我们有几份新的简报,今天我们很高兴为大家带来一份由彼得·史密斯撰写并由riskmethods,提供领先的供应链风险管理平台,帮助用户管理风险,并提供实时风险警报,使机构能够更好地处理风险事件。我们的论文题目是网络攻击-它是什么,为什么你应该关心"。
我们在2017/18年度与该公司共同撰写了五份简短的简报,内容包括地缘政治风险、“人为”风险(罢工等)、声誉风险、供应商财务风险和自然灾害。现在还可以买到在这里.现在,这个系列的最新内容都是关于网络相关风险的。这里有一个节选,让你知道它是关于什么的-但请免费下载整篇论文在这里.
建议的行动和缓解战略
对于许多供应链风险,例如与影响主要供应商的自然灾害有关的风险,组织通常有一个既定的流程来识别、跟踪和分配此类风险的所有权。就网络风险而言,可能是因为它是最近才出现的,其过程往往不那么明确。然而,这种危险可能和大多数其他风险类型一样大。
来自CET-UK(现在是英国国家网络安全组织的一部分)2015年的一份报告称,“供应链中任何一个组织的网络安全都可能与供应链中最弱成员的网络安全一样强大。一个坚定的攻击者,特别是高级持续性威胁(apt),将通过识别供应链中网络安全最薄弱的组织来利用这一点,并利用他们系统中存在的这些漏洞来访问供应链的其他成员。”
任何能够在任何时候访问您组织系统的供应商都可能成为外部威胁和损害的来源。此外还有违反GDPR的风险,例如,这可能发生在供应商组织自己的系统内部。虽然组织总是容易受到犯罪分子最新的迂回行动的攻击,但可以采取措施减少网络攻击对业务的影响。
首先要了解供应基础,并检查哪些公司是潜在的风险来源。然后,买方可以查看供应商合同中的合同条款、将网络风险审查纳入更广泛的合同和供应商管理活动、审计供应公司网络预防措施的权利等步骤。与以往一样,更广泛的风险缓解战略,如设置替代供应来源或适当的保险,可能是相关的。
请注意,这里的一些问题是这样的不遵循战略供应商最需要关注、时间和资源的模式。例如,被视为战术性质的供应商(在营销或数据处理方面)可能持有敏感数据;如果受到攻击,甚至是内部人为错误,根据GDPR,买家可能会被起诉或罚款。这意味着风险必须在整个供应商基础上考虑,而不仅仅是前100家供应商或那些参与战略关系管理(SRM)计划的供应商。
即使您已经成功地建立了识别风险的过程,也必须建立与风险事件响应相关的第二组操作。与其他风险类型一样,尽快了解风险事件何时发生至关重要。例如,如果关键供应商遭受了重大数据泄露,快速了解将使您能够迅速采取行动,并计划适当的行动和响应,从公关活动到可能的替代供应安排。
(在这里下载论文继续阅读).
讨论: