ISACA發(fā)布《供應(yīng)鏈安全差距:2022年全球研究報告》

ISACA
ISACA
過去兩年間,企業(yè)和消費者都深受供應(yīng)鏈困境影響,獲取某些商品和保持業(yè)務(wù)連續(xù)性難度增大,安全威脅更加劇了對供應(yīng)鏈的擔(dān)憂。ISACA全新調(diào)查報告闡述了IT專業(yè)人士對安全挑戰(zhàn)的主要擔(dān)憂及其組織的應(yīng)對方案。

本文來自ISACA,作者ISACA。

過去兩年間,企業(yè)和消費者都深受供應(yīng)鏈困境影響,獲取某些商品和保持業(yè)務(wù)連續(xù)性難度增大,安全威脅更加劇了對供應(yīng)鏈的擔(dān)憂。ISACA全新調(diào)查報告闡述了IT專業(yè)人士對安全挑戰(zhàn)的主要擔(dān)憂及其組織的應(yīng)對方案。

QQ截圖20211119092508.png

《供應(yīng)鏈安全差距:2022年全球研究報告》收錄了逾1300名IT專業(yè)人士對供應(yīng)鏈的看法。25%的受訪者證實所在組織在過去一年中供應(yīng)鏈遭到攻擊。受訪者主要關(guān)注以下五種主要的供應(yīng)鏈風(fēng)險:

1.勒索軟件(73%)

2.供應(yīng)商的不良信息安全實踐(66%)

3.軟件安全漏洞(65%)

4.第三方數(shù)據(jù)存儲(61%)

5.對信息系統(tǒng)、軟件代碼或IP具有物理或虛擬訪問權(quán)限的第三方服務(wù)提供商或廠商(55%)

除此之外,30%的受訪者表示自己組織的領(lǐng)導(dǎo)對供應(yīng)鏈風(fēng)險缺乏足夠的了解。只有44%的受訪者表示對自己組織的供應(yīng)鏈安全很有信心,44%對整個供應(yīng)鏈的訪問控制很有信心。受訪者對未來前景也不樂觀——53%的受訪者預(yù)計供應(yīng)鏈問題未來半年內(nèi)解決不了,甚至可能惡化。

ISACA前董事會主席、NACD董事會領(lǐng)導(dǎo)層成員及White Cloud安全公司的董事會執(zhí)行主席Rob Clyde表示,“供應(yīng)鏈一直都很脆弱,但新冠疫情進(jìn)一步揭示了供應(yīng)鏈有多容易受安全威脅等多種因素威脅。企業(yè)應(yīng)該花時間了解這種不斷變化的風(fēng)險狀況,檢查組織內(nèi)可能存在的需要優(yōu)先考慮和解決的安全漏洞,這一點至關(guān)重要。”

QQ截圖20211119092508.png

談及應(yīng)對措施時,84%的受訪者表示組織的供應(yīng)鏈管理有待提升。近五分之一的受訪者表示在評估供應(yīng)商時沒有考慮網(wǎng)絡(luò)安全和隱私。此外,39%的受訪者沒有與供應(yīng)商制定網(wǎng)絡(luò)安全事件響應(yīng)計劃,60%的受訪者沒有與供應(yīng)商協(xié)調(diào)實施供應(yīng)鏈安全事件響應(yīng)計劃。近一半的受訪者(49%)表示自己的組織沒有對供應(yīng)鏈進(jìn)行漏洞掃描和滲透測試。

IP Architects公司總裁、ISACA新興趨勢工作組成員John Pironti表示,“供應(yīng)鏈安全風(fēng)險管理需要多管齊下,包括定期進(jìn)行網(wǎng)絡(luò)安全和隱私評估,以及制定和協(xié)調(diào)事件響應(yīng)計劃,兩者都需要與供應(yīng)商密切合作。要保證審查、信息共享和補(bǔ)救措施順利有效進(jìn)行,關(guān)鍵是與組織的供應(yīng)商緊密聯(lián)系并建立持續(xù)的溝通渠道。”

Pironti總結(jié)企業(yè)加強(qiáng)IT供應(yīng)鏈安全應(yīng)采取的關(guān)鍵步驟:

1.人保護(hù)不了自己不知道的東西,所以要制定并時刻更新組織供應(yīng)商及其提供的能力的清單。

2.要求公開開放源碼軟件組件。

3.對業(yè)務(wù)的關(guān)鍵第三方進(jìn)行威脅和脆弱性分析。

4.為供應(yīng)鏈合同創(chuàng)建一個技術(shù)和組織措施合同附錄。

5.要信任,也要確認(rèn)。對關(guān)鍵第三方進(jìn)行基于證據(jù)的審查。

ISACA首席執(zhí)行官David Samuelson表示,“推進(jìn)數(shù)字信任需要對所有系統(tǒng)和供應(yīng)商的安全性、完整性和可用性有一定信心。前車之鑒告訴我們,針對你供應(yīng)鏈中某個元素的攻擊和針對你自己系統(tǒng)的攻擊在客戶眼中并無二致?,F(xiàn)在是時候采取迅速、有意義的行動來改善供應(yīng)鏈安全和治理了。”

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論