Промышленное производство
Промышленный Интернет вещей | Промышленные материалы | Техническое обслуживание и ремонт оборудования | Промышленное программирование |
home  MfgRobots >> Промышленное производство >  >> Manufacturing Technology >> Промышленные технологии

Пять шагов Cisco к эффективной сторонней кибербезопасности

Обеспечить кибербезопасность в стенах собственного бизнеса достаточно сложно. Но делать то же самое с армией партнеров, составляющих глобальную цепочку поставок? Это может быть практически невозможно.

Не проходит и недели без новостей об очередной кибератаке на цепочку поставок крупной компании. И чаще всего каналом вторжения выступает третья сторона со слабым контролем.

В современных цепочках поставок третьей стороной может быть любое лицо, которое продает запчасти, продукты, услуги, поддержку, программное обеспечение - этот список можно продолжить. «Для меня это включает всех, кроме нас самих, кто на любом этапе цепочки создания стоимости действительно участвует в наших решениях», - говорит Эдна Конвей, директор по безопасности глобальной цепочки создания стоимости в Cisco Systems, Inc.

Cisco отдает предпочтение термину «цепочка создания стоимости», который любое количество компаний и консультантов безуспешно пытались заменить «цепочка поставок» в качестве общего описания сквозного пути продукта на рынок, поскольку он предполагает более широкий спектр независимые организации, участвовавшие в этих усилиях. Но независимо от того, принимает ли кто-то корпоративную болтовню или нет, нет никаких сомнений в том, что рост числа партнеров поднимает серьезные проблемы кибербезопасности. Без соответствующих систем и процедур любой из них может стать жертвой действий злоумышленников, включая конкурирующие компании, правительства, вымогателей и даже хакеров из подвала.

Конвей предлагает следующий пятиэтапный подход к созданию эффективного плана кибербезопасности для отношений с третьими сторонами.

1. Знайте, «кто, что и где» в вашей цепочке поставок. Хотя это может показаться самоочевидным, многие компании не имеют доступа ко всем сторонам, которые тем или иным образом вносят свой вклад в бизнес. Это особенно актуально в многоуровневых цепочках поставок - и сегодня трудно представить производимый продукт, не основанный на такой структуре.

2. Найдите способы эффективного общения со всеми этими сторонами. Конвей имеет в виду не все взаимодействия, которые касаются геополитических вопросов или непрерывности поставок, а только те, которые конкретно касаются вопросов безопасности. Таким образом, она описывает три основных типа угроз:манипуляции (при изменении информации), шпионаж (как на национальном, так и на государственном уровне) и разрушение (включая попытки закрыть бизнес). По ее словам, может быть трудно убедить разработчика лицензий на программное обеспечение или стороннего поставщика облачных услуг в важности защиты от всех трех угроз. То же самое и с людьми в производственном цехе, чье внимание может быть сосредоточено на поддержании производственной линии. «Требуется обучение, чтобы сделать безопасность частью повседневного мышления любого человека в любой роли», - говорит Конвей.

3. Разработайте «гибкую и эластичную» архитектуру. Подход Cisco к безопасности цепочки поставок включает 11 отдельных доменов, которые отражают сложность ее процессов. Дизайн, разработка, поставка и обслуживание:каждая дисциплина поддерживает отношения с третьими сторонами, что создает возможность бесчисленных слабых мест как внутри, так и за пределами организации. Стратегия учитывает тот факт, что различные области производства требуют руководящих принципов, уникальных для их операций. «Мы написали требования таким образом, чтобы вы могли их сопоставить, поэтому применимы только те, которые основаны на характере того, что вы нам доставляете», - говорит Конвей. «Каждый получает индивидуальную версию».

4. Обеспечьте безопасность всего, что вы делаете со всеми третьими сторонами. Конвей призывает компании задать вопрос:«Почему мы их используем и как они работают в соответствии с нашими показателями обслуживания?» По иронии судьбы, когда о «качестве» провозглашали в баннерах и корпоративных митингах, эта концепция не была «убедительно пропитана» внутри организации. Когда дело доходит до кибербезопасности, качество - это не лозунг или отдельная функция, - говорит Конвей, - оно заложено в каждом процессе в цепочке поставок. Cisco присваивает баллы третьим сторонам в соответствии с их продемонстрированной приверженностью качеству, и безопасность является ключевой частью этой меры. «Мы делаем это математически значимым, поэтому, если вы хороши как поставщик, но плохо относитесь к безопасности, вы не можете оставаться предпочтительным поставщиком», - говорит она.

5. Каждый должен измерять . Конвей прилагает все усилия для измерения производительности в организации. «Мы устанавливаем уровни допуска в соответствии с нашими собственными спецификациями и процессами», - говорит она. «В конце концов, мы делаем безопасность языком бизнеса».

Инициатива Cisco по обеспечению безопасности не была реализована сразу. Конвей, который ранее работал внешним поверенным в компании, специализирующейся на вопросах интеллектуальной собственности, стал ее директором по безопасности в начале 2000-х годов. Вместо того, чтобы сразу же внедрять «монолитную архитектуру» с самого начала, она применяла ее поэтапно, начиная с партнеров Cisco по электронным производственным системам (EMS), затем переходя к производителям печатных плат, инжинирингу и множеству торговых партнеров, составляющих компанию «Цепочка создания стоимости».

Проповедуя евангелие кибербезопасности, Конвей считает важным общаться с руководителями, мировоззрение которых основывается на прибылях и убытках. «Я хотела бы перевести свой уровень толерантности в долларовый риск», - говорит она. «Нам всем нужно говорить на языке бизнеса».


Промышленные технологии

  1. Пять шагов для создания эффективной программы профилактического обслуживания
  2. Модернизация системы кибербезопасности
  3. Пять преимуществ оценки рисков кибербезопасности
  4. Три шага для глобальной безопасности Интернета вещей
  5. Шесть шагов при реализации безопасности промышленного Интернета вещей
  6. Пять шагов, которые грузоотправители могут использовать для отслеживания затрат на ИБП
  7. Пять вопросов о сторонних поставщиках и кибербезопасности
  8. Стратегический поиск поставщиков:пять шагов для обеспечения безопасности лучших поставщиков
  9. Три шага к защите цепей поставок под давлением
  10. Нехватка полупроводников:пять шагов к обеспечению устойчивости цепочки поставок