风险管理

关注宏观层面的供应链风险

admin

最近一些年,战争及瘟疫对世界的影响实在是大,一方面,很多粮食和蔬菜没人收割,能源没人开采和运输。另一方面,食品和能源价格飙升,人们的生产生活变得艰难起来,甚至有些国家的元首都以身作则,号召国民多穿衣、省电力。此外,中国企业更是面临如芯片禁运等贸易制裁、运费大涨等商业灾难、招不到人等人为灾难、地震台风等自然灾害的影响。对此,昆明亭长朗然科技有限公司安全顾问董志军表示:灾难事件再次向企业界展示了业务持续性计划和灾难恢复计划的重要性,而突发的贸易战争,使供应链的安全风险成为跨国企业不得不面临的紧迫问题。

缺乏高端芯片、遭遇禁运制裁这种事情,固然可以通过自主研发来彻底解决,但是要何年何月才能自主生产和满足需求?大跃进式的造芯运动,真的就能扶持出市场化的竞争者吗?看着一个个芯片企业倒下,一只只腐败大老虎浮出水面,一片片现代化工厂沦为烂尾楼,真让人痛心!扪心自问,我们似乎走错了路,整个产业链,什么都要自己干,结果呢,别人怕被我们断了活路,干脆不和我们玩儿了,甚至还要联合起来孤立我们。不要忘了当年谁把我们从破产的边缘带出去,接纳并让我们融入到现代文明世界中的了;同时,也不要忘了大家都要活,勤劳的国内人民要活,那些懒散的国外人民也要活。世界一旦失去平衡,贫富差距过大,必然带来利益纷争。有些国家那些懒散的人们,光好吃懒做不说,抢食他人的劳动果实时,掠夺他国的海外资产时,毫无人性底线,只能用凶狠残暴、恶贯满盈来形容。

内循环也不乐观,国进民退之势愈演愈烈,国资和公有制度表面上看起来公平,实则是同贫和滥权,因为激发不了劳动者的积极性和创造力,没有产出和创新。即使占有垄断地位,也是靠剥削廉价劳动者和外包企业才能苦苦维持。一旦政策失误,走向极端,造成企业家躺平,劳动者摆烂,失去希望和斗志,那必定又要慢慢回到处处拮据的年代。因此,我们能讲供应链风险,是在改革开放的前提下,计划经济体制下,一切都是政府包办,要什么供应链?在闭关锁国的情况下,和外部世界没有多少交换,要什么供应链?

当下,在很多行业,我们拥有“全产业链”能力,可以确保自身安全,同时遏制不少西方列强,至少在受到制裁时,可以实施“对等”反制措施。但是这个做法要小心使用,因为“全产业链”中的大部分链条是可以被轻松转移和替代的,是人家当年觉得利润低,自己搞起来不划算,拉着我们一起搞的。现在我们壮实了,但是要擦亮眼睛,保持头脑清醒,不要轻易为一点小事儿就去卡人家的脖子,让人家认为我们忘恩负义的国家,进而采取短时的断臂或割席措施,比如实施制造业回归行动,那样无疑在长远来讲对我们也不利。能参与全球分工,共享人类文明,是我国的幸事,战狼出征,四处树敌,则于国不利。因此,讲供应链的安全,离不开国际政治,离不开人类文明,离不开西方科技,离不开企业家精神。否则,仅靠儒家治世那一套,没有西方文明的供应,今天的我们连电都用不上,想想在唐宋元明清,哪个朝代不是大灾一来,老百姓流离失所,连饭都吃不上,更别谈什么高铁和人工智能了。

不过,即使在国进民退的大背景下,改革开放的大政策不会立即停止或转向,因此话说回来,对于企业来讲,外部供应链风险的变化还是在一定范围内的,所以也就有一些减轻供应链风险的常用方法。首先,囤积一些货,通过确保手头有足够的供应来应对轻微的供应链中断。其次,加强供应商的业务连续性计划审核。确保供应商认真对待供应链的安全性,以便他们制定切实可行的计划来应对任何灾难。最后,分担风险,即使某些供应链成本很低,也需采取多方供应,以便在发生中断时可以轻松切换供应商。在跨国供应方面,特别要注意避免过于集中于某一国家或地区,一些地方有过高的政治不可靠因素,换个总统就可能会导致政策大转向,过度的依赖会给自己添加较高的风险。因此,即使世界似乎正在​​回归自由贸易,减少贸易壁垒,但是政治风险不能遗忘。

最近几年,中美竞争激烈,美国政客们动不动就搞贸易壁垒,对我国出口的产品增加报复性关税,以获得政治利益。这种政治风险很令人头痛,比如国际汽车行业通常会雇用大量工人,这些工人就是选票,政客们要制造工厂在本国,那么供应链也需因政治原因而进入该国,成为“本地”供应商。不过,由于关税和竞争减少,供应商价格将上涨,就造成销售价格上涨。供应受关税保护免受外国竞争的商品的本地公司将在短期内获得更多利润。当然,消费者又会不满意价格过高的产品,这种对立又会被另一批政客加以利用。

关税保护造成另一种政治风险,那就是政治人物造成的导致成本增加或供应有限的风险。因此,必须评估我们与供应商之间的政治距离。政客们是否能够在我们和供应商之间设置贸易壁垒?供应商业务受到贸易纠纷不利影响的政治风险可控性如何?如果他们失去了一个关键的大客户,他们还能撑下去吗?还会继续为我们供货吗?

为了最大限度地减少中断的可能性,采用当地供应商更为可取。将新产品定位在离它所服务的市场更近的地方变得越来越有意义,这是价格和风险之间的平衡。

在可预期的二十年内,保护主义仍将持续,贸易战争将继续下去,供应链风险不可忽视。经济理论表明,随着竞争和选择的减少,买家的处境通常会变得更糟,而一些不受竞争影响的幸运供应商会过得很好。在疫情隔离期,这个经济理论得到了一定的证实。但是供应链是一个复杂的系统,它总是在不断重组以尝试优化自身。即使您认为自己是赢家,也可能只是暂时的,随着制造业和服务业的迁移和重组,您不得不关注供应链风险,并及时保持积极的变化。

昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容,包括业务持续性计划相关的动画视频、平面图片和电子课件等各种形式的内容资源,其中也包含网络安全小游戏,以及互动式、场景式、案例式的教程模块,以及稳定可靠的在线培训平台(学习管理系统),欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品、体验平台的功能以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

信息安全关高管们什么事

admin

IT客户支持人员或一心钻研技术的软件开发人员或网络系统管理员何时都不会认为高管们的电脑操作技术如何了得,这是正常的。同样您可以认为在信息安全方面,高管们也是技术菜鸟,他们甚至搞不定一个病毒,更不会配置复杂的防火墙系统。

但是如果认为高管们在信息安全方面不需要有什么作为,那就大错特错了。IT面临着变化,IT管理员不再是仅仅负责安装电脑和办公软件以及维护网络那些简单的事情了,他们要了解业务流程,要知道如何通过信息系统来推进业务创新和提升生产力。安全专家们同样也面临角色的变化,业务经理们不期望太多的安全规章来限制工作效率,C-Level的大头儿们更是在这经济不景气的时候想着如何能从IT及安全领域省些开支,以帮助顺利渡过冬天。

C-Level高管们可能在经济观察报或华尔街日报上看到一些恶性的安全事件,比如与隔壁竞争者之间的商业机密窃取案,黑客入侵行业内某家跨国大公司,某公司员工在微博上晒了内部敏感文档引发社会关注等等。直到有一天,CEO接连收到几个骗子的忽悠电话和短信之后实在无法忍受,便问首席信息安全官CISO或首席安全官CSO,公司在应对网络诈骗方面有什么良策?员工们是否准备好了?

CISO可能并非安全技术方面的高人,不过他(她)更理解业务、IT与安全,他知晓如何使用商业语言同CEO来沟通这些信息安全问题。无非是商业风险、内部控制、供应链安全、业务持续性计划之类的。当然,更懂安全技术架构和体系的是首席技术安全官CTSO,CTSO当然知道不能完全靠安全技术还实现安全控管的目标,特别是和人密切相关的。

在一个新的项目比如设置一个新的大型分支站点或业务单元时,当CTSO还在想如何架构防火墙、入侵防御系统、漏洞扫描及安全监管平台时,CISO则站在更高的位置思考业务可能面临着的威胁、漏洞和风险,并且开始列举出有效控制这些商业风险所需的众多安全控管措施,当然还有一个问题便是预算和紧要性排序。

这关CEO什么事呢?再回到CEO向CISO或CSO的提问,CISO或CSO的简要而正确的回答无非是:我正好要找您谈论这些,您和其他高管们需要更多参与到信息安全战略和员工安全意识培训活动之中。

的确,信息安全不应该只是安全官员、安全总监和经理主管们的职责,所有人都应该担负起一定的安全职责。让IT负责基础架构和应用程序的安全,安全部更多关注的是物理环境的安全,业务流程和业务信息数据的安全更应该由各业务部门来保障,所以,要让每位员工了解自己的安全职责。而要达到这点,只有进行必要的安全意识教育。而要发动安全意识培训教育活动,仍然要从高层做起,无论CISO或CSO都难以独自担当宣传培训活动的重任,无疑,要协作起来,成立安全意识培训委员会,当然谈到对人员进行培训,不能少掉培训部门的参与,甚至人力资源总监CHO也得进来。

至于信息安全战略的制定,无非也是高层的工作。昆明亭长朗然科技有限公司安全培训顾问Alice Wong说:高层在这方面则应成立信息安全委员会,一来彰显“谁管理,谁负责”,二来由最高层制定的战略文件才能在全公司或集团范围内顺利开展。在安全意识培训活动中,高管们无疑应该做出表率,谈一谈信息安全对公司成功的重要性,向员工们分享一些与工作密切相关的安全经验,比如如何识别和防范社交工程攻击等等。

信息安全会变得越来越难,不过我们可以看到高管们在积极地参与到安全建设之中,不仅仅是出于业务流程、信息系统及数据的安全保障,更是站在公司治理、法规遵循和风险管理的高处,同样,也是保障客户、供应链、销售链等等的信息安全需求。

security-matters