Sigurna nabavka softvera u 2025. godini: poziv za odgovornost

Fragmentirani i preklapajući standardi

Posljednjih godina postojala je brza ekspanzija u broju sigurnosnih okvira širom svijeta, uključujući ISO 27001 (uključujući ISO / IEC27034), NIST, OWASP i EU Cyber ​​otpornost. Mnoge organizacije, često vođene regulatornim, klijentskim ili kupcima, pokušale su slijediti ove standarde. Međutim, za one koji rade u više geografskih jurisdikcija, ove se preklapajuće i, ponekad sukobljeni standardi otežavaju pridržavati se. Kada je u pitanju nabavke softvera, mnogi se krizovi bore s evaluacijom dobavljača i zabrinute se na vjerojatnost praznina u sigurnosti.

Bez objedinjenog pristupa standardima, organizacije rizikuju izloženost ranjivostima koje iskorištavaju praznine. Napadi lanca opskrbe, poput solarnih sunčanih kršenja sunčanja ili incidenta za ažuriranje softvera Crowdstrike, podsetnici su onoga što je u pitanju: operativni poremećaj, pravna mjera i šteta povjerenja dionika. Konsleniji standardi ne bi samo ublažili ove rizike, već pojednostavljuju poštivanje.

Šta su CPLA?

CPLAS nudi praktično rješenje formaliziranjem sigurnosnih obaveza dobavljača u okviru ugovora o nabavci. Oni pružaju način da osiguraju da sigurni dobavljači softvera razmišljaju o poštivanju mnogih cyber sigurnosnih standarda i struje i budućnosti. Modelirano na sporazumima o razini usluga (SLA), CPLAS definira mjerljive standarde, poput procjene ranjivosti, poremećajnih vremenskih rokova i protokola koji izvještavaju o incidentu za stvaranje jasnih i izvršnih obaveza.

Nejasnoća u obavezama dobavljača često dovodi do preventivnih rizika, ali specificiranjem zahtjeva izvedenih iz važećih standarda i regulacije, CPLS stvara odgovornost. To sprečava dobavljače iz uglova za rezanje i osigurava dosljedan nivo zaštite.

CPLAS bi trebao odrediti:

• Garancije vremena za patch: Kritične ranjivosti zakrpane u roku od 72 sata.
• Transparentnost softvera (SBOM) softvera (SBOM): Potpuno otkrivanje softverskih komponenti, uključujući biblioteke trećih strana.
• Odgovor incidenta KPIS: Definisani ciljevi za oporavak i obaveze izvještavanja za kršenje.
• Povezane obaveze: Stalna ažuriranja i planovi za tranziciju na kraju života.

Postavljanjem jasnih, izvršnih ciljeva za njihove dobavljače, organizacije bi trebale vidjeti smanjenje u zastoj, minimizirani vektori napada i manje incidenata.

Kroz životnu službu

Sigurna nabavka softvera zahtijeva tekuće upravljanje. To se može postići sa upravljanjem uslugama za životni vek, koji uključuje redovne revizije, praćenje ranjivosti i jasno definirani krajnjim životnim planovima za upravljanje sigurnošću iz stjecanja na razgradnju. Bez upravljanja putem života, organizacija riskiraju nasljeđuju nepodržani ili nesigurni softver, što dovodi do operativnih ranjivosti i eskalirajuće troškove.

Izgradnja odgovornosti u sigurnu nabavku softvera

Ovi rizici podvlače potrebu za ugrađivanjem sigurnosti u nabavku i osigurati da se vidi kao kontinuirani proces, a ne jednokratni zadatak. To započinje usklađivanjem nabavke s dugoročnim sigurnosnim ciljevima i zahtijevati da dobavljači pokazuju sigurne principe dizajna. CPLAS bi trebao biti integriran u ugovore i SBOM-ove dobavljača i sigurne razvojne prakse ocijenjene u sklopu procesa.

Na prelasku servisiranja, softver se mora potvrditi rigoroznim testiranjem, poput prodora testova. Jednom kada se usluga tada u radu, mora biti nadgledanje performansi protiv metrike CPLA. Sve bi to trebalo popraviti fokusom na kontinuiranu poboljšanju usluga za iskorištavanje incidenta recenzija za učenje predavanja za buduće ugovore.

Ugrađivanje ovih principa stavlja organizacije u jači položaj prilikom pregovora s dobavljačima.

Iskorištavanje AI za konsolidaciju standarda

Umjetna inteligencija (AI) također može igrati ključnu ulogu u navigaciji ovom fragmentiranom sigurnosnom krajoliku. Trenutni procesi za procjenu i usklađivanje standarda su ručni, nedosljedni i skloni grešaka. AI alati opremljeni prirodnim obradom jezika može se preklapati između standarda, stvarajući objedinjene zahtjeve koji se mogu pratiti za originalne okvire, štedeći vrijeme za timove za nabavku. Alati za praćenje u stvarnom vremenu u nastajanju u stvarnom vremenu imaju potencijal za automatsko provođenje sigurnosnih obaveza, smanjujući ljudsku grešku i povećanje efikasnosti.

Saradnja: Put do usklađenih standarda

Dok CPPL i AI alati nude interna rješenja, sistemske promjene zahtijeva saradnju. Kupac konzorcijus i regulatorno usklađivanje, kao što se vidi sa Cyber ​​otpornošću za otpornost, može uspostaviti univerzalne osnovne osnove.

Ova vrsta suradnje smanjuje dupliranje, pojednostavljuje usklađenost i snižava troškove za dobavljače i kupce. Univerzalni standardi stvaraju polje za reprodukciju nivoa, čineći olakšavanje organizacijama da identificiraju sigurne i pouzdane dobavljače.

Sljedeći koraci za CISO-ove i lidere nabavke: Zaključak

Sigurna nabavka softvera u 2025. godini je od vitalnog značaja. Uništavanjem fragmentiranih standarda, provođenjem odgovornosti dobavljača putem CPLA-a i usvajanjem putem upravljanja uslugama, organizacije mogu ublažiti rizike i poboljšati otpornost. Ulozi su visoki, ali su i mogućnosti. Djelovanje odlučno sada može zaštititi organizacije iz cyber prijetnji i preoblikovati softversku industriju u jednu koja prioriteta sigurnost onoliko kao inovacija.

Robert Campbell, stručnjak za cyber sigurnost na PA savjetovanju