Tedarik zinciri siber güvenliğinin önemine göz atıyor ve bunu geliştirmek için bazı ipuçları paylaşıyoruz.
Tanım olarak tedarik zinciri, bir ürünün yaratılmasında ve satışında yer alan tüm bireylerin, kuruluşların, kaynakların, faaliyetlerin ve teknolojinin ağıdır. Yalnızca birkaç nadir durumda, bir kuruluş tüm süreçteki her adım üzerinde tam kontrole sahip olabilir. Böyle bir tedarik zincirindeki bağlantılar sıklıkla birlikte çalışır, bazen o kadar ki birbirlerinin sistemlerinin bazı kısımlarına erişime sahip olurlar.
Kesintileri önlemek için tedarik zincirinizin her yönünü korumak önemli olsa da, bu makale kapsamında bunun siber güvenlik unsuruna odaklanacağız.
Güvenlik açısından bakıldığında ortaklarınızı akıllıca seçmeniz zorunludur. Bir kuruluşun güvenlik duruşu, güvenlik tehditlerini ve risklerini tanımlamaya, bunlara yanıt vermeye ve bunlardan kurtulmaya hazırlığı ve yeteneğidir. Eğer ödeyen sizseniz, sıklıkla partnerinizin güvenlik durumuyla ilgili taleplerde bulunabilirsiniz, ancak bunun tersi genellikle çok daha zordur.
Bu taleplerin sonucunda ortaya çıkan uygunluk denetimlerini muhtemelen hepimiz biliyoruz. Ve üzerinde kontrolümüz olmayan başka bir organizasyonda yapılan hataların kurbanı olmak istemememiz mantıklıdır. Kendi organizasyonumuz içinde kontrol etmemiz gereken süreçler hakkında endişelenmek genellikle fazlasıyla yeterlidir.
FedRAMP ve SOC2 (Sistem ve Organizasyon Kontrolleri) gibi güvenlik protokollerine ve yasal düzenlemelere uyum yalnızca kendi kuruluşunuz için zorunlu olmayabilir. Çoğu zaman bunun kuruluşunuzun dışında da yazılım tedarik zincirinizdeki tüm satıcılarla birlikte uygulanması gerekir. Bu durumlarda satıcı uyumluluğunun gösterilmesi, iç kuruluşunuzun para cezaları ve cezalarla karşı karşıya kalmasını önleyecektir.
Ancak son ürünü yaratmak için birlikte çalıştığınız kişiler yalnızca ortaklarınız değildir. Yazılım, altyapı ve hizmetler gibi işi tamamlamak için kullandığımız satıcılar da var. Belirli bir yazılım paketini ne kadar çok kuruluş kullanırsa, yazılım o kadar çekici bir saldırı vektörü haline gelir. Birkaç hatırlatma olarak, fidye yazılımı operatörü Cl0p tarafından istismar edilen MOVEit güvenlik açığı Log4Shell’i veya SolarWinds saldırısını hatırlayın.
Benzer saldırılar defalarca yüzeye çıkmaya devam edecek ve eğer öğrenilecek bir ders varsa o da tedarikçinin sağladığı güvenliğe güvenmek değil, üçüncü bir kişi tarafından sağlanan bir şeyi kullanıp kullanmayacağımıza ve nasıl kullanacağımıza karar verirken her zaman güvenliği akılda tutmaktır. Parti.
Satıcılarınızın güvenlik uygulamalarını tam olarak anlamak, siber güvenliğin ve tedarik zinciri risk yönetiminin önemli bir bileşenidir. Dolayısıyla bir tedarik zincirinde güvenlik duruşunuz kesinlikle bir satış noktasıdır ve bu şekilde kullanılabilir. Güvenliğini sağlayan bir ortağın bunu vurgulamaya her türlü hakkı vardır.
Bazı ipuçları
Kuruluşunuza ve tedarik zincirindeki yerinize göre değişen ihtiyaçlar ne olursa olsun, en zayıf halka olmaktan kaçınmak için dikkate almaya değer bazı ipuçlarını burada bulabilirsiniz:
- Verilerin envanterini çıkarın İhtiyaçlarınızı tam olarak anlayabilmeniz için kimin neye erişebildiğini de güvende tutmanız gerekir.
- Daha sonra yazılım ve donanım ürünlerinizin envanterini çıkarın ve onların zayıflıkları. Bu envantere dayanarak, hassas verileri internet erişimine ihtiyaç duyan parçalardan ayrı tutmak için ağ segmentasyonunu kullanıp kullanmayacağınıza karar verebilirsiniz.
- Bulutu dikkatli kullanın. Her türden kuruluş giderek bulut bilişime bağımlı hale geliyor. Bunun iyi sebepleri var, ancak son zamanlarda bulut bilişim ortamlarının kötü niyetli olarak hedeflenmesi göz önüne alındığında güvenliği karmaşık hale getiriyor. Bu nedenle bulutu yalnızca değişken büyüklükteki öğeler için kullanmak ve sabit kısımları kendi kontrolünüz altında tutmak iyi bir fikir olabilir.
- Dahili ekibinizi kuruluşunuzun üçüncü taraf iş ortakları ve tedarikçileriyle bağlayın. Kuruluşunuza yönelik büyük riskleri ve potansiyel hasarın yanı sıra hafifletme planlarını belirlemek için birlikte çalışın. Açık bir rol dağılımına sahip, eyleme geçirilebilir bir olay müdahale planının olduğundan emin olun.
- Güven iyidir, düzenli kontroller veya sürekli izleme daha iyidir. Erişimi gerçekten ihtiyacı olanlarla kesinlikle sınırlayın ve en az ayrıcalık kurallarını uygulayın. İzleme aynı zamanda bir saldırı durumunda kökenin izini sürmenize yardımcı olacaktır.
- Değerli varlıkları gelişmiş şifrelemeyle koruyunHem depolamada hem de transfer sırasında.
- Sızma testini ve/veya bir hata ödül programını düşünün Güvenlik önlemlerinizi kontrol etmek için. Hata ödülü, kuruluşların sistemlerinin güvenliğini sürekli olarak test etmesine olanak tanırken, sızma testi, bir varlığın belirli bir andaki güvenlik düzeyinin değerlendirilmesidir.
- En iyi uygulamalara bakın. 2021’de NIST (Ulusal Standartlar ve Teknoloji Enstitüsü), siber tedarik zinciri risk yönetimi veya C-SCRM çerçevesini kullanarak sizi ve işletmenizi güvende tutmaya yardımcı olabilecek en iyi uygulamalara ilişkin bir rapor paylaştı.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE