今年7月,美国国土安全部(DHS)宣布成立信息通信技术供应链特别工作组,目的:为在面对供应链安全风险时需要操作性响应的组织编制“操作手册”,保护端到端供应链。
上周,该工作组执行委员会首次碰面,商讨如何为政府机构和产业界编撰这些DHS战术手册。
该公/私特别工作组从产业界和政府广泛吸收成员。其产业界成员包括埃森哲、AT&T、CenturyLink、Charter、思科、康卡斯特电信、CTIA、CyberRx、Cybersecurity Coalition、Cyxtera、火眼、英特尔、ITI、IT-ISAC、微软、NAB、NCTA、NTCA、Palo Alto Networks、三星、Sprint、Threat Sketch、TIA、T-Mobile、USTelecom和威瑞森。政府成员有DHS、国防部、财政部、司法部、商务部、总务管理局、国家情报总监办公室和社会安全局。
思科的工作组代表是 Edna Conway,其全球价值链首席安全官。Conway表示,需要战胜的3个普遍威胁是操纵、间谍和中断。各种政府标准描述的是供应链安全的不同方面,该工作组将考虑的则是整个产品生命周期中各个系统的安全。
对Conway来说,整个产品生命周期是关键,她在用词上非常明确。比如说,她用含义更广的“价值链”代替了“供应链”,并称:DHS说的供应链其实就是她说的价值链。
Conway以产品生命的最初阶段为例,她认为设计和开发是第一阶段,但该阶段既不属于供应链,也不由供应链操作。鉴于产品市场营销与交付必须解决各种各样的问题,产品管理也是如此。
产品交付给客户的渠道同样是价值链的一部分,但这一部分并不随客户交易完成而终止。然后还有客户支持,最后是产品生命的完结。DHS的供应链应该是从开头到末尾的价值链。
而这其中包含各个层面上的IT安全。有了全面的方法,除了完整性还考虑持续性和可用性,才是将供应链管理纳入了IT安全与完整性当中。该方法中的全面性本质,加上总体解决方案必须让组织负担得起且成本有效,要求工作组得拿出一个具体务实的方法。
解决供应链安全问题的唯一途径是基于风险的方法。需实现层次化安全方法,不仅从安全角度能给组织更好的态势,从经济角度也能更加成本有效。
与工作组其他成员一起制定供应链安全操作手册的经历,让Conway对于找到合适的解决方案充满信心。她认为,工作组传递出来的信息是“希望”。“有那么多很棒的人关注这个问题,结成公/私合作伙伴关系,不是从单边看待这个问题,而是从互助和双赢的角度看待。”
相关阅读
