3. Taraf Risk Yönetimi , Yönetişim ve Risk Yönetimi
Eski GSA Yöneticisi, Yazılım Tedarik Zinciri Sorunlarını Çözme Çabalarına Öncülük Ediyor
Prajeet Nair (@prajeetspeaks) •
31 Ocak 2023
ABD Federal makamları, tedarik zinciri güvenliği sorunlarını ele almak ve sektör ile ortakların güncellenmiş federal kılavuz ve politikaları uygulamaya koymasına yardımcı olmak için bir ofis kuruyor.
Ayrıca bakınız: API Güvenliğini Yönetme
Eski bir Genel Hizmetler İdaresi yetkilisi olan Shon Lyublanovits, girişime öncülük ettiğini söylüyor. Şu anda, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın siber güvenlik bölümünde tedarik zinciri risk yönetimi veya C-SCRM için proje yönetim ofisini yönetiyor.
“Sadece C-SCRM hakkında geniş kapsamlı düşünme ve gerçekten ilk önce hangi parçaları ele almaya başlamak istediğimi bulma fikrinden uzaklaştığımız bir noktaya gelmeliyiz, bu yol haritasını oluşturarak bunu gerçekten ilerletebiliriz. ,” diyor bu hafta Washington DC merkezli bir medya firması tarafından düzenlenen özel bir etkinlikte konuşan ve Federal Haber Ağı tarafından alıntılanan Lyublanovits.
İç Güvenlik Departmanı’nın bir parçası olan CISA, tedarik zinciri güvenliği konusunu ilk olarak Aralık 2018’de bilgi ve iletişim teknolojisi SCRM görev gücünü kurduğunda gündeme getirdi. küresel BİT tedarik zinciri güvenliğini geliştirin.”
CISA’ya göre görev gücü, federal hükümet ve BT iletişim sektörlerindeki endüstri temsilcilerinden oluşuyor ve kurumun “tedarik zinciri risk yönetimi ortaklık faaliyeti için ağırlık merkezi”.
Yeni tedarik zinciri ofisi hakkında ek ayrıntılar sağlamak için bir CISA sözcüsü hemen mevcut değildi.
Ocak ayında CISA, siber riskler de dahil olmak üzere BİT KOBİ’lerinin yaygın olarak karşılaştığı tedarik zinciri risk kategorilerine genel bir bakış sağlayan “Küçük ve Orta Ölçekli İşletme Tedarik Zincirlerini Koruma” adlı bir el kitabı yayınladı.
Görev gücü ayrıca yazılım güvencesini ve yazılım bileşenlerini bir Yazılım Malzeme Listesinde izlemenin faydalarını teşvik eder ve BİT tedarik zinciri dayanıklılığını artırmak için ortaklıklar kurmanın yollarını araştırır.
NIST’in Gözden Geçirilmiş Çerçevesi
Geçen yıl, Ulusal Standartlar ve Teknoloji Enstitüsü, kuruluşlara yardımcı olmak için tedarik zinciri siber güvenlik risk yönetimine yönelik gözden geçirilmiş (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161r1.pdf) bir dizi kılavuz yayınladı. teknolojik ürün ve hizmetleri edinirken ve kullanırken kendilerini korurlar.
Tedarik zinciri boyunca her düzeyde siber güvenlik risklerinin belirlenmesi, değerlendirilmesi ve bunlara yanıt verilmesi konusunda rehberlik sağlar. “Kılavuz, kuruluşların siber güvenlik tedarik zinciri risk değerlendirmelerini ve gereksinimlerini satın alma süreçlerine dahil etmelerine yardımcı oluyor ve riskleri izlemenin önemini vurguluyor.”
NIST’den Jon Boyens ve gözden geçirilmiş yönergelerin yazarı, Information Security Media Group’a tedarik zinciri siber güvenliğini yönetme ihtiyacının kalıcı olduğunu söyledi.
“Ajansınız veya kuruluşunuz henüz başlamadıysa, bu sizi emeklemeden yürümeye ve koşmaya götürebilen kapsamlı bir araçtır ve bunu hemen yapmanıza yardımcı olabilir” diyor.