Три шага к защите цепей поставок под давлением

Задача обеспечения все более сложных, гибких и оперативных цепочек поставок за последний год значительно выросла. Давление пандемии привело к растяжению и напряжению цепочек поставок, вынуждая предприятия быстро выявлять и строить новые маршруты, формировать новые партнерские отношения и обеспечивать стабильный поток продукции в условиях значительных колебаний спроса. В то время как некоторые рынки сократились из-за упадка обычных магазинов, другие процветали благодаря возросшему спросу на поставки.

Хотя суть проблемы остается прежней, поддерживать стандарты безопасности стало труднее. Необходимость поддерживать производственные линии в работе в сложных условиях заставила многие организации отодвинуть на второй план информационную безопасность. Существует реальная опасность, которую необходимо устранить, чтобы избежать катастрофических утечек данных в предстоящем году. По мере развития цепочек поставок компании должны постоянно держать в поле зрения информационную безопасность. Вот три шага, которые им следует предпринять для достижения этой цели.

Определите, в чем заключается риск. В связи с высокой долей инцидентов безопасности, исходящих от сторонних поставщиков и поставщиков, компании должны найти время, чтобы должным образом оценить свои цепочки поставок через призму информационной безопасности. Акцент на производстве и распространении понятен в нынешних условиях, но ни одна компания не может позволить себе игнорировать безопасность. Задержки в планировании, вызванные удаленной работой и срывом из-за пандемии, усугубляют ситуацию, создавая новые возможности для проникновения злоумышленников внутрь.

Углубленная оценка партнеров по цепочке поставок имеет решающее значение. Какая информация передается и с кем? Создайте четкую и полную картину своих данных и сопоставьте ее с бизнес-целями, чтобы определить, где скрываются ненужные риски. В некоторых случаях можно уменьшить или даже исключить раскрытие данных. Следует пересмотреть области непропорционального риска, в которых обмен информацией не является критичным для бизнеса.

Имея полностью категоризированный список поставщиков, в котором критичность бизнеса сбалансирована с риском информационной безопасности, вы можете принимать обоснованные решения. Уязвимости поставщика необходимо уменьшить, иначе они могут стать вашими собственными. Желательна более глубокая интеграция цепочек поставок, обусловленная обещанием прозрачности в реальном времени и более эффективного сотрудничества, но управление рисками должно быть встроено в технологии, обеспечивающие надзор.

Встраивайте требования безопасности в контракты с поставщиками. Переговоры по контрактам могут быть сложными и длительными, но быстрые изменения в ландшафте в этом году усилили необходимость быстрого заключения сделок. О безопасности часто думают второстепенно и часто воспринимают как препятствие на пути к соглашению. Применять стандарты безопасности задним числом крайне сложно. Построение безопасной и соответствующей требованиям инфраструктуры не является задачей, которую следует выполнять в условиях жестких временных ограничений; это рецепт катастрофы.

Включите в процесс специалистов по безопасности до того, как контракты будут выставлены на торги. Когда требования четко определены с самого начала, это может помочь упростить переговоры и ускорить достижение договоренностей. Ясность является ключевым моментом в контрактах, поэтому предоставление рекомендаций для различных случаев и перечисление рекомендуемых шагов выгодно как для компании, так и для поставщика.

Разработайте структуру, которая отвечает потребностям компании в безопасных партнерских отношениях, и поддерживайте ее в актуальном состоянии. Точно укажите, какая информация вам нужна от поставщиков и каких процессов они должны придерживаться. Если вы сделаете информационную безопасность частью процесса с самого начала, нет причин, по которым это должно мешать переговорам. Ясность поможет вам разрешить любые инциденты или споры, которые возникают намного более эффективно.

Обеспечьте отслеживание рисков в режиме реального времени. Меняются бизнес-цели, появляются новые технологии со своими собственными уязвимостями, а оценки рисков стареют и начинают ухудшаться. Моментального снимка рисков цепочки поставок недостаточно, чтобы построить безопасную основу. Вам необходимо установить постоянный мониторинг всей цепочки поставок, чтобы в режиме реального времени получать информацию о возникающих угрозах и потенциальных сбоях.

Хотя повторное выполнение углубленных аудитов может оказаться нежизнеспособным, существуют автоматизированные инструменты, которые можно использовать для выявления новых угроз безопасности, что дает вам возможность устранить их до того, как они перерастут в проблемы. Подумайте, какая информация требуется для оценки стандартов безопасности вашего поставщика, и постарайтесь создать систему отчетности, которая может предоставить вам самые свежие данные.

Цепочка поставок никогда не бывает высечена на камне. Его следует постоянно оценивать и улучшать, чтобы безопасно приносить максимальные выгоды для бизнеса. Необходимо противостоять искушению принизить важность безопасности под давлением, с которым организации сталкиваются прямо сейчас, потому что это ставит под угрозу здоровье и жизнеспособность бизнеса в долгосрочной перспективе.

Эти три шага всегда составляли неотъемлемую часть безопасности цепочки поставок, но сейчас они более важны, чем когда-либо прежде. Вызывает беспокойство резкое увеличение числа кибератак, направленных на цепочки поставок. Неопределенность стимулирует спрос на гибкость, побуждая переходить к все более сложным цифровым цепочкам поставок, которым не хватает зрелости с точки зрения безопасности. Эти тенденции обязательно сохранятся. Решительные действия по управлению рисками цепочки поставок и повышению устойчивости принесут дивиденды в ближайшие месяцы.

Стив Дурбин - генеральный директор Форум информационной безопасности .