زمانی‌که NIST (موسسه ملی استانداردها و تکنولوژی) چارچوب امنیت مجازی خود را بروزرسانی کرد، فقط یک دسته جدید اصلی اضافه کرد: مدیریت ریسک زنجیره تامین (supply chain risk management). این بخش با قرار گرفتن در چارچوب تابع “شناسایی”، رویکردهای سنتی مدیریت فروشندگان را در بر می‌گیرد و حتی به طور معمول پا را فراتر از آن نیز می‌گذارد. دلیل این امر اینست که زنجیره تأمین معمولا فراتر از تأمین‌کنندگان می‌رود تا سایر بخش‌های خارجی مانند شرکت‌های تلفیق‌کننده و حتی شرکت‌های ارائه دهنده خدمات ارتباطیِ شخص ثالث را نیز شامل شود.

درک کامل این موضوع، از مدیریت آن دشوارتر است. برای لحظه‌ای در نظر بگیرید که NIST به طور گسترده‌ای زنجیره تامین مجازی را به عنوان یک “مجموعه متصل از منابع و فرآیندها بین ردیف‌های متعدد توسعه‌دهندگان که با تهیه محصولات و خدمات آغاز می شود و از طریق طراحی، توسعه، تولید، پردازش، بررسی و تحویل محصولات و سرویس‌ها به خریدار، توسعه می‌یابد” تعریف کند.

مدیریت زنجیره تامین با افزایش خدمات ابری، که بیشترِ سازمان‌ها فاقد هر گونه دید، درک و یا کنترل بر روی توسعه، تلفیق یا استقرار فناوری اساسی آن هستند، با چالش بیشتری (گرچه شاید با ریسک کمتری) روبرو می‌شود.

بنابراین، چه سازماندهی‌ای باید انجام داد؟ با یادآوری چهار رکن SCRM مجازی: امنیت، یکپارچگی، انعطاف‌پذیری و کیفیت، بر روی ماهیت کالا تمرکز کنید.

رویکرد پنج مرحله‌ای برای مدیریت ریسک زنجیره تأمین

  • اول، برنامه خود را بسازید. بررسی کنید که آیا سازمان شما فرآیندهای کافی (یا حتی حداقل) را در اختیار دارد تا چگونگی تاثیر مسائل زنجیره عرضه بر اهداف اصلی کسب ‌وکار را توضیح دهد.
  • دوم، وابستگی‌های خارجی خود را به ترتیب اهمیت فهرست کنید. همانند کلیه مسائل مدیریت ریسک، مسائل مربوط به زنجیره تأمین باید ارزیابی و سپس اولویت‌بندی شوند.
  • سوم، الزامات امنیتی تأمین‌کننده را بنویسید. در این راستا نه تنها خواندن متن خوب، بلکه همچنین نوشتن متن خوب ضروری است.
  • چهارم، به دنبال ممیزی‌ها از طرف شخص ثالث باشید. بجای اینکه این کارها را خودتان انجام دهید، به دنبال تأمین‌کننده‌هایی باشید که متخصصان لایق و مستقل را برای اعمال ارزیابی‌های دوره‌ای معمول، استخدام می‌کنند.
  • پنجم، با مهم‌ترین تأمین کنندگان ملاقات کنید. شروع کنید به ارزیابی آن‌ها که آیا آن‌ها یک نقطه شکست برای سازمان شما هستند یا نه. اگر چنین است باید در فکر چاره باشید. حتی ممکن است یک دعوتنامه برای فروشندگان مهم برای شرکت در جلسات بحث‌و‌گفتگوی خود بفرستید.

برای ایجاد انگیزه، لازم به یادآوری است که ریسک زنجیره تامین مبحثی نظری نیست. کمتر از یک سال پیش، درباره تهدید مداوم و پیشرفته‌ای که قربانیان اولیه آن “سازمان‌های فرعی مانند تامین‌کنندگان مورد اعتماد شخص ثالث با شبکه‌هایی با امنیت پایین هستند هشدار داده شد. با این حال اهداف نهایی، نهادها و سازمان‌های دولتی فعال در بخش‌های انرژی، هسته‌ای، آب، حمل‌و نقل‌هوایی و تولیدات مهم است. اگر سازمان شما تامین‌کننده باشد، این مثال می‌تواند از اهمیت ویژه‌ای برخوردار باشد. همانطور که چارچوب اصلاح‌شده روشن می‌کند، SCRM مجازی نه تنها تاثیر امنیت مجازی بخش‌های خارجی بر روی یک سازمان، بلکه همچنین تاثیر امنیت مجازی یک سازمان بر بخش‌های خارجی را بررسی می‌کند.

در نهایت، شایان ذکر است که تعدیل و کاهش خطرات زنجیره تامین یک فعالیت دائمی است. با وجود مدیریت ریسک زنجیره تأمین زمانی که شرایط در حال بهتر شدن نیست، سازمان شما می‌تواند به کار خود ادامه داده و پیشرفت کند.