供应链安全威胁管理

supply-chain-security-management-broken

放眼全球各产业界,分工越来越细化,各企业在专注于核心竞争力的同时,也将工作重点聚焦于全球供应链之上。在质量、成本、速度、效率等业绩指标的压力下,安全方面的投入只能被一再挤压,天平开始失衡。

继2013年Target严重信息泄露事故之后,近年来,一连串的公司信息失窃案件特别是超市、百货、连锁、电商等行业的信息泄露事故多得让人揪心。这些安全事故中有不少是“冤大头”,就如同Home Depot和Goodwill这类的被黑客通过第三方厂商做跳板而光顾的。

一家企业,不管规模有多大,业务有多综合,也难避免会使用到第三方厂商的产品。然而,第三方厂商特别是小众化产品的安全使用问题长期以来都被忽视,五花八门的第三方厂商很可能并没有健全的产品安全漏洞修复机制,毕竟他们并不像Windows那些普及和常见。即使是自行开发的应用系统,也可能会在基本功能得到满足之后,缺乏长期的维护改进,特别是对所依赖的第三方中间件、控件或插件等等部件的安全审核。

环顾全球,世界越来越平坦,在全球性的供应链运行体中,与第三方的业务信息交换只会越来越多,与第三方的网络连接也只会越来越复杂,想想入侵Target的犯罪分子,要绕道空调供应商,问路电子账单系统,借壳Web程序漏洞,拐进PoS终端,方才剑指SQL主机。不要以为这是小概率甚至不可能的事情,在巨大的利益诱惑下,常人眼中的不可能正是技术高超且步步为营的黑客们所乐见的。

放眼国内,业务流程和科技创新对安全的驱动和需求更应该早日引起我们的重视,在结构调整、职能转变、营改增、简化流程、放宽准入等国家经济宏观政策刺激之下,市场将重焕活力,社会分工与协同合作将更为细化,战略创新型、绿色节能环保型的产品和服务将大批涌现,在这一波浪潮中,创新型的安全产品和服务也将被催生出来,同时,传统的安全解决方案也面临着全新的重大挑战。

安全业务的分工细化将带来服务外包的蓬勃发展,基于互联网云计算的服务外包模式在西方发达国家已经被证明成功了,不过在国家安全的顾虑和意识形态的壁障面前,美国的互联网公司只能被国内的借鉴者们和改良者击退。分工细化也将促进更多供应链管理方面的安全问题,入侵跳板、后门程序等顾虑无疑会让企业增加对第三方产品及服务的安全审核工作和监管需求。大规模的协同合作及移动化让信息的创建、交易的达成、数据的访问不再局限于传统上的工作区域和工作用终端设备,IT解决方案的消费化,让云端系统应用、终端设备安全、人员安全意识的管理需求日益严峻。

传统上,来自内部的安全威胁特别是内贼往往是信息失窃的最大因素之一,说到供应链的安全威胁,我们还是逃不开人员管理问题。不要以为供应链上的所有厂商的工作人员都是职场上的道德模范,相反,他们最为熟悉供应链信息流程,甚至这其中的弱点,他们具有对其它厂商信息系统的一定访问权限,如果这些人员起了歹心,不用非常高明的黑客技术,他们也能轻易窃取大量重要信息并来进行私下贩卖获利。如果他们再勾结外部技艺高超的黑客组织,那对供应链的破坏力将是前所未有的。

除了那些在职的内部人员和供应链人员,那些离职后仍然在这个行业中混的,特别是跳槽到竞争者行列中的人员,威胁程度可能更高。服务提供商、外部顾问、合同工等等通过可信的第三方渠道获得网络和数据存储,继而酿成安全事故的案例近年来越来越多。

不少企业并没有足够的针对内部人员和供应链人员威胁的应对措施,或者有必要的离职手续如保密协议和反竞业协议,但却并没有得到足够的足够的重视和执行。

如何进行供应链安全管理呢?昆明亭长朗然科技有限公司业务信息安全顾问董志军表示:

一、永远不要大意!既然大家处于同一条供应链上,依据木桶理论,供应链的安全管理水平最弱之处,将成为企业安全管理的短板。同在一条船上,就不能简单地通过一份合约把信息安全事故责任推给供应方,而应该从保障整个产业链安全健康共同发展的角度来实施供应链安全管理。知名的跨国公司无一例外都会对供应链进行定期的信息安全审核,就如同对待环境保护、安全生产和劳工福利等热点问题一样,看看苹果公司和富士康公司相关的产品制造新闻就知道供应链的安全是多么的重要。

二、不要简单以为供应链安全管理就是上下游厂商之间的利益博弈,做好供应链安全管理其实也是多方共赢的一件好事儿。首先,管理好供应链安全的前提当然是建立自身的信息安全管理体系,如果自家的信息安全管理水平尚处于混沌状态,想加入一个利润丰富的产业链都难,所以产业链中处于强势地位的大客户往往是供应链厂商提升信息安全管理能力的外部驱动力。其次,即使供应链厂商已经建立起了基本的信息安全管理体系,仍然可能有很大的改进空间,通过相互的交叉审核,不仅可以沟通交流经验,取长补短,更能让整体产业链的安全管理最佳实践得以提升,同时强化厂商之间的业务粘性。最后,拥有领先的信息安全管理水平的厂商,无疑会成为供应链甚至全行业内的信息安全标竿,在促进品牌商业信誉度的同时,依靠这些无形资产占领价值链中的中高端。

三、在技术控管方面,加强供应链接入层面的访问控制及威胁侦测,除了部署常规的防火墙和入侵检测系统之外,在应用系统和数据存取层面也强化监控和审核力度。参照、建立和强化对第三方安全产品的评估和审核力度,防范出现不可控的安全事故——安全厂商及其所在主权国家监管机关通过后门技术或系统回传等功能窃取商业机密及用户个人信息。

四、在流程控管方面,除了强化供应链安全方面的风险评估之外,应该强化帐户和权限的管理,建立和改善企业与供应链之间的帐户与权限管理机制,进行供应链用户进行定期的业务需求及访问权限相关的回顾,启用双重身份验证机制,防止出现身份效用、帐户密码权限分享、离职人员帐户未及时删除等安全隐患。

五、在人员管理方面,不能仅仅例行公事般,让员工和供应链人员草草签署保密协定。问一问,人们真正的理解保密协定中的内容和精神吗?我们要沟通教育,要让人们理解这些保密协定的核心内容,并且真正认可和接受它们。如果在特定的社会环境和发展年代之下,职场人士的职业道德水平普遍较低下,那么在沟通教育方面,必要的反面的教育典型一定不可少,只有在足够的警示效应和惩戒威慑下,人们才会真正的尊重规则和遵守契约。

当前,我国经济面临产业升级和结构调整的大好机遇,深化国有企业和国资改革必将兼并重组一大批公司。在传统产业向产业链、价值链的高端延伸时,供应链安全威胁必将愈演愈烈。而在人均国民收入不断上升,劳动力红利逐渐消失,劳动密集性产业向东盟国家大规模转移的大趋势下,全球及区域供应链安全威胁的管理能力,必将成为企业管理的一项核心工作。请让我们做好准备!

昆明亭长朗然科技有限公司,专注于帮助各类型的机构强化人员的信息安全管理,除了针对内部员工的安全意识培训视频教程之外,我们也提供针对管理层的简要业务安全课程。这些课程重在讲信息安全相关的道理,也是实现企业安全文化建设的重要智力源泉。欢迎各位业务安全管理界的专业人员与我们联系,洽谈业务信息安全相关的培训合作。

贸易战和科技战考验着业务持续性管理能力

不用怀疑的是,大国间的贸易战和科技战还将继续下去,虽然没有滚滚的销烟,但却会实实在在地影响到许多企业与人员,特别是企业主和管理人员。通过媒体,我们看到有一些涉事的明星公司,在贸易战和科技战中有着不同的表现。具体举例来讲,在遭遇核心部件断供时,有的公司似乎没有做好准备,有的公司则启用了备胎转正计划;有的公司宣称有一年的核心部件存货,有的公司则被传存货撑不了三个月。

如今,高科技产品更新换代很快,全球供应链非常精密且相互联系,尽管是否需要那么长时间的配件备货令人怀疑,但是“有备无患”的风险管理教训却值得我们探究。对此,昆明亭长朗然科技有限公司业务连续性讲师董志军说:国际政商环境看起来复杂,实际上有其规律,大国之间的利益博弈是永久的话题,尽管野心勃勃的政治家们会对贸易均衡问题、知识产权问题、行业准入限制等等问题等等加以利用,但是也担心玩儿得过火,反过来烧到自己,所以我们可以预测:爆发全面的贸易冲突可能仍然较低,但是小规模冲突将连续不断。

严厉的贸易和科技制裁足以让管理体系和制度相对完善的跨国公司元气大伤,何况还有很多没有准备好的规模较小的企业。对他们来讲,一次小规模的贸易冲突足以致命,假使跨国贸易的利润为20%,当关税加到30%至50%时,生意肯定没得搞了。当然,您可能觉得那可能只是严重依赖出口美国的外贸公司,或者严重依赖美国高科技进口的公司。其实不然,这是一个全球很紧密的产业链,可以说环环相扣,试想如果您的供应商的供应商倒了,您的企业日子能好过吗?

要预见到可能的供应链中断,进而准备好备用计划。董志军说:贸易战和科技战可能蔓延至更多国家,英、德、法、日、加、澳、韩等美国的盟国也可能受到美国的制裁,但是不要指望美国和欧盟、日韩就能乱打一气,他们仍然有很多共同的利益点。不过,受到美国关税袭击的欧盟和日韩中也可能造成新的供应链中断,即某些公司受到严重影响而倒闭。对此,公司必须知道他们的供应商以及供应商的供应商在哪里,以便预见到中断并安排备用供应。同时,还需要敏捷地设计产品,避免依赖独家供应商,并与物流公司等合作伙伴密切协作。当然,还需要密切监控时局,如果展开了国与国之间的贸易战,就可注意到哪些供应商可能受到影响。

国际业务连续性研究中心的一项调查表明,72%的公司根本没有完全了解其供应链,更不了解如何保障供应链的弹性。同时,85%的大中型企业机构缺乏业务持续性计划,92%公司没有做好应对不确定性的充分准备。

具有前瞻性思维的公司往往会通过各种管理和技术手段来发现新出现的问题。当然,对于科技公司来讲,供应链往往很庞大,需要复杂的多学科的知识,当然更多的是强化供应商情报的获取,这都需要员工的专业,以及与其他公司进行相关的合作与分享。

您所在的企业有准备好了么?如果答案不肯定,那么您应该主导开发一个以降低风险为导向的业务持续性管理计划,当然您不可能是全能的英雄,您需要管理层与相关员工们的大力理解和支持,与他们沟通您的业务持续性担忧和想法,对于成功至关重要。昆明亭长朗然科技有限公司可以帮助您,我们开发了一个简短的,约20分钟的业务持续性管理意识培训课程,可以帮助您,以及您公司的相关人员,快速了解业务持续性管理的来龙去脉。

欢迎您联系我们,洽谈业务连续性管理意识课程的采购,当然,如果您对本话题有自己独特的看法,也欢迎和我们聊一聊。如下是我们的联系方式。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898