Un nou studiu realizat de Kaspersky arată că peste două treimi dintre companii sunt dispuse să investească în securitatea contractorilor și furnizorilor lor pentru a-și asigura protecția împotriva atacurilor cibernetice, iar încă un sfert fac deja acest lucru. Această schimbare indică faptul că organizațiile consideră tot mai mult contractorii ca parte a unui ecosistem unic și interconectat de securitate.
Pe fondul creșterii atacurilor asupra lanțului de aprovizionare, care au afectat aproape o treime dintre companii, și al atacurilor bazate pe relații de încredere, care au vizat un sfert dintre organizații la nivel global în ultimul an, companiile își regândesc abordarea privind securitatea internă. Acestea recunosc că propriul risc cibernetic depinde de nivelul de securitate al fiecărui contractor sau partener care are acces la infrastructura și sistemele lor și sunt pregătite să acționeze în consecință.
Potrivit sondajului, 69% dintre respondenți iau în calcul investiții în securitatea contractorilor pentru a-și consolida propria reziliență cibernetică. Această disponibilitate este deosebit de ridicată în India (83%), Indonezia (80%), Rusia (80%) și Brazilia (76%). Este de remarcat faptul că organizațiile din Indonezia, Brazilia și Rusia manifestă un nivel mai ridicat de încredere în contractori comparativ cu alte țări — lucru evidențiat de numărul peste medie de contractori care au acces la sistemele companiilor.
În același timp, 25% dintre companii au început deja să împartă costurile de securitate cu contractorii lor, trecând de la intenție la acțiune. Rata de adopție este mai ridicată în Hong Kong și Taiwan (33%), Spania (33%), Turcia (31%) și Vietnam (31%).
Pentru a reduce riscurile asociate lanțului de aprovizionare, Kaspersky recomandă companiilor să își consolideze securitatea prin măsuri organizaționale, inclusiv evaluarea riguroasă și bazată pe dovezi a furnizorilor de software. Prin analizarea practicilor de securitate ale furnizorilor, revizuirea proceselor de dezvoltare software și aplicarea unor cadre structurate de evaluare, companiile se pot asigura că în infrastructura lor internă sunt utilizate doar produse sigure și reziliente. Un ghid detaliat despre cum să alegeți cel mai potrivit produs este disponibil aici.
Pentru a reduce riscurile asociate lanțului de aprovizionare și relațiilor de încredere, Kaspersky recomandă, de asemenea, următoarele:
• Colaborați cu furnizorii pe teme de securitate. Este esențial să lucrați îndeaproape cu furnizorii pentru a le îmbunătăți măsurile de securitate — o astfel de colaborare consolidează încrederea reciprocă și transformă protecția într-o prioritate comună.
• Evaluați temeinic furnizorii înainte de a încheia un contract. Este esențial să analizați nivelul de securitate al potențialilor furnizori înainte de a începe colaborarea. Acest lucru presupune solicitarea unei evaluări a politicilor lor de securitate cibernetică, informații despre incidente anterioare și conformitatea cu standardele de securitate din industrie.
• Pentru produsele software și serviciile cloud, se recomandă colectarea de date despre vulnerabilități și teste de penetrare și, în anumite cazuri, efectuarea testelor de securitate dinamică a aplicațiilor (DAST).
• Implementați cerințe contractuale de securitate. Contractele cu furnizorii ar trebui să includă cerințe specifice de securitate a informațiilor, precum audituri de securitate periodice, respectarea politicilor relevante de securitate ale organizației și protocoale de notificare a incidentelor.
• Adoptați măsuri tehnologice preventive. Riscul unor daune semnificative în cazul compromiterii unui furnizor este redus considerabil dacă organizația implementează practici de securitate precum principiul privilegiului minim, modelul zero trust și o gestionare matură a identității.
Mai multe recomandări, precum și alte concluzii privind riscurile din lanțul de aprovizionare, sunt disponibile aici.
