في العصر الرقمي، لا تعد سلاسل التوريد مجرد وسيلة لحركة السلع المادية، ولكنها أيضًا شبكة معقدة من أنظمة البرمجيات المتشابكة. على هذا النحو، يجب على كبار مسؤولي سلسلة التوريد (CSCO) التركيز على استراتيجيات الأمن السيبراني القوية لحماية هذه النظم البيئية المعقدة واعتماد نهج متعدد الطبقات للأمن السيبراني أثناء قيامهم بتوسيع شبكات سلسلة التوريد الخاصة بهم.
يتيح وجود قائمة مواد البرامج لموظفي CSCO تقييم الوضع الأمني لمورديهم ويمكن أن يساعدوا في تحديد المخاطر المحتملة المرتبطة ببرامج الطرف الثالث والتخفيف منها. والخطوة الأساسية الأخرى في هذا النهج هي العناية الواجبة الشاملة للشركاء والبائعين الجدد.
يوضح براد لابورت، مستشار Tidal Cyber، في مقابلة عبر البريد الإلكتروني: “إن فهم مواقف الأمن السيبراني لهؤلاء المتعاونين المحتملين أمر بالغ الأهمية”. “إنه يسمح لمديري أمناء الشركات (CSCO) بفهم المخاطر التي تنطوي عليها والتأكد من توافق الشركاء مع التوقعات الأمنية للمؤسسة.”
ويشير إلى أن تنفيذ مجموعة موحدة من معايير الأمن السيبراني عبر سلسلة التوريد أمر حيوي أيضًا.
يقول لابورت: “يضمن هذا أن كل رابط في السلسلة يلتزم بالممارسات الأمنية الأساسية الراسخة، مما يخلق دفاعًا موحدًا ضد التهديدات السيبرانية”. “إن هذا التوحيد لا يبسط إدارة الأمن فحسب، بل يعزز أيضًا ثقافة الأمان داخل الشبكة بأكملها.”
من وجهة نظر لابورت، يعد نهج الثقة المعدومة عنصرًا رئيسيًا آخر في استراتيجية الأمن السيبراني القوية. ويوضح قائلاً: “من خلال العمل على مبدأ عدم افتراض الثقة مطلقًا والتحقق منها دائمًا، يمكن لموظفي CSCO تقييد الوصول إلى البيانات الحساسة والتحكم فيه بشكل كبير”. “في نموذج الثقة المعدومة، يعد التحقق عملية مستمرة، مما يجعل الأمن أولوية مستمرة.”
إجراء تقييمات منتظمة للمخاطر
يشير ديليب باتشواني، كبير مسؤولي التكنولوجيا في Qualys، إلى أنه ينبغي على CSCOs إجراء تقييمات منتظمة للمخاطر لكل شريك، حيث أن المخاطر ونقاط الضعف تتطور باستمرار. “علاوة على ذلك، يجب على CSCOs العمل بشكل وثيق مع قادة أمن تكنولوجيا المعلومات لبناء سلاسل توريد رقمية آمنة ومرنة،” صرح لـ InformationWeek عبر البريد الإلكتروني.
في حين أن CSCOs وقادة أمن تكنولوجيا المعلومات لديهم أدوار ومسؤوليات متميزة، إلا أن هناك بعض الأهداف المتداخلة، مثل العمليات دون انقطاع وتحسين إدارة المخاطر.
يوضح باتشواني: “كلما تمكنت هاتان الوظيفتان التنظيميتان من العمل معًا لتحقيق أهدافهما المشتركة، أصبحت منظماتهما أقوى”.
للتأكد من أنهم يعظمون نقاط القوة لدى بعضهم البعض، من المهم أن يجتمع CSCO وقادة أمن تكنولوجيا المعلومات بانتظام لتبادل المعلومات والأفكار لتحسين مؤسساتهم. يقول باتشواني: “على سبيل المثال، يمكن لكل منهم مشاركة معلومات التهديدات الخاصة بهم مع بعضهم البعض، سواء كان الأمر يتعلق بالهجمات الإلكترونية أو نقاط الضعف في سلسلة التوريد، حتى تتمكن فرقهم من الاستعداد للمخاطر ومعالجتها بشكل استباقي”.
يمكنهم أيضًا العمل على تطوير وتنفيذ مبادئ توجيهية ومعايير مشتركة للأمن السيبراني وحماية البيانات، بما في ذلك شركاء سلسلة التوريد.
ويقول لابورت إن أي شراكة يجب أن تكون متجذرة في ثقافة التعاون والشفافية، وتبادل أفضل الممارسات والمعلومات الاستخبارية حول التهديدات الناشئة. ويوضح قائلاً: “من خلال العمل معًا على التخطيط الأمني الاستراتيجي، يمكن لكل من CSCOs وقادة أمن تكنولوجيا المعلومات التأكد من أن سياساتهم وإجراءاتهم ليست حديثة فحسب، بل أيضًا ذات تفكير تقدمي”.
يعد هذا التعاون ضروريًا للقضاء على “عقلية الصومعة” و”متلازمة الذئب المنفرد” الضارة، حيث تعمل الأقسام في عزلة ولا يتم تبادل المعلومات بشكل فعال.
ويشير إلى أنه “عندما يوحد مديرو أمن تكنولوجيا المعلومات وقادة أمن تكنولوجيا المعلومات خبراتهم ومواردهم، فإن المنظمة لديها فرصة أفضل بكثير للدفاع ضد التهديدات السيبرانية والتخفيف من تأثيرها”.
دور الامتثال التنظيمي
يلعب الامتثال التنظيمي دورًا حيويًا في كيفية بناء استراتيجيات الأمن السيبراني: توفر تفويضات الامتثال مثل القانون العام لحماية البيانات (GDPR) وإطار عمل الأمن السيبراني NIST أسسًا لحماية البيانات والتحكم في الوصول والاستجابة للحوادث.
يقول باتشواني: “مع وجود هذه الخطوط الأساسية، يمكن للمؤسسات ضمان وجود مستوى معين من الأمان عبر جميع شركاء سلسلة التوريد، مما يقلل من مشهد المخاطر الإجمالي”. “الامتثال يعزز أيضًا ثقافة الأمان، مما يؤدي إلى التحسين المستمر.”
ويضيف أن الضغط للوفاء بالمعايير التنظيمية يتطلب تقييمات مستمرة للمخاطر، وممارسات استباقية لإدارة المخاطر، وتصحيح الثغرات بشكل منتظم، مما يعطي الأولوية للأمن السيبراني في عملية صنع القرار.
ويشير باتشواني إلى أن “الأطر التنظيمية غالبًا ما تكون مصحوبة بغرامات باهظة وتلحق الضرر بسمعة أولئك الذين لا يلتزمون بها”. “وهذا يحفز الجميع داخل سلسلة التوريد على إعطاء الأولوية للأمن السيبراني والاستثمار في ضمانات قوية.”
يقول كريستوفر وارنر، كبير المستشارين الأمنيين في شركة GuidePoint Security، إن الأطر التنظيمية غالبًا ما تحدد الضوابط والمعايير الأمنية التي يجب على المؤسسات اتباعها.
ويقول عبر البريد الإلكتروني: “تعمل هذه الضوابط كأساس لأفضل ممارسات الأمن السيبراني ضمن سلاسل التوريد، وتؤثر على اختيار تقنيات الأمان وتنفيذ السياسات الأمنية”.
ويضيف أن الامتثال التنظيمي غالبًا ما يتضمن عمليات التدقيق والتقييم من قبل الهيئات التنظيمية أو مدققين ومقيمين خارجيين.
ويوضح قائلاً: “يجب أن تكون المؤسسات في سلسلة التوريد مستعدة لإثبات تدابير الأمن السيبراني الخاصة بها والالتزام بمتطلبات الامتثال خلال هذه التقييمات”.
يقول لابورت إنه مع تزايد انتشار سلاسل التوريد الرقمية، يجب على مديري تكنولوجيا المعلومات أن يقودوا اعتماد استراتيجيات الأمن السيبراني المتقدمة، وتعزيز الشراكات مع قادة أمن تكنولوجيا المعلومات، ودمج الامتثال التنظيمي في إطار الأمن الخاص بهم. ويشير إلى أنه “من خلال تنفيذ هذه الممارسات، يمكن للمؤسسات بناء سلاسل توريد مرنة قادرة على تحمل المشهد المتطور للتهديدات السيبرانية”.
