CISA lança estrutura de HBOM para gestão de risco da cadeia de fornecimento

A Agência de Segurança Cibernética e de Infraestrutura (CISA) lançou a nova estrutura de lista de materiais de hardware (HBOM) para a gestão de risco da cadeia de fornecimento (SCRM) de Tecnologia da Informação e Comunicação (TIC).

A estrutura de HBOM visa facilitar a comunicação sobre os componentes de hardware entre fornecedores e compradores, tornando-a “consistente” e “repetível”, fomentando a avaliação e mitigação de riscos na cadeia de fornecimento, explica Mona Harrington, diretora assistente do Centro Nacional de Gestão de Riscos da CISA e copresidente da força-tarefa SCRM de TIC.

“Com nomenclatura padronizada, informações abrangentes e orientação clara, as organizações podem proteger-se contra riscos económicos e de segurança, aumentando a resiliência geral”, afirma Harrington. “Ao melhorar a transparência e a rastreabilidade através do HBOM, as partes interessadas podem identificar e abordar riscos potenciais dentro da cadeia de abastecimento, garantindo que o cenário digital permanece robusto e seguro contra ameaças e desafios emergentes”.

O produto de HBOM inclui uma estrutura com uma metodologia de nomenclatura consistente para atributos de componentes, bem como um formato para a identificação e fornecimento de informações sobre os vários tipos de componentes de hardware. Ainda mais, oferece orientação sobre as informações do HBOM apropriadas, consoante a finalidade da sua utilização.

A estrutura em questão foi desenvolvida pelo Grupo de Trabalho HBOM da força-tarefa ICT SCRM, composto por especialistas da área de um amplo conjunto de organizações públicas e privadas.

“Este recurso desempenha um papel vital na adoção de abordagens proativas para mitigar riscos de forma eficaz”, disse Robert Mayer, vice-presidente sénior de cibersegurança e inovação da US Telecom e copresidente da força-tarefa SCRM de TIC.

Os principais componentes da estrutura HBOM são:

• Categorias de casos de uso (Apêndice A): oferece uma variedade de casos de utilização potenciais que os compradores podem ter para HBOMs, consoante a natureza do risco que procuram avaliar.
• Formato dos HBOMs (Apêndice B): a estrutura estabelece um formato que pode ser utilizado para garantir a consistência entre os HBOMs, assim como para facilitar a produção e utilização dos HBOMs.
• Taxonomia de campo de dados (Apêndice C): fornece uma taxonomia de atributos de componentes/entradas que, dependendo da finalidade da utilização de um HBOM pretendida pelo comprador, pode ser apropriado incluir num HBOM.

“Essa metodologia oferece às organizações uma ferramenta útil para avaliar os riscos da cadeia de fornecimento com uma estrutura consistente e previsível para uma variedade de casos de uso”, refere John Miller, vice-presidente sénior de política e conselho geral do Information Technology Industry Council (ITI) e co-presidente da força-tarefa ICT SCRM.