فناوری اطلاعات و فناوری عملیات (IT / OT) به یک اکوسیستم زنجیره تأمین پیچیده، با توزیع عمومی و بههم پیوسته متکی است تا راهحلهایی بهبودیافته، مقرون به صرفه و قابل استفاده مجدد ارائه دهد. این اکوسیستم دارای چندین رده برونسپاری، مسیرهای توزیع متنوع، فناوریهای مناسب، قوانین، سیاستها، رویهها و عملیات است، که همگی در طراحی، ساخت، توزیع، استقرار، استفاده، نگهداری و مدیریت محصولات و خدمات فناوری اطلاعات و عملیات تعامل دارند. سازمانها خواسته یا ناخواسته بهطور فزایندهای در معرض ریسک زنجیره تأمین هستند.
عواملی که امکان کم هزینه بودن، قابلیت همکاری، نوآوری سریع، تنوع ویژگیهای محصول و سایر مزایا را فراهم میکند، ریسک به خطر افتادن زنجیره تأمین مجازی را افزایش میدهند، که ممکن است خطراتی را برای کاربر نهایی درپی داشته باشد. مدیریت ریسک زنجیره تأمین مجازی مستلزم اطمینان از یکپارچگی، امنیت، کیفیت و انعطافپذیری زنجیره تأمین، محصولات و خدمات آن است. مخاطرات زنجیره تأمین مجازی شامل ورود موارد تقلبی، تولید غیرمجاز، دستکاری، سرقت، ورود نرمافزارها و سختافزارهای مخرب و همچنین روشهای ضعیف تولید و توسعه در زنجیره تأمین مجازی است.
مدیریت ریسک زنجیره تأمین مجازی (C-SCRM) فرایند شناسایی، ارزیابی و کاهش خطرات مرتبط با ماهیت توزیع شده و بههم پیوسته زنجیرههای تامین محصول و خدمات IT / OT است. این کل چرخه عمر یک سیستم را شامل میشود (از جمله طراحی، توسعه، توزیع، استقرار، اکتساب، نگهداری و تخریب) زیرا تهدیدات و آسیبپذیریهای زنجیره تأمین ممکن است خواسته یا ناخواسته یک محصول یا خدمات IT / OT را در هر مرحله به خطر بیاندازد.
رویکرد NIST / ITL
برنامه NIST C-SCRM در سال 2008 و با آغاز توسعه اجرای C-SCRM برای سیستمهای امنیتی غیرملی، در پاسخ به ابتکارعمل جامع ملی امنیت مجازی (CNCI) شماره 11 شروع شد. از آن زمان NIST با ذینفعان گوناگونی از سرتاسر دولت، صنعت و آکادمیها همکاری کرده است تا فناوریها، ابزارها، تکنیکها، شیوهها و استانداردهای مفید در ایمنسازی زنجیره تأمین مجازی را شناسایی و ارزیابی کند.NIST به تحقیق در مورد وضعیت C-SCRM در بخشهای دولتی و خصوصی، استانداردها و ابتکارات مرتبط، شیوههای مؤثر و معیارها میپردازد. علاوه بر این، برای انجام تحقیقات در این زمینه و همچنین تهیه ابزار همکاری و ارزیابی ریسک مبتنی بر وب، چندین کمک مالی انجام داده است. رویکرد NIST به C-SCRM شامل نکات کلیدی زیر است:
اقدامات بنیادی
C-SCRM در میانه امنیت مجازی و مدیریت ریسک زنجیره تأمین قرار میگیرد. شیوههای موجود در زمینه امنیت مجازی و زنجیره تأمین، پایه و اساس ایجاد یک برنامه موثر C-SCRM را فراهم میکند.
در سطح سازمان
C-SCRM مؤثر، فعالیتی در سطح سازمان است که شامل هر رده سازمانی (سازمان، مأموریت یا فرآیندهای تجاری و سیستمهای اطلاعاتی)، عملکردهای مختلف سازمانی (امنیت مجازی، مدیریت زنجیره تأمین، خرید یا تهیه، قانونی بودن، مهندسی و غیر) است، که در درون چرخه عمر توسعه سیستم پیاده سازی میشود.
فرآیند مدیریت ریسک
C-SCRM باید به عنوان بخشی از فعالیتهای جامع مدیریت ریسک سازمانی اجرا شود. فعالیتها باید شامل شناسایی و ارزیابی ریسکهای قابلاجرا، تعیین اقدامات کاهنده مناسب، تهیه یک برنامه C-SCRM برای مستندسازی سیاستهای منتخب و اقدامات کاهنده و نظارت بر عملکرد در برابر آن طرح باشد. از آنجا که زنجیرههای تأمین مجازی در بین سازمانها و در درون سازمانها متفاوت است، برنامه C-SCRM باید متناسب با زمینههای فردی سازمان باشد.
ریسک
خطرات زنجیره تأمین مجازی با فقدان بینش، درک و کنترل بسیاری از فرایندها و تصمیمات درگیر در توسعه، اکتساب و تحویل محصولات و خدمات IT / OT همراه است.
تهدیدات و آسیبپذیریها
مدیریت مؤثر خطرات زنجیره تأمین مجازی نیاز به یک دید جامع از تهدیدات و آسیبپذیریها دارد. تهدیدها میتوانند «خصمانه» (به عنوان مثال دستکاری، جعل) یا «غیرخصمانه» (به عنوان مثال کیفیت پایین، بلایای طبیعی) باشند. آسیب پذیری ممکن است «داخلی» (به عنوان مثال رویههای سازمانی) یا «خارجی» (به عنوان مثال بخشی از زنجیره تأمین سازمان) باشد.
سیستمهای بحرانی
کاهش ریسک زنجیره تأمین مقرون به صرفه، سازمانها را ملزم به شناسایی سیستمها یا مؤلفههایی میکند که آسیبپذیر هستند و در صورت به خطر انداختن، بیشترین تأثیر سازمانی را به دنبال خواهند داشت.