?首席信息官正在實施新戰(zhàn)略以降低軟件供應鏈網(wǎng)絡攻擊的風險，但評估內(nèi)部運營可能會更有效。

• Venafi贊助的Coleman Parkes的研究表明，CIO了解網(wǎng)絡攻擊的威脅，但有些人仍未進行組織變革以降低風險。
• 在接受調(diào)查的1,000名CIO中，95%的人表示他們的信息安全團隊有權控制保護軟件供應鏈所需的安全控制。但報告稱，近三分之一的信息安全團隊無權執(zhí)行他們推薦的政策。
• 董事會或CEO指示近十分之九的CIO提高軟件開發(fā)的安全性。

擺脫數(shù)字同質(zhì)化，滿足客戶需求，推動業(yè)務增長

建立一個技術戰(zhàn)略和架構，使客戶癡迷并推動增長。按照我們的技術路線圖獲取實用見解和專家建議。

在從SolarWinds到Log4j的一系列廣為人知的妥協(xié)之后，軟件供應鏈漏洞引起了CIO的更多關注。這些攻擊引起了董事會的注意，導致更大的風險偏好，當然還有更多的責任。

報告稱，十分之八的接受調(diào)查的首席信息官認為軟件供應鏈攻擊可能會影響他們的公司。

公司最高層的這種安全意識促使CIO執(zhí)行特定策略來應對漏洞。超過一半的CIO實施了更多的安全控制和代碼簽名。幾乎一半的CIO都在關注其開源庫的來源。

盡管有這些舉措，但問題的根源在于信息安全和開發(fā)團隊之間的關系、溝通和協(xié)作——或缺乏協(xié)作。

Gartner公司高級總監(jiān)兼分析師Dale Gardner說，“不幸的是，仍然有一些組織，關系非常不正常。管理層尚未向開發(fā)部門傳達安全的重要性和必要性，”也許安全沒有采取適當?shù)陌l(fā)展方法?！?/p>

報告發(fā)現(xiàn)，兩個團隊之間的分歧可能會產(chǎn)生重大影響。信息安全團隊對如何保護易受攻擊的供應鏈知之甚少，因為他們對軟件工程團隊的工作缺乏足夠的了解。

隨著威脅繼續(xù)針對軟件開發(fā)的基礎方面，通信和協(xié)作必須做同樣的事情才能正確保護每段代碼。

Gardner說，“對于首席信息官來說，我認為他們能做的最重要的事情之一就是[成為]安全工作的聲音支持者?！?