ISMS.online-hoof van inhoudbemarking. Met meer as 12 jaar in die inligting- en kuberveiligheidsbedryf, is Rebecca toegewyd aan die opvoeding, bewusmaking en bemagtiging van besighede om voldoenings-, inligting- en kuberveiligheidsbestuursdoelwitte te bereik.

Sien alle plasings deur Rebecca Harper

Verwante poste

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind