过去两年间,企业和消费者都深受供应链困境影响,获取某些商品和保持业务连续性难度增大,安全威胁更加剧了对供应链的担忧。ISACA全新调查报告阐述了IT专业人士对安全挑战的主要担忧及其组织的应对方案。
《供应链安全差距:2022年全球研究报告》收录了逾1300名IT专业人士对供应链的看法。25%的受访者证实所在组织在过去一年中供应链遭到攻击。受访者主要关注以下五种主要的供应链风险:
1. 勒索软件(73%)
2. 供应商的不良信息安全实践(66%)
3. 软件安全漏洞(65%)
4. 第三方数据存储(61%)
5. 对信息系统、软件代码或IP具有物理或虚拟访问权限的第三方服务提供商或厂商(55%)
除此之外,30%的受访者表示自己组织的领导对供应链风险缺乏足够的了解。只有44%的受访者表示对自己组织的供应链安全很有信心,44%对整个供应链的访问控制很有信心。受访者对未来前景也不乐观——53%的受访者预计供应链问题未来半年内解决不了,甚至可能恶化。
ISACA前董事会主席、NACD董事会领导层成员及White Cloud安全公司的董事会执行主席Rob Clyde表示,“供应链一直都很脆弱,但新冠疫情进一步揭示了供应链有多容易受安全威胁等多种因素威胁。企业应该花时间了解这种不断变化的风险状况,检查组织内可能存在的需要优先考虑和解决的安全漏洞,这一点至关重要。”
谈及应对措施时,84%的受访者表示组织的供应链管理有待提升。近五分之一的受访者表示在评估供应商时没有考虑网络安全和隐私。此外,39%的受访者没有与供应商制定网络安全事件响应计划,60%的受访者没有与供应商协调实施供应链安全事件响应计划。近一半的受访者(49%)表示自己的组织没有对供应链进行漏洞扫描和渗透测试。
IP Architects公司总裁、ISACA新兴趋势工作组成员John Pironti表示,“供应链安全风险管理需要多管齐下,包括定期进行网络安全和隐私评估,以及制定和协调事件响应计划,两者都需要与供应商密切合作。要保证审查、信息共享和补救措施顺利有效进行,关键是与组织的供应商紧密联系并建立持续的沟通渠道。”
Pironti总结企业加强IT供应链安全应采取的关键步骤:
1. 人保护不了自己不知道的东西,所以要制定并时刻更新组织供应商及其提供的能力的清单。
2. 要求公开开放源码软件组件。
3. 对业务的关键第三方进行威胁和脆弱性分析。
4. 为供应链合同创建一个技术和组织措施合同附录。
5. 要信任,也要确认。对关键第三方进行基于证据的审查。
ISACA首席执行官David Samuelson表示,“推进数字信任需要对所有系统和供应商的安全性、完整性和可用性有一定信心。前车之鉴告诉我们,针对你供应链中某个元素的攻击和针对你自己系统的攻击在客户眼中并无二致。现在是时候采取迅速、有意义的行动来改善供应链安全和治理了。”
报告原文
www.isaca.org/supply-chain-security
相关阅读
点“在看”更有爱
原文始发于微信公众号(安全牛):ISACA发布《供应链安全差距:2022年全球研究报告》
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论