Die Art und Weise, wie Software und Netzwerke codiert werden, ist wichtig; eine Scorecard kann helfen
Juni 2021
Da Unternehmen immer mehr digitale Dienste nutzen, können sie Cyberangriffen ausgesetzt sein, wenn die eingesetzten Anbieter nicht ordnungsgemäß überprüft werden. Kriminelle sind hinterhältig, manchmal hartnäckig und können sich unentdeckt in Netzwerken bewegen – SolarWinds kann das bestätigen.
Wenn ein digitaler Dienst eine Verbindung zum Netzwerk eines Unternehmens herstellt, können böswillige Akteure dies als Hintertür in das gesamte System nutzen. Deshalb ist es wichtig, die Dienstanbieter zu überprüfen, um sicherzustellen, dass sie über einen starken Lieferkettenprozess verfügen – einschließlich der Unternehmen, mit denen sie Geschäfte machen.
Im letzten Jahr machten sich Eric Neely, Kommunikationskoordinator von Hoosier Energy, und Chris Johnson, Videoproduzent, auf die Suche nach einer Lösung für die Verwaltung der digitalen Inhalte der Abteilung, darunter Marken- und Bildmaterial. Da sie eine Cloud-basierte Software, bekannt als Software as a Service (SaaS), verwenden wollten, fanden sie Anbieter, deren Software in jedem Webbrowser läuft.
„Wir wollten, dass das ausgewählte System uns nicht nur dabei hilft, als Team intelligenter und schneller zu arbeiten, sondern auch kein Sicherheitsrisiko für das Unternehmen darstellt“, sagte Neely.
Um herauszufinden, welche Anforderungen an neue Software gestellt werden, wandte sich Neely an Richie Field, den Manager für Cybersicherheit und Netzwerk bei Hoosier Energy. Er erfuhr, dass es eine Cybersicherheits-Scorecard gibt, die dabei hilft, sichere Plattformen zu identifizieren.
„Auf diese Weise können die Wahrscheinlichkeit eines Problems und seine Auswirkungen ermittelt und das Risikoniveau bestimmt werden“, sagte Field.
Dies ist ein Tool, das der Genossenschaft dabei hilft, Anbieter auszuwählen, die beim Aufbau ihrer Systeme die gebotene Sorgfalt walten lassen. Anhand der gegebenen Antworten lässt sich feststellen, welche Anbieter beim Aufbau ihres Netzwerks großen Wert auf Sicherheit legen.
Die Scorecard ist Teil eines zweigleisigen Ansatzes bei Hoosier Energy. Vertragssprache ist ein Aspekt, anhand dessen Lieferanten überprüft werden. Dadurch wird sichergestellt, dass die Genossenschaft kontaktiert wird, wenn ein Lieferant einen Verstoß feststellt, und es wird festgelegt, wie die Reaktion koordiniert wird.
Die zweite Komponente ist eine Bewertung, um sicherzustellen, dass die verwendete Hardware und Software ordnungsgemäß geprüft wurde. Auf diese Weise werden SaaS-Systemanbieter überprüft und für die Nutzung zugelassen.
„Als ich die Anbieter wegen der Erstellung der Scorecard kontaktierte, sagten einige, sie seien nicht mehr an unserem Geschäft interessiert. Da wurde mir klar, wie viel Aussagekraft diese Analyse bietet“, sagte Neely.
Dieser aus bis zu 280 Fragen bestehende Test analysiert, wie die Software erstellt wird, sowie wie Hardware, Firmware und Open-Source-Code entstehen und authentifiziert werden.
„Durch diesen Prozess konnten wir ein System finden, das mehr als nur eine Win-Win-Situation ist, es ist eine sichere Win-Situation“, sagte Neely.