Ciscos fünf Schritte zur effektiven Cybersicherheit von Drittanbietern

Es ist schwer genug, die Cybersicherheit innerhalb der Mauern Ihres eigenen Unternehmens zu unterstützen. Aber das Gleiche für die Armee von Partnern tun, die eine globale Lieferkette bilden? Das kann fast unmöglich sein.

Kaum eine Woche vergeht ohne Nachrichten über einen weiteren Cyberangriff auf die Lieferkette eines großen Unternehmens. Und meistens ist die Quelle für den Einbruch ein Dritter mit schwachen Kontrollen.

In modernen Lieferketten kann ein Dritter jede Einheit sein, die Teile, Produkte, Dienstleistungen, Support und Software verkauft – die Liste geht weiter. „Für mich umfasst es jeden außer uns selbst, der zu irgendeinem Zeitpunkt der Wertschöpfungskette tatsächlich an unseren Lösungen beteiligt ist“, sagt Edna Conway, Chief Security Officer of Global Value Chain bei Cisco Systems, Inc.

Cisco bevorzugt den Begriff „Wertschöpfungskette“ – den eine Reihe von Unternehmen und Beratern erfolglos versucht haben, „Lieferkette“ als allgemeine Beschreibung für die End-to-End-Reise vom Produkt bis zum Markt zu ersetzen – weil er ein größeres Universum von unabhängige Einheiten, die sich an diesen Bemühungen beteiligen. Unabhängig davon, ob man sich dem Buzzred von Unternehmen anschließt oder nicht, besteht kein Zweifel, dass die Verbreitung von Partnern ernsthafte Probleme der Cybersicherheit aufwirft. Ohne angemessene Systeme und Verfahren könnte jeder von ihnen den Bemühungen schlechter Akteure zum Opfer fallen, darunter konkurrierende Unternehmen, Regierungen, Erpresser und sogar Keller-Hacker.

Conway bietet den folgenden fünfstufigen Ansatz zur Erstellung eines effektiven Cybersicherheitsplans für Beziehungen zu Drittanbietern.

1. Kennen Sie das „Wer, Was und Wo“ Ihrer Lieferkette. So selbstverständlich es erscheinen mag, viele Unternehmen haben nicht alle Parteien im Griff, die in irgendeiner Weise zum Geschäft beitragen. Dies ist insbesondere in mehrstufigen Lieferketten der Fall – und es ist heute schwer an ein hergestelltes Produkt zu denken, das nicht auf einer solchen Struktur basiert.

2. Arbeite an Wegen, um effektiv mit all diesen Parteien zu kommunizieren. Conway bezieht sich nicht auf alle Interaktionen, die geopolitische Fragen oder die Kontinuität der Versorgung abdecken, sondern nur auf diejenigen, die sich speziell mit Sicherheitsfragen befassen. Als solche beschreibt sie drei Hauptarten von Bedrohungen:Manipulation (wenn Informationen verändert werden), Spionage (sowohl nationalstaatliche als auch industrielle) und Störung (beinhaltet Versuche, das Geschäft zu schließen). Sie sagt, dass es schwierig sein kann, einem Softwarelizenzentwickler oder Drittanbieter von Cloud-Diensten zu vermitteln, wie wichtig es ist, sich gegen alle drei Bedrohungen zu schützen. Das gleiche gilt für Personen in der Fabrikhalle, deren Aufmerksamkeit darauf gerichtet sein könnte, die Linie am Laufen zu halten. „Es braucht Training, um Sicherheit zu einem Teil des täglichen Denkens von jedem in jeder Rolle zu machen“, sagt Conway.

3. Entwickeln Sie eine „flexible und elastische“ Architektur. Ciscos Ansatz zur Sicherheit der Lieferkette umfasst 11 separate Domänen, die die Komplexität seiner Prozesse widerspiegeln. Design, Entwicklung, Lieferung und Service:Jede Disziplin besitzt Beziehungen zu Dritten, was die Möglichkeit unzähliger Schwachstellen innerhalb und außerhalb der Organisation schafft. Die Strategie trägt der Tatsache Rechnung, dass verschiedene Bereiche der Produktion Richtlinien erfordern, die für ihren Betrieb einzigartig sind. „Wir haben Anforderungen so geschrieben, dass Sie sie abbilden können, sodass nur die Anforderungen gelten, die auf der Art Ihrer Lieferung an uns basieren“, sagt Conway. „Jeder bekommt eine angepasste Version.“

4. Integrieren Sie Sicherheit in alles, was Sie mit allen Drittanbietern tun. Conway fordert Unternehmen auf, sich die Frage zu stellen:„Warum verwenden wir sie und wie schneiden sie gemäß unseren Service-Metriken ab?“ Ironischerweise war das Konzept damals, als „Qualität“ in Bannern und Firmenfeiern posaunte, nicht „überzeugend“ innerhalb der Organisation. Wenn es um Cybersicherheit geht, ist Qualität kein Schlagwort oder eine eigenständige Funktion, sagt Conway – sie ist in jeden Prozess innerhalb der Lieferkette integriert. Cisco vergibt Punkte an Dritte entsprechend ihrer nachgewiesenen Qualitätstreue, und Sicherheit ist ein wichtiger Bestandteil dieser Maßnahme. „Wir machen es mathematisch aussagekräftig. Wenn Sie also als Lieferant fantastisch, aber in Bezug auf die Sicherheit schrecklich sind, bleiben Sie möglicherweise kein bevorzugter Lieferant“, sagt sie.

5. Jeder muss messen . Conway hat sich intensiv bemüht, die Leistung im gesamten Unternehmen zu messen. „Wir legen Toleranzgrenzen gegenüber unseren eigenen Spezifikationen und Prozessen fest“, sagt sie. „Letztendlich sorgen wir dafür, dass Sicherheit die Sprache des Geschäfts spricht.“

Ciscos Sicherheitsinitiative wurde nicht auf einmal umgesetzt. Conway, der zuvor als externer Anwalt für das auf Fragen des geistigen Eigentums spezialisierte Unternehmen tätig war, wurde Anfang der 2000er Jahre CSO. Anstatt von Anfang an eine „monolithische Architektur“ durchzusetzen, ging sie schrittweise vor, angefangen bei Ciscos Partnern für elektronische Fertigungssysteme (EMS) bis hin zu den Herstellern von gedruckten Schaltungen, dem Engineering und den zahlreichen Vertriebspartnern, aus denen das Unternehmen besteht „Wertschöpfungskette.“

Bei der Predigt des Evangeliums der Cybersicherheit hält Conway die Kommunikation mit der Chefetage für unabdingbar, deren Weltsicht auf Gewinn und Verlust basiert. „Ich würde meine Toleranzgrenzen gerne in Dollar-Risiken umwandeln“, sagt sie. „Wir alle müssen die Sprache des Geschäfts sprechen.“