大多数情况下,管理人员在进行网络安全投资时都从功能角度(或充其量从组织角度)考虑,而忽略了供应链合作伙伴的能力和动机。这是一个严重的问题。研究表明,超过 60% 的数据泄露与第三方供应商有关。
假设一家大型零售商投入巨资保护客户数据,担心数据泄露会严重损害其声誉和信任。如果同一家零售商与不太担心数据泄露的供应商共享数据,该公司就会允许后门访问其数据和系统。公司需要开始考虑组织外部的网络安全投资。
第一步是与供应链合作伙伴合作识别网络威胁。正如我们在本系列第 2 部分 智利电子邮件列表 中指出的那样,针对性攻击者和机会性攻击者之间的差异以及每种攻击者的暴露程度对供应链网络安全投资具有重要影响。面临针对性攻击的公司通常只专注于保护内部系统,这可能会将攻击者的注意力转移到供应链中更脆弱的成员上。面临机会性攻击的公司往往会系统性地在网络安全方面投资不足。管理人员争论保护的直接成本,但忽视了更安全的供应链带来的重大间接利益。在这种情况下,公司需要与供应链合作伙伴合作,以帮助调整他们的决策并更好地协调利益相关者之间的资源。
将供应链网络安全最佳实践付诸实践
为所有利益相关者定义和创造价值是改善供应链网络安全的最大挑战。企业需要建立端到端流程的可视性,以确定各种战略性和机会性网络威胁对供应链价值造成的风险有多大。然后,他们需要与供应链合作伙伴合作,帮助优化资源分配并减轻任何意外后果。举措应侧重于细分关键系统、降低网络复杂性、标准化平台和协议、确保过渡点安全,然后推动速度和规模。尽管这很困难,但如果企业希望抓住数字化转型的优势,同时限制网络风险的劣势,那么开发用于管理网络安全的综合机制是绝对必要的。