فناوری اطلاعات و فناوری عملیات (IT / OT) به یک اکوسیستم زنجیره تأمین پیچیده، با توزیع عمومی و به‌هم پیوسته متکی است تا راه‌حل‌هایی بهبودیافته، مقرون به صرفه و قابل استفاده مجدد ارائه دهد. این اکوسیستم دارای چندین رده برون‌سپاری، مسیرهای توزیع متنوع‌، فناوری‌های مناسب، قوانین، سیاست‌ها، رویه‌ها و عملیات است، که همگی در طراحی، ساخت، توزیع، استقرار، استفاده، نگهداری و مدیریت محصولات و خدمات فناوری اطلاعات و عملیات تعامل دارند. سازمان‌ها خواسته یا ناخواسته به‌طور فزاینده‌ای در معرض ریسک زنجیره تأمین هستند.

عواملی که امکان کم هزینه بودن، قابلیت همکاری، نوآوری سریع، تنوع ویژگی‌های محصول و سایر مزایا را فراهم می‌کند، ریسک به خطر افتادن زنجیره تأمین مجازی را افزایش می‌دهند، که ممکن است خطراتی را برای کاربر نهایی درپی داشته باشد. مدیریت ریسک زنجیره تأمین مجازی مستلزم اطمینان از یکپارچگی، امنیت، کیفیت و انعطاف‌پذیری زنجیره تأمین، محصولات و خدمات آن است. مخاطرات زنجیره تأمین مجازی شامل ورود موارد تقلبی، تولید غیرمجاز، دستکاری، سرقت، ورود نرم‌افزارها و سخت‌افزارهای مخرب و همچنین روش‌های ضعیف تولید و توسعه در زنجیره تأمین مجازی است.

مدیریت ریسک زنجیره تأمین مجازی (C-SCRM) فرایند شناسایی، ارزیابی و کاهش خطرات مرتبط با ماهیت توزیع شده و به‌هم پیوسته زنجیره‌های تامین محصول و خدمات IT / OT است. این کل چرخه عمر یک سیستم را شامل می‌شود (از جمله طراحی، توسعه، توزیع، استقرار، اکتساب، نگهداری و تخریب) زیرا تهدیدات و آسیب‌پذیری‌های زنجیره تأمین ممکن است خواسته یا ناخواسته یک محصول یا خدمات IT / OT را در هر مرحله به خطر بیاندازد.

رویکرد NIST / ITL

برنامه NIST C-SCRM در سال 2008 و با آغاز توسعه اجرای C-SCRM برای سیستم‌های امنیتی غیرملی، در پاسخ به ابتکارعمل جامع ملی امنیت مجازی (CNCI) شماره 11 شروع شد. از  آن زمان NIST با ذی‌نفعان گوناگونی از سرتاسر دولت، صنعت و آکادمی‌ها همکاری کرده است تا فناوری‌ها، ابزارها، تکنیک‌ها، شیوه‌ها و استانداردهای مفید در ایمن‌سازی زنجیره تأمین مجازی را شناسایی و ارزیابی کند.NIST به تحقیق در مورد وضعیت C-SCRM در بخش‌های دولتی و خصوصی، استانداردها و ابتکارات مرتبط، شیوه‌های مؤثر و معیارها می‌پردازد. علاوه بر این، برای انجام تحقیقات در این زمینه و همچنین تهیه ابزار همکاری و ارزیابی ریسک مبتنی بر وب، چندین کمک مالی انجام داده است. رویکرد NIST به C-SCRM شامل نکات کلیدی زیر است:

اقدامات بنیادی

C-SCRM  در میانه امنیت مجازی و مدیریت ریسک زنجیره تأمین قرار می‌گیرد. شیوه‌های موجود در زمینه امنیت مجازی و زنجیره تأمین، پایه و اساس ایجاد یک برنامه موثر C-SCRM را فراهم می‌کند.

در سطح سازمان

C-SCRM مؤثر، فعالیتی در سطح سازمان است که شامل هر رده سازمانی (سازمان، مأموریت یا فرآیندهای تجاری و سیستم‌های اطلاعاتی)، عملکردهای مختلف سازمانی (امنیت مجازی، مدیریت زنجیره تأمین، خرید یا تهیه، قانونی بودن، مهندسی و غیر) است، که در درون چرخه عمر توسعه سیستم پیاده سازی می‌شود.

فرآیند مدیریت ریسک

C-SCRM باید به عنوان بخشی از فعالیت‌های جامع مدیریت ریسک سازمانی اجرا شود. فعالیت‌ها باید شامل شناسایی و ارزیابی ریسک‌های قابل‌اجرا، تعیین اقدامات کاهنده مناسب، تهیه یک برنامه C-SCRM برای مستندسازی سیاست‌های منتخب و اقدامات کاهنده و نظارت بر عملکرد در برابر آن طرح باشد. از آنجا که زنجیره‌های تأمین مجازی در بین سازمان‌ها و در درون سازمان‌ها متفاوت است، برنامه C-SCRM باید متناسب با زمینه‌های فردی سازمان باشد.

ریسک

خطرات زنجیره تأمین مجازی با فقدان بینش، درک و کنترل بسیاری از فرایندها و تصمیمات درگیر در توسعه، اکتساب و تحویل محصولات و خدمات IT / OT همراه است.

تهدیدات و آسیب‌پذیری‌ها

مدیریت مؤثر خطرات زنجیره تأمین مجازی نیاز به یک دید جامع از تهدیدات و آسیب‌پذیری‌ها دارد. تهدیدها میتوانند «خصمانه» (به عنوان مثال دستکاری، جعل) یا «غیرخصمانه» (به عنوان مثال کیفیت پایین، بلایای طبیعی) باشند. آسیب پذیری ممکن است «داخلی» (به عنوان مثال رویه‌های سازمانی) یا «خارجی» (به عنوان مثال بخشی از زنجیره تأمین سازمان) باشد.

سیستم‌های بحرانی

کاهش ریسک زنجیره تأمین مقرون به صرفه، سازمان‌ها را ملزم به شناسایی سیستم‌ها یا مؤلفه‌هایی می‌کند که آسیب‌پذیر هستند و در صورت به خطر انداختن، بیشترین تأثیر سازمانی را به دنبال خواهند داشت.