Pada tanggal 25 April 2025, Patrick Opet, CISO dari JPMorgan Chase, mengeluarkan surat terbuka kepada penyedia teknologi, mendesak industri untuk mengatasi kekhawatiran yang berkembang tentang keamanan rantai pasokan perangkat lunak. Pesannya menekankan meningkatnya risiko operasional dan sistemik yang terkait dengan penyedia SaaS, terutama di sektor -sektor yang sangat diatur seperti jasa keuangan.
Bagi banyak orang di industri SaaS dan Cyber Security, ini tidak mengejutkan. Selama bertahun -tahun, bisnis besar telah banyak berinvestasi dalam keamanan cyber mereka sendiri. Namun, sebagai tanggapan, penjahat cyber bergerak menuruni rantai pasokan ke vendor pihak ketiga sebagai permukaan serangan baru untuk memotong langkah-langkah keamanan in-house.
Alih-alih postur defensif, kami melihat ini sebagai kesempatan untuk menunjukkan bagaimana solusi yang dibangun dengan tujuan secara langsung dapat mengatasi masalah kritis ini. Secara khusus, panggilan OPET selaras dengan perubahan industri yang lebih luas – didukung oleh kerangka kerja seperti DORA UE dan rezim CTP Inggris – menjadi transparansi, akuntabilitas, dan ketahanan operasional yang lebih besar di seluruh rantai pasokan.
Kepala Tata Kelola, Risiko dan Kepatuhan, Autorek.
Mendukung ketahanan melalui pilihan penyebaran
Kekhawatiran utama yang diangkat dalam surat terbuka adalah ketergantungan industri pada model penyebaran tunggal yang dapat memperkenalkan risiko konsentrasi. Banyak penyedia SaaS beroperasi semata-mata di lingkungan multi-penyewa dengan infrastruktur TI bersama dan siklus pembaruan umum-pendekatan yang dapat menciptakan efisiensi, tetapi mungkin tidak sesuai dengan semua persyaratan kontrol atau kepatuhan pelanggan.
Salah satu solusi, dan pendekatan kami sendiri, adalah menawarkan fleksibilitas penyebaran-apakah itu melalui cloud publik, atau di tempat. Kemampuan teknis ini mendukung model penyewa tunggal dan hibrida, memberikan klien kontrol yang lebih besar atas bagaimana dan di mana data dan beban kerja mereka dikelola.
Misalnya, klien manajemen aset kami yang memproses set data warisan dapat memilih penyebaran di tempat untuk kontrol maksimum, sementara prosesor pembayaran yang menangani volume transaksi tinggi dapat memilih solusi layanan yang dikelola cloud yang dapat diskalakan.
Fleksibilitas ini tidak perlu mengorbankan inovasi. Siklus rilis dapat disusun untuk memberikan kejelasan dan pilihan kepada pelanggan kapan harus mengadopsi pembaruan, dengan pengujian ketat yang dibangun ke dalam proses. Di sektor-sektor di mana kontinuitas operasional sangat penting, kontrol ini bisa sama pentingnya dengan kecepatan fitur.
Mengurangi kompleksitas rantai pasokan
Surat Opet juga menyentuh risiko sistemik yang ditimbulkan oleh dependensi pihak ketiga yang buram. Dalam hal ini, pendekatan konservatif untuk desain rantai pasokan dapat membantu meminimalkan ketergantungan pada layanan eksternal dalam pengiriman aplikasi inti.
Ketika infrastruktur cloud diandalkan, kesinambungan bisnis yang kuat dan perencanaan pemulihan bencana diperlukan, termasuk replikasi waktu nyata di seluruh zona. Kami secara aktif memantau penyedia kami dan mempertahankan transparansi yang diperlukan untuk mendukung ekspektasi peraturan di sekitar pengawasan pihak keempat.
Ketahanan adalah tentang lebih dari sekadar arsitektur teknis – ini tentang membangun budaya kesiapsiagaan, dan memastikan klien yakin akan bagaimana data mereka dikelola, disimpan, dan dilindungi.
Jaminan berkelanjutan, bukan kepatuhan tahunan
Tema lain yang disorot adalah kekurangan sertifikasi tahunan sebagai model jaminan yang berdiri sendiri. Kerangka kerja seperti ISO27001 dan SOC 2 harus mendasar – tetapi bukan akhir dari cerita.
Organisasi harus memberikan dukungan berkelanjutan untuk audit klien dan uji tuntas, dan mendorong keterlibatan proaktif antara fungsi tata kelola tim dan klien, risiko, dan kepatuhan (GRC). Keamanan dan ketahanan bukanlah tonggak satu kali-mereka adalah tanggung jawab yang berkelanjutan dan berkembang.
Memungkinkan penggunaan AI yang aman dan diatur
Meningkatnya penggunaan AI di seluruh lanskap perangkat lunak membawa peluang baru – dan tanggung jawab baru. Vendor mengintegrasikan fitur AI di bidang -bidang seperti deteksi anomali dan otomatisasi proses, selalu dengan tata kelola yang jelas dan pengawasan risiko internal.
Untuk perusahaan yang diatur, jaminan tentang bagaimana AI digunakan, diuji, dan dikendalikan sangat penting. Karena itu, memastikan bahwa kemampuan AI apa pun dalam platform dikembangkan dengan transparansi, kontrol, dan kepatuhan di garis depan, sangat penting.
Membangun standar keamanan besok hari ini
Pesan dari JPMorgan Chase berfungsi sebagai pengingat penting: sebagai penyedia teknologi, kami adalah perpanjangan dari lingkungan risiko pelanggan kami. Peran kami bukan hanya untuk memberikan fungsionalitas – itu untuk membantu klien kami beroperasi dengan aman, percaya diri, dan sesuai di dunia yang semakin kompleks.
Penyedia SaaS harus berkomitmen untuk memberikan fleksibilitas, transparansi, dan ketahanan yang dibutuhkan perusahaan jasa keuangan untuk menavigasi harapan peraturan yang berkembang saat ini.
Sebagai imbalannya, perusahaan yang akan berkembang adalah mereka yang memandang keamanan bukan sebagai kotak centang kepatuhan, tetapi sebagai keunggulan kompetitif yang dibangun melalui kemitraan asli dengan penyedia teknologi mereka.
Kami telah mendaftarkan alat Manajemen Asset Software (SAM) terbaik.
Artikel ini diproduksi sebagai bagian dari saluran Wawasan Ahli TechRadarPro di mana kami menampilkan pikiran terbaik dan paling cerdas dalam industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah pandangan penulis dan tidak harus dari TechRadarPro atau Future Plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
