0
0
O Instituto Nacional de Padrões e Tecnologia (NIST) atualizou seu documento de orientação para ajudar as organizações a identificar, avaliar e responder aos riscos de cibersegurança em toda a cadeia de suprimentos.
“[As Práticas de Gerenciamento de Riscos da Cadeia de Suprimentos de Cibersegurança para Sistemas e Organizações (C-SCRM)] incentivam as organizações a considerar as vulnerabilidades não apenas de um produto acabado que estão considerando usar, mas também de seus componentes — que podem ter sido desenvolvidos em outros lugares — e a jornada que esses componentes fizeram para chegar ao seu destino”, explica a NIST.
A revisão do documento faz parte do esforço da NIST para ajudar as organizações a colocar em prática mandatos da Ordem Executiva 14028, para melhorar a postura de segurança cibernética dos Estados Unidos.
Sobre a orientação revisada
“A orientação ajuda as organizações a construir considerações e requisitos de risco da cadeia de suprimentos de cibersegurança em seus processos de aquisição e destaca a importância do monitoramento de riscos. Como os riscos de cibersegurança podem surgir em qualquer momento do ciclo de vida ou qualquer vínculo na cadeia de suprimentos, a orientação agora considera potenciais vulnerabilidades, como as fontes de código dentro de um produto, por exemplo, ou varejistas que o carregam”, observa a NIST.
A publicação revisada é voltada principalmente para adquirentes e usuários finais de produtos, software e serviços, e oferece conselhos para diferentes públicos: líderes e pessoal que lidam com gerenciamento de riscos corporativos, aquisição e aquisição, infosec/cibersegurança/privacidade, desenvolvimento/engenharia/implementação do sistema e assim por diante.
Orientações específicas (ou seja, controles de cibersegurança) são compartilhadas no apêndice A.
O apêndice C delineia alguns cenários de ameaça, completos com informações sobre fonte de ameaça, possíveis resultados, impacto, exposição ao risco, potenciais estratos mitigadores e controles C-SCRM, etc. Os cenários de exemplo incluídos abrangem os seguintes incidentes:
- Condições geopolíticas dinâmicas que impactam o fornecimento de componentes de produção para PCs
- Elemento de telecomunicações falsificados introduzido na cadeia de suprimentos
- Estado-nação com recursos significativos que procuram roubar IP
- Inserção de código malicioso por um integrador
- Compromisso não intencional através de um funcionário interno
- Uma organização criminosa cibernética que explora componentes de software vulneráveis
Uma ficha técnica NIST Cyber SCRM também foi fornecida, e um guia de início rápido está em andamento.
Abordando ameaças de segurança cibernética à cadeia de suprimentos
“Gerenciar a segurança cibernética da cadeia de suprimentos é uma necessidade que está aqui para ficar. Se sua agência ou organização não começou, esta é uma ferramenta abrangente que pode levá-lo do crawl para andar para correr, e pode ajudá-lo a fazê-lo imediatamente”, observou Jon Boyens, da NIST, um dos autores da publicação.
“Seguir o NIST deve ser quase como seguir a ISO 27001 neste momento”, diz Jim Barkdoll, CEO da Axiomatics.
“Este deve ser um distintivo de honra; um diferencial que diz :”Fui inspecionado por essas políticas e processos.” Deve sinalizar que a empresa e seu conselho de administração se preocupam com a segurança e tomaram medidas significativas para melhorar. Como essas revisões continuam a ocorrer, em vez de as empresas terem que colocar todos os tipos de cláusulas em contratos com seções específicas de segurança, você deve simplesmente pedir para respeitar as normas NIST. É aí que eu gostaria de ver isso ir.
FONTE: HELPNET SECURITY