L'organisme de sécurité de l'information (ISC) 2 a entrepris de combler ce qu'il considère comme une lacune dans la gestion des risques logiciels, avec un effort d'amélioration des compétences en matière de chaîne d'approvisionnement et d'acquisition de logiciels..

Il a ajouté un nouveau domaine à l'examen d'accréditation CSSLP (Certified Secure Software Lifecycle Professional), afin de s'assurer que les candidats connaissent les mesures de sécurité à prendre lors de l'acquisition d'un logiciel..

Ils doivent démontrer une compréhension de l'évaluation des risques liés aux fournisseurs, de la recherche de fournisseurs, du développement et des tests de logiciels, de la livraison, des opérations et de la maintenance des logiciels, ainsi que de la transition des fournisseurs. Ce dernier aborde des questions telles que l'exportation de données, les contrats et la divulgation.

W Hord Tipton, directeur exécutif de (ICS) 2, a déclaré que ses données montraient une forte augmentation de la fréquence d'acquisition et de sous-traitance de logiciels, et que le nouveau domaine de l'examen de certification devrait aider les professionnels de la sécurité à renforcer la sécurité de leurs chaînes d'approvisionnement..

(ISC) 2 est un organisme mondial à but non lucratif regroupant environ 87 000 professionnels de la sécurité de l'information. En février, il a averti qu'il y avait une pénurie de personnes possédant les compétences requises.