?首席信息官正在實(shí)施新戰(zhàn)略以降低軟件供應(yīng)鏈網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，但評(píng)估內(nèi)部運(yùn)營可能會(huì)更有效。

• Venafi贊助的Coleman Parkes的研究表明，CIO了解網(wǎng)絡(luò)攻擊的威脅，但有些人仍未進(jìn)行組織變革以降低風(fēng)險(xiǎn)。
• 在接受調(diào)查的1,000名CIO中，95%的人表示他們的信息安全團(tuán)隊(duì)有權(quán)控制保護(hù)軟件供應(yīng)鏈所需的安全控制。但報(bào)告稱，近三分之一的信息安全團(tuán)隊(duì)無權(quán)執(zhí)行他們推薦的政策。
• 董事會(huì)或CEO指示近十分之九的CIO提高軟件開發(fā)的安全性。

擺脫數(shù)字同質(zhì)化，滿足客戶需求，推動(dòng)業(yè)務(wù)增長(zhǎng)

建立一個(gè)技術(shù)戰(zhàn)略和架構(gòu)，使客戶癡迷并推動(dòng)增長(zhǎng)。按照我們的技術(shù)路線圖獲取實(shí)用見解和專家建議。

在從SolarWinds到Log4j的一系列廣為人知的妥協(xié)之后，軟件供應(yīng)鏈漏洞引起了CIO的更多關(guān)注。這些攻擊引起了董事會(huì)的注意，導(dǎo)致更大的風(fēng)險(xiǎn)偏好，當(dāng)然還有更多的責(zé)任。

報(bào)告稱，十分之八的接受調(diào)查的首席信息官認(rèn)為軟件供應(yīng)鏈攻擊可能會(huì)影響他們的公司。

公司最高層的這種安全意識(shí)促使CIO執(zhí)行特定策略來應(yīng)對(duì)漏洞。超過一半的CIO實(shí)施了更多的安全控制和代碼簽名。幾乎一半的CIO都在關(guān)注其開源庫的來源。

盡管有這些舉措，但問題的根源在于信息安全和開發(fā)團(tuán)隊(duì)之間的關(guān)系、溝通和協(xié)作——或缺乏協(xié)作。

Gartner公司高級(jí)總監(jiān)兼分析師Dale Gardner說，“不幸的是，仍然有一些組織，關(guān)系非常不正常。管理層尚未向開發(fā)部門傳達(dá)安全的重要性和必要性，”也許安全沒有采取適當(dāng)?shù)陌l(fā)展方法?！?/p>

報(bào)告發(fā)現(xiàn)，兩個(gè)團(tuán)隊(duì)之間的分歧可能會(huì)產(chǎn)生重大影響。信息安全團(tuán)隊(duì)對(duì)如何保護(hù)易受攻擊的供應(yīng)鏈知之甚少，因?yàn)樗麄儗?duì)軟件工程團(tuán)隊(duì)的工作缺乏足夠的了解。

隨著威脅繼續(xù)針對(duì)軟件開發(fā)的基礎(chǔ)方面，通信和協(xié)作必須做同樣的事情才能正確保護(hù)每段代碼。

Gardner說，“對(duì)于首席信息官來說，我認(rèn)為他們能做的最重要的事情之一就是[成為]安全工作的聲音支持者?！?