思科有效第三方网络安全的五个步骤

在您自己的业务范围内支持网络安全已经够难的了。但对组成全球供应链的合作伙伴大军也这样做吗？这几乎是不可能的。

几乎每周都有针对大型公司供应链的网络攻击的消息。通常情况下，入侵的渠道是控制薄弱的第三方。

在现代供应链中，第三方可以是任何销售零件、产品、服务、支持、软件的实体——不胜枚举。思科系统公司全球价值链首席安全官 Edna Conway 表示：“对我来说，它包括在价值链各个阶段实际参与我们解决方案的任何人，而不是我们自己。”

思科偏爱“价值链”这个词——许多公司和顾问都试图用它来取代“供应链”作为产品到市场端到端旅程的一般描述——因为它暗示了更大范围的参与这项工作的独立实体。但无论人们是否接受企业流行语，毫无疑问，合作伙伴的激增引发了严重的网络安全问题。如果没有适当的系统和程序，其中任何一个都可能成为不良行为者（包括竞争对手公司、政府、勒索者甚至地下室黑客）的牺牲品。

Conway 提供了以下五个步骤来为第三方关系制定有效的网络安全计划。

1.了解供应链的“谁、什么和在哪里”。 尽管看起来不言自明，但许多公司无法处理以某种方式为业务做出贡献的所有各方。在多层供应链中尤其如此——如今很难想到不依赖这种结构的制成品。

2.努力与所有这些方进行有效沟通。 康威并不是指所有涉及地缘政治问题或供应连续性的互动，而是指那些专门解决安全问题的互动。因此，她描述了三种主要类型的威胁：操纵（当信息被更改时）、间谍活动（民族国家和工业）和破坏（涉及试图关闭企业）。她说，很难让软件许可开发商或第三方云服务提供商意识到防范所有三种威胁的重要性。工厂车间的个人也是如此，他们的注意力可能集中在保持生产线的运行上。 “需要通过培训才能让安全成为任何角色的日常思维的一部分，”康威说。

3.开发“灵活且富有弹性”的架构。 思科的供应链安全方法包含 11 个离散域，反映了其流程的复杂性。设计、开发、交付和服务：每个学科都与第三方建立了关系，在组织内外创造了无数薄弱点的可能性。该战略说明了这样一个事实，即各个生产领域都需要针对其运营的独特指导方针。 “我们以一种您可以映射它们的方式编写需求，因此只有那些基于您提供给我们的内容的性质的内容才适用，”康威说。 “每个人都会得到一个定制版本。”

4.将安全性嵌入到您与所有第三方进行的所有工作中。 Conway 敦促公司提出以下问题：“我们为什么要使用它们，根据我们的服务指标，它们的表现如何？”具有讽刺意味的是，当“质量”在横幅和企业动员大会上大肆宣传时，这个概念并没有在组织内部“充满说服力地灌输”。 Conway 说，现在谈到网络安全，质量不是口号或离散的功能——它被灌输到供应链的每个流程中。思科根据第三方表现出的对质量的遵守情况向其分配分数，而安全性是该措施的关键部分。 “我们使它具有数学意义，因此如果您作为供应商非常出色，但在安全方面却很糟糕，那么您可能不会继续成为首选供应商，”她说。

5.每个人都必须衡量 .康威一直在努力衡量整个组织的绩效。 “我们根据自己的规格和流程制定了公差水平，”她说。 “归根结底，我们正在让安全成为商业语言。”

思科的安全计划并不是一下子实施的。 Conway 曾担任该公司专门处理知识产权问题的外部律师，于 2000 年代初成为其 CSO。她并没有从一开始就立即强加“单体架构”，而是分阶段进行，从思科的电子制造系统 (EMS) 合作伙伴开始，然后转向印刷电路制造商、工程和构成公司业务的众多渠道合作伙伴。 “价值链。”

在宣扬网络安全的福音时，康威认为与高管人员沟通至关重要，他们的世界观植根于盈亏。 “我想将我的承受能力转化为美元风险，”她说。 “我们都需要说商业语言。”