软件和网络的编码方式很重要;记分卡可以提供帮助
2021 年 5 月
随着组织使用越来越多的数字服务,如果所使用的供应商没有经过适当审查,它们可能会遭受网络攻击。不法分子行迹诡秘,有时甚至顽固不化,可以在网络中四处移动而不被发现——SolarWinds 可以证明这一点。
如果数字服务连接到公司的网络,不法分子可以利用它作为进入整个系统的后门。这就是为什么审查服务提供商以确保他们拥有强大的供应链流程(包括与他们有业务往来的公司)非常重要。
去年,Hoosier Energy 的通讯协调员 Eric Neely 和视频制作人 Chris Johnson 开始寻找解决方案来管理该部门的数字内容,包括品牌和图像资产。他们知道自己想要使用基于云的软件,即软件即服务 (SaaS),因此找到了软件可在任何 Web 浏览器上运行的供应商。
尼利说:“我们希望所选的系统不仅能帮助我们团队更聪明、更快速地工作,而且不会对公司构成安全风险。”
为了了解新软件需要满足哪些要求,尼利联系了 Hoosier Energy 的网络安全和网络经理里奇·菲尔德 (Richie Field)。他了解到,有一张网络安全记分卡可以帮助确定安全平台。
菲尔德说:“这有助于确定问题发生的概率及其影响,从而确定风险级别。”
这是一个帮助合作社选择在构建系统时尽职尽责的供应商的工具。根据给出的回复,可以确定哪些供应商在构建网络时认真考虑了安全性。
记分卡是 Hoosier Energy 实施的双管齐下方法的一部分。合同语言是供应商审查的一个方面。这确保在供应商违约时联系合作社并确定如何协调响应。
第二部分是评估,以确保所使用的硬件和软件经过适当审查。这就是 SaaS 系统供应商接受审查和批准使用的方式。
“当我联系供应商完成记分卡时,有些人说他们不再对我们的业务感兴趣。那时我才知道这种分析带来的力量,”尼利说。
该审查包含多达 280 个问题,分析了软件的构建方式,以及硬件、固件和开源代码的来源和认证方式。
尼利说:“通过这个过程,我们能够找到一个不仅双赢而且安全的系统。”