美國國土安全部編撰供應鏈安全 科技和安全巨頭群集
今年7月,美國國土安全部(DHS)宣佈成立信息通訊技術供應鏈特別工作組,目的:為在面對供應鏈安全風險時需要操作性響應的組織編制“操作手冊”,保護端到端供應鏈。
上週,該工作組執行委員會首次碰面,商討如何為政府機構和產業界編撰這些DHS戰術手冊。
該公/私特別工作組從產業界和政府廣泛吸收成員。其產業界成員包括埃森哲、AT&T、CenturyLink、Charter、思科、康卡斯特電信、CTIA、CyberRx、Cybersecurity Coalition、Cyxtera、火眼、英特爾、ITI、IT-ISAC、微軟、NAB、NCTA、NTCA、Palo Alto Networks、三星、Sprint、Threat Sketch、TIA、T-Mobile、USTelecom和威瑞森。政府成員有DHS、國防部、財政部、司法部、商務部、總務管理局、國家情報總監辦公室和社會安全域性。
思科的工作組代表是 Edna Conway,其全球價值鏈首席安全官。Conway表示, 需要戰勝的3個普遍威脅是操縱、間諜和中斷 。各種政府標準描述的是供應鏈安全的不同方面,該工作組將考慮的則是整個產品生命週期中各個系統的安全。
對Conway來說,整個產品生命週期是關鍵,她在用詞上非常明確。比如說,她用含義更廣的“價值鏈”代替了“供應鏈”,並稱:DHS說的供應鏈其實就是她說的價值鏈。
Conway以產品生命的最初階段為例,她認為設計和開發是第一階段,但該階段既不屬於供應鏈,也不由供應鏈操作。鑑於產品市場營銷與交付必須解決各種各樣的問題,產品管理也是如此。
產品交付給客戶的渠道同樣是價值鏈的一部分,但這一部分並不隨客戶交易完成而終止。然後還有客戶支援,最後是產品生命的完結。DHS的供應鏈應該是從開頭到末尾的價值鏈。
而這其中包含各個層面上的IT安全。有了全面的方法,除了完整性還考慮持續性和可用性,才是將供應鏈管理納入了IT安全與完整性當中。該方法中的全面性本質,加上總體解決方案必須讓組織負擔得起且成本有效,要求工作組得拿出一個具體務實的方法。
解決供應鏈安全問題的唯一途徑是基於風險的方法。需實現層次化安全方法,不僅從安全形度能給組織更好的態勢,從經濟角度也能更加成本有效。
與工作組其他成員一起制定供應鏈安全操作手冊的經歷,讓Conway對於找到合適的解決方案充滿信心。她認為,工作組傳遞出來的資訊是“希望”。“有那麼多很棒的人關注這個問題,結成公/私合作伙伴關係,不是從單邊看待這個問題,而是從互助和雙贏的角度看待。”