Cisco's vijf stappen naar effectieve cyberbeveiliging door derden

Het is al moeilijk genoeg om cyberbeveiliging binnen de muren van uw eigen bedrijf te ondersteunen. Maar hetzelfde doen voor het leger van partners waaruit een wereldwijde toeleveringsketen bestaat? Dat kan bijna onmogelijk zijn.

Er gaat bijna geen week voorbij zonder nieuws over een nieuwe cyberaanval op de toeleveringsketen van een groot bedrijf. En vaker wel dan niet, is het kanaal voor de inval een derde partij met zwakke controles.

In moderne toeleveringsketens kan een derde partij elke entiteit zijn die onderdelen, producten, diensten, ondersteuning, software verkoopt - de lijst gaat maar door. "Voor mij omvat het iedereen behalve wijzelf die op enig punt in de stadia van de waardeketen daadwerkelijk betrokken is bij onze oplossingen", zegt Edna Conway, chief security officer van de wereldwijde waardeketen bij Cisco Systems, Inc.

Cisco geeft de voorkeur aan de term "waardeketen" - die een aantal bedrijven en consultants zonder succes hebben geprobeerd om "supply chain" te vervangen als de algemene beschrijving voor de end-to-end-reis van product naar markt - omdat het suggereert een groter universum van onafhankelijke entiteiten die zich daarbij bezighouden. Maar of men nu wel of niet zakelijke buzzspeak omarmt, het lijdt geen twijfel dat de wildgroei aan partners serieuze problemen op het gebied van cyberbeveiliging oproept. Zonder adequate systemen en procedures zou elk van hen ten prooi kunnen vallen aan de inspanningen van slechte actoren, waaronder rivaliserende bedrijven, overheden, afpersers en zelfs kelderhackers.

Conway biedt de volgende benadering in vijf stappen voor het opzetten van een effectief cyberbeveiligingsplan voor relaties met derden.

1. Ken het 'wie, wat en waar' van uw toeleveringsketen. Hoe vanzelfsprekend het ook mag lijken, veel bedrijven hebben geen grip op alle partijen die op de een of andere manier bijdragen aan het bedrijf. Dat is vooral het geval in toeleveringsketens met meerdere lagen - en het is tegenwoordig moeilijk om een ​​gefabriceerd product te bedenken dat niet afhankelijk is van een dergelijke structuur.

2. Werk aan manieren om effectief met al deze partijen te communiceren. Conway verwijst niet naar alle interacties die betrekking hebben op geopolitieke kwesties of continuïteit van de levering, maar alleen op die welke specifiek betrekking hebben op veiligheidskwesties. Als zodanig beschrijft ze drie hoofdtypen dreigingen:manipulatie (wanneer informatie wordt gewijzigd), spionage (zowel natiestaat als industrieel) en verstoring (pogingen om het bedrijf stil te leggen). Ze zegt dat het moeilijk kan zijn om een ​​ontwikkelaar van softwarelicenties of een externe cloudserviceprovider te overtuigen van het belang van bescherming tegen alle drie de bedreigingen. Hetzelfde geldt voor individuen op de fabrieksvloer, wiens aandacht misschien gericht is op het draaiende houden van de lijn. "Er is training voor nodig om beveiliging een onderdeel te maken van het dagelijkse denken van iedereen in welke rol dan ook", zegt Conway.

3. Ontwikkel "flexibele en elastische" architectuur. Cisco's benadering van supply chain-beveiliging omvat 11 afzonderlijke domeinen die de complexiteit van zijn processen weerspiegelen. Ontwerp, ontwikkeling, levering en service:elke discipline heeft relaties met derden, waardoor de mogelijkheid van talloze zwakke punten zowel binnen als buiten de organisatie ontstaat. De strategie houdt rekening met het feit dat verschillende productiegebieden richtlijnen vereisen die uniek zijn voor hun activiteiten. “We hebben eisen zo opgesteld dat je ze in kaart kunt brengen, zodat alleen die eisen gelden die zijn gebaseerd op de aard van wat je aan ons levert”, zegt Conway. "Iedereen krijgt een aangepaste versie."

4. Integreer beveiliging in alles wat u doet met alle derde partijen. Conway dringt er bij bedrijven op aan om de vraag te stellen:"Waarom gebruiken we ze en hoe presteren ze volgens onze servicestatistieken?" Ironisch genoeg, toen 'Kwaliteit' werd verkondigd in spandoeken en zakelijke pep-rally's, was het concept niet 'overtuigend doordrenkt' binnen de organisatie. Als het nu om cyberbeveiliging gaat, is kwaliteit geen slogan of een discrete functie, zegt Conway - het wordt in elk proces binnen de toeleveringsketen ingeprent. Cisco wijst punten toe aan derden in overeenstemming met hun aangetoonde naleving van kwaliteit, en beveiliging is een belangrijk onderdeel van die maatregel. "We maken het wiskundig zinvol, dus als je fantastisch bent als leverancier maar vreselijk in beveiliging, blijf je misschien geen voorkeursleverancier", zegt ze.

5. Iedereen moet meten . Conway heeft er alles aan gedaan om de prestaties in de hele organisatie te meten. "We stellen tolerantieniveaus vast ten opzichte van onze eigen specificaties en processen", zegt ze. "Uiteindelijk zorgen we ervoor dat beveiliging de taal van het bedrijfsleven spreekt."

Het beveiligingsinitiatief van Cisco is niet in één keer geïmplementeerd. Conway, die eerder werkzaam was als externe advocaat voor het bedrijf dat gespecialiseerd is in intellectuele eigendomskwesties, werd begin jaren 2000 de CSO. In plaats van meteen vanaf het begin een "monolithische architectuur" op te leggen, deed ze het in fasen, te beginnen met Cisco's elektronische productiesystemen (EMS)-partners, en vervolgens over te stappen naar printproducenten, engineering en de vele kanaalpartners die deel uitmaken van het bedrijf. "waardeketen."

Bij het prediken van het evangelie van cyberbeveiliging acht Conway het essentieel om te communiceren met de executive suite, wiens wereldbeeld geworteld is in winst en verlies. "Ik zou mijn tolerantieniveaus willen vertalen in dollarrisico", zegt ze. "We moeten allemaal de taal van het bedrijfsleven spreken."