효과적인 제3자 사이버 보안을 위한 Cisco의 5단계

자신의 비즈니스 영역 내에서 사이버 보안을 강화하는 것은 충분히 어렵습니다. 그러나 글로벌 공급망을 구성하는 파트너 군대에 대해서도 동일한 작업을 수행하고 있습니까? 불가능에 가깝습니다.

주요 회사의 공급망에 대한 또 다른 사이버 공격에 대한 뉴스 없이 일주일이 거의 지나지 않습니다. 그리고 종종 침입의 통로는 통제가 약한 제3자입니다.

현대의 공급망에서 제3자는 부품, 제품, 서비스, 지원, 소프트웨어를 판매하는 모든 주체가 될 수 있습니다. 목록은 계속됩니다. Cisco Systems, Inc.의 글로벌 가치 사슬 최고 보안 책임자인 에드나 콘웨이(Edna Conway)는 "저에게는 가치 사슬 단계의 어느 시점에서든 우리 솔루션에 실제로 관여하는 우리 이외의 모든 사람으로 구성됩니다."라고 말했습니다.

시스코는 "가치 사슬"이라는 용어를 선호합니다. 많은 회사와 컨설턴트가 제품에서 시장으로 가는 종단 간 여정에 대한 일반 설명으로 "공급 사슬"을 대체하기 위해 성공하지 못한 채 시도했지만 더 큰 세계를 암시하기 때문입니다. 그 노력에 참여하는 독립 단체. 그러나 기업의 유행어를 수용하는지 여부에 관계없이 파트너의 확산이 사이버 보안의 심각한 문제를 야기한다는 데는 의심의 여지가 없습니다. 적절한 시스템과 절차가 마련되어 있지 않으면 경쟁 회사, 정부, 갈취 및 지하 해커를 포함한 악의적인 행위자의 희생양이 될 수 있습니다.

Conway는 제3자 관계를 위한 효과적인 사이버 보안 계획을 수립하기 위해 다음과 같은 5단계 접근 방식을 제공합니다.

1. 공급망의 '누가, 무엇을, 어디서' 파악합니다. 자명해 보일지 모르지만 많은 회사가 비즈니스에 어떤 식으로든 기여하는 모든 당사자를 처리하지 못합니다. 특히 다층 공급망의 경우가 그렇습니다. 오늘날 이러한 구조에 의존하지 않는 제조 제품은 생각하기 어렵습니다.

2. 모든 당사자와 효과적으로 의사소통할 수 있는 방법을 모색합니다. Conway는 지정학적 문제나 공급의 연속성을 다루는 모든 상호 작용을 언급하는 것이 아니라 특히 보안 문제를 다루는 상호 작용을 언급합니다. 따라서 그녀는 세 가지 주요 유형의 위협, 즉 조작(정보가 변경된 경우), 간첩(국가 및 산업 모두) 및 중단(비즈니스 폐쇄 시도 포함)을 설명합니다. 그녀는 소프트웨어 라이선스 개발자나 타사 클라우드 서비스 공급자에게 세 가지 위협 모두에 대한 보호의 중요성을 강조하기 어려울 수 있다고 말합니다. 라인을 유지하는 데 관심을 집중할 수 있는 공장 현장의 개인도 마찬가지입니다. Conway는 "보안을 모든 역할의 모든 사람이 일상적으로 생각하는 부분으로 만들기 위해서는 교육이 필요합니다."라고 말합니다.

3. "유연하고 탄력적인" 아키텍처를 개발하십시오. 공급망 보안에 대한 Cisco의 접근 방식은 프로세스의 복잡성을 반영하는 11개의 개별 도메인을 포함합니다. 디자인, 개발, 제공 및 서비스:각 분야는 제3자와의 관계를 소유하고 있어 조직 내부와 외부에 무수한 약점이 생길 가능성이 있습니다. 이 전략은 다양한 생산 영역에서 해당 작업에 고유한 지침이 필요하다는 사실을 설명합니다. Conway는 "우리는 요구 사항을 매핑할 수 있는 방식으로 요구 사항을 작성하여 고객이 우리에게 제공하는 특성에 기반한 요구 사항만 적용할 수 있도록 했습니다."라고 말합니다. "누구나 맞춤형 버전을 받습니다."

4. 제3자와 함께 하는 모든 작업에 보안을 포함하세요. Conway는 기업이 다음과 같은 질문을 할 것을 촉구합니다. 아이러니하게도 "품질"이 현수막과 기업 격려 행사에서 나팔을 불었을 때 그 개념은 조직 내에서 "설득력 있게 스며들지" 않았습니다. 이제 사이버 보안과 관련하여 품질은 슬로건이나 개별 기능이 아니라 공급망 내의 모든 프로세스에 스며들어 있다고 Conway는 말합니다. Cisco는 입증된 품질 준수에 따라 제3자에게 점수를 할당하며 보안은 해당 측정의 핵심 부분입니다. "수학적 의미로 만들었습니다. 따라서 공급업체로서는 훌륭하지만 보안이 두려운 경우 선호하는 공급업체로 남아 있지 않을 수 있습니다."라고 그녀는 말합니다.

5. 모두가 측정해야 합니다. . Conway는 조직 전체에서 성과를 측정하기 위해 열심히 노력해 왔습니다. "우리는 자체 사양 및 프로세스에 대한 허용 수준을 설정합니다."라고 그녀는 말합니다. "결국 우리는 보안이 비즈니스 언어로 사용되도록 만들고 있습니다."

Cisco의 보안 이니셔티브는 한 번에 구현되지 않았습니다. 이전에 지적 재산권 문제를 전문으로 하는 회사의 외부 변호사로 근무한 Conway는 2000년대 초반에 CSO가 되었습니다. 처음부터 "모놀리식 아키텍처"를 즉시 부과하는 대신 Cisco의 EMS(전자 제조 시스템) 파트너부터 시작하여 인쇄 회로 생산업체, 엔지니어링 및 회사를 구성하는 여러 채널 파트너로 이동하는 등 단계적으로 도입했습니다. "가치 사슬"

Conway는 사이버 보안의 복음을 전할 때 이익과 손실에 기반을 둔 세계관을 가진 경영진과 소통하는 것이 필수적이라고 생각합니다. "나는 내 허용 수준을 달러 위험으로 변환하고 싶습니다."라고 그녀는 말합니다. "우리 모두는 비즈니스 언어를 구사해야 합니다."