产品安全: 遵循法规和客户期望

风险与弹性和网络安全实践 产品安全:遵循法规和客户期望 遵循五个成功因素可以帮助创建一个成功的战略，将安全性嵌入到新产品生命 周期中。 作者：吉姆·博姆，朱利安·富克斯-苏雄，本杰明·克莱因和沃尔夫拉姆·萨尔马尼亚 2023年9月 作为各地的制造商汽车，工业设备，消费设备，软件等行业创新新产品和服务，网络安全已成为产品生命周期的关键组成部分，从概念 退役。 除了企业和应用程序安全之外，开发一种全面的产品安全方法不再是企业的障碍，而是一种必需品-它为那些正确的人提供了竞争优势。 产品网络安全涵盖所有专注于保护产品免受外部威胁的活动（参见侧栏“推动产品安全卓越的十二个杠杆”）。这种保护包括安全编码实践、漏洞扫描、渗透测试、产品事件响应、生产过程的证明和认证等等。产品安全“包括”应用程序安全，它侧重于用于确保应用程序或系统安全的编码技术。 最后，产品安全应包括销售和售后，例如与客户服务相关的活动，响应客户关于安全、培训和软件更新的查询。 产品安全与企业安全部分重叠，企业安全侧重于保护组织本身，而不是它生产、销售和运送给客户的产品。 跨行业产品安全的相关性和挑战与日俱增 公司在引入新产品和服务时面临一系列挑战，这些挑战受监管要求、消费者期望和不断变化的购买习惯的驱动。此外，公司面临的挑战包括：失败的产品安全成本、产品最终受损的声誉问题以及风险增加 从网络攻击者。 推动产品安全卓越的十二个杠杆 1.评估新创新的风险和潜在的隐私影响 。 2.通过设计和构建“设计安全”的产品，指定安全要求并最大程度地减少所需数据。 3.针对市场对产品安全和隐私进行基准测试，利用安全和数据隐私作为差异化因素。 4.维护每个解决方案的安全/隐私相关认证和标准列表，并全面解决任何售前问题。 5.通过及时的安全更新、修复和补丁来维护产品的安全性，以确保数据隐私和对威胁的及时响应。 6.维护带有退役指南的剧本。 7.建立规范的第三方治理，确保供应商满足所需的标准和要求。 8.定期进行渗透测试以识别产品中的漏洞 ；通过产品开发识别并修复任何漏洞。 9.了解有关产品安全和数据隐私的客户需求，并确保满足预期。 10.确定并确保符合所有相关法规和标准。 11.管理与安全和数据隐私相关的风险；评估和估计风险严重性，并根据潜在影响进行补救 。 12.确定要构建的每个队列的培训需求和提供培训 充分促进安全和隐私的团队。 以下是推动产品制造商确保网络安全成为其产品安全计划一部分的三个关键因素： —即将进行的监管审查。即将出台的法规，例如欧盟的网络弹性法案（CRA）和无线电设备指令授权法案（RED） ，以及即将出台的美国国家网络安全战略的监管规范，将包括受监管领域的数字产品（软件、硬件和其他连接设备）制造商，并对其提出重大要求，包括安全开发、漏洞扫描、渗透测试和产品认证。CRA的罚款可能高达1500万欧元，占年销售额的2.5%。根据认证框架的监管方式，对于大型工业客户而言，仅CRA的影响就可能达到数百万美元。一些行业，如汽车，已经在浏览特定行业的网络安全法规，如联合国条例155。 —改变购买因素。软件和硬件产品的企业买家，特别是在关键基础设施行业，越来越重视经过认证和安全的产品 ，这表明网络安全已成为 在工业环境中销售职位。产品制造商通常会进行重大的认证工作，以符合行业标准（例如，ISO27001 、IEC62443、 SOC2)向客户发出信号 他们为确保网络安全产品所做的大量努力和投资。 —产品安全失败的风险。Recalls 显示解决售后问题所涉及的法律责任、成本和声誉风险可能很大。当在开发生命周期的后期发现问题或产品已经在市场上销售或可用时，成本可能很高。通过强大的产品安全组织，认证可以成为建立商业声誉和提高运营效率和弹性的关键因素。 领先的安全采用者遵循的五个关键成功因素 除了这些挑战之外，在每个人都需要脱颖而出和与众不同的商业环境中，创建并继续确保对网络安全产品的支持可以帮助公司建立作为高级安全和隐私领导者的声誉。 为了创造一个积极的产品环境，从概念到销售，以下是成功的安全采用者为成功战略所遵循的五个关键成功因素 ： 1.为产品安全建立价值案例。与产品管理，销售和安全团队一起制定清晰的愿景，说明为什么产品安全对组织很重要。这一愿景应该侧重于降低风险（防御性）以及通过产品安全获得竞争优势（进攻性）。团队应该意识到，产品安全性差可能会导致产品召回或由于监管不合规而无法销售产品，这不仅会产生巨大的负面财务影响，还会导致客户流失和创新减少。另一方面，一个好的产品安全计划-包括来自不同部门的员工，允许。不同的观点-可以通过使公司能够展示对客户至关重要的安全功能并在销售和售后客户服务期间回应客户的问题和疑虑来创造竞争优势。 2.定义、构建和扩展产品安全功能。制定清晰的模型，概述实现产品系列的产品安全目标所需的所有功能，并明确企业安全和应用程序安全之间的预算关系。该模型应该为产品生命周期的每个步骤指定安全目标，并将其链接到实现目标需要实施的特定功能列表。然后，应明确定义不同部门在实施每种功能中的作用，以确保所有功能。 安全倡导者可以在产品团队中建立安全实践模型 ，以确保团队遵守安全策略、标准和准则。 相关方参与了每种能力的实施。对产品的能力应用必须遵循基于风险的优先级排序，基于哪些产品将从某些产品安全措施和客户期望中受益最大。相当多的组织已经以应用程序安全性的形式为其产品的一部分做到了这一点；然而，良好的产品安全性超越了应用程序，更全面地关注安全性。为了确保并确保产品能力 ，一些组织成立了“产品安全事件响应团队”。 作为在客户站点使用的连接产品的事件响应功能。其他指定独立的“安全操作中心”用于产品安全。 3.将运营模式与产品团队保持一致。产品团队应该能够访问所有必要的安全功能、工具和流程。在现代组织中 ，有自治的产品团队经常在孤岛中工作；因此，在开发产品时需要引入安全性。由于网络安全资源和人才限制，最好使用卓越中心（COE）方法，该方法应根据组织需求量身定制。COE-定义指导方针和标准并提供工具、实施和事件解决支持的中央专家小组-主要用于使运营模型与产品团队保持一致。在该模型中,有利于保持产品的安全性。 专家已经以其当前角色嵌入团队中，并加强了对COE的报告关系。在出现新认证要求的情况下，安全团队将必须找到新的方法来满足需求，而不会阻碍产品团队的创新和部署速度。 4.培养人才和能力。组织应该有双重战略，将安全冠军嵌入产品团队，并提高这些团队的安全性。安全冠军可以在产品团队中扮演安全实践的角色，以确保团队遵守安全策略 ，标准和准则，同时促进安全意识和持续学习的文化。Upsillig计划确保产品安全团队中的每个员工都拥有所需的知识。 betailedtoemployeerolesandexistingknowledge.Currently,itisdifficultfororganizationstofillproductsecurityroles,leading 外包，这使得内部能力的建立变得困难。 5.加强对产品安全的治理。产品安全标准可以分为三个级别：法规要求（销售产品），企业标准（组织制定的不可协商的安全标准）和最佳实践（与行业领导者保持一致的可选安全措施）。对于每个标准 ，关键绩效指标（KPI）和关键整个运营和运营的风险指标(KRI) 找到更多这样的内容 麦肯锡见解应用程序 扫描•下载•个性化 管理功能，定义并用于衡量这些标准的实现。 这些KPI/KRI可以帮助开发产品安全记分卡，该记分卡可用于提高透明度并跟踪随时间的发展。 产品安全不是“确保产品获得安全认证，让我们把它送出去”的主张。它更多。安全性很像 制造中，每个人都必须考虑“安全第一”。安全不是附加的。当产品处于创建阶段时，它必须成为讨论的一部分 ，直到它处于工作模式。 开发团队中的每个人都应该考虑确保产品是安全的，并且知道它将准备好帮助客户，无论是银行、制造业还是医疗，抵御攻击。 吉姆·博姆是麦肯锡伦敦办事处的合伙人,JulianFuchs-Souchon是法兰克福办事处的专家,本杰明·克莱因是柏林办事处的合伙人：是慕尼黑办公室的专家. 麦肯锡全球出版公司设计 版权所有©2023麦肯锡公司。保留所有权利。