3.来自第三方提供商的威胁
供应链是每个组织全球业务运作的重要组成部分,也是当今全球经济的支柱。然而,德宾说,各地的安全主管越来越担心他们对众多危险因素的开放程度。一系列有价值和敏感的信息经常与供应商共享,而当这些信息被共享时,就失去了直接控制。这导致其机密性、完整性或可用性受到损害的风险增加。
即使看似无害的连接也可能成为攻击的载体。的破解目标的攻击者利用了公司的HVAC供应商用于提交发票的web服务应用程序。
“在接下来的一年里,第三方提供商将继续面临来自定向攻击的压力,不太可能提供数据机密性、完整性和/或可用性的保证,”德宾说。“任何规模的组织都需要考虑供应商偶然但有害地获取其知识产权、客户或员工信息、商业计划或谈判的后果。”这种想法不应该局限于制造或分销合作伙伴。它还应该拥抱你的专业服务供应商,你的律师和会计师,他们通常分享你最有价值的数据资产的使用权。”
德宾补充说,信息安全专家应该与那些负责承包服务的人密切合作,对潜在的安排进行彻底的尽职调查。
他表示:“组织必须制定健全的业务连续性计划,以增强弹性和高级管理人员对职能部门能力的信心。”一个结构良好的供应链信息风险评估方法可以提供一个详细的,一步一步的方法,把一个令人生畏的项目分成可管理的组成部分。这种方法应该是信息驱动的,而不是以供应商为中心的,所以它在整个企业中是可扩展和可重复的。”