בשנת 2020 שינתה מגפת הקורונה את סדרי העולם. מגיפה זו מאיימת על הצמיחה הכלכלית ברחבי העולם יותר מאשר סנקציות כלכליות, אסונות טבע וכל מפגע אחר הידוע לאנושות במאה השנים האחרונות.
בהמשך למגמה המתרחשת בעשור האחרון, ובעקבות המגיפה שמאיצה ומזרזת תהליכים, חיש מהר עברו חלק גדול מן העובדים בארגונים לעבוד מהבית, יחד עם בני זוגם, הילדים והחותנת. על מנת להמשיך לשרוד, רכשו ויישמו ארגונים עוד ועוד שירותים מנוהלים מספקים הפרוסים ברחבי העולם ומספקים את שירותיהם אי שם מהעננים.
הארגונים הבינו כי פיצול השירותים שהם צורכים בין מספר רב של ספקים הנמצאים בטריטוריות שונות, יסייע להם לבנות חוסן ארגוני, שכן מי יודע איזה אזור יהפוך לפתע אדום ולא יאפשר לספקים לתפקד כראוי.
כל אלה גרמו לכך שארגונים תלויים בשרשרת האספקה יותר מאי פעם. פגיעה בכל אחת מהחוליות בשרשרת יכולה לפגוע באופן ישיר בארגון.
אחד מהסיכונים המהותיים ביותר עבור כל ארגון וכל אחד מספקיו הינו פגיעה הנובעת מהתקפה של שירותיו במרחב הסייבר. ניצול חולשות סייבר בשרשרת האספקה עלול להוביל לפגיעה בזמינות השירות, חשיפת מידע רגיש או פרטי, פגיעה במוניטין של הארגון ועוד.
זיהוי מוקדם של איומים אלו, הערכת הסיכונים של הארגון בעבודה מול ספקים, פיקוח על סיכונים אלה וניהולם, הם הכרחיים להשגת יעדי הארגון. ככל שהשרשרת ארוכה ומבוזרת יותר, כך היא פגיעה יותר. הארגונים פגיעים כמו הספק פגיע ביותר שלהם.
המגיפה תגיע מתי שהוא לסיומה , אבל העולם לא יראה כפי שהוא נראה לפניה. הביזור, התלות בטכנולוגיה, העבודה מרחוק, המעבר לענן, התלות הכבדה בשרשרת האספקה, כל אלה רק ימשיכו ויתעצמו.
אז מה נדרש לעשות על מנת להתמודד עם אתגרים אלה? יש להקים מערך ארגוני, תהליכי וטכנולוגי שיסייע בכך.
היכן מתחילים? בהתחלה כמובן. יש ללמוד ולנתח את השירותים שהארגון צורך מהספקים, זרימת המידע הרגיש אל ומהספקים, לאפיין את הדרך הנכונה להתמודד עם האתגר לרבות קביעת מבנה ארגוני, תפקידים ואחריות, תהליכי עבודה, טכנולוגיות תומכות ועוד. בנוסף, יש לבחון את הרגולציות הרלוונטיות הנדרשות מן הארגון ובהתאמה מן הספקים שלו. כך, למשל, מערכת הביטחון האמריקאית דורשת מכל ספקיה לעמוד בתקן קשוח ששמו בישראל וגם באמריקה CMMC.
בשלב הבא יש לסווג את הספקים השונים של הארגון ולאפיין את דרישות ההגנה של כל סוג ספק בהתאם להשפעתו העסקית של השירות שהוא מספק לארגון, המידע של הארגון ולקוחותיו אליו הוא נגיש והדרישות הרגולטוריות הרלוונטיות
לאחר שאפיינו את סוגי הספקים והדרישות הרלוונטיות לכל סוג, יש למפות את כל הספקים בהתאמה, לדרג אותם ולוודא כי הדרישות הרלוונטיות כלולות בחוזה של הארגון מולם. יש לדרג כל ספק בהתאם לאופי השירותים או לסוג המוצרים אותם הוא מספק לארגון ולאסטרטגיית הארגון. חשוב להגדיר מתודולוגיה ברורה ופשוטה לשם כך.
כעת מעריכים את הסיכון הרלוונטי לכל ספק בהתאם לנתונים הרגישים של הארגון שהספק שומר בחזקתו או אליהם הוא חשוף, ליכולת הגישה של הספק אל הרשת הארגונית, ולליקויים ידועים מסקרי אבטחה, ביקורות או אירועי עבר שהתרחשו אצל אותו ספק.
כאן הסיפור מתחיל, אבל ממש לא נגמר.
בכדי לוודא כי רמת הגנת הסייבר של הספק נשמרת באופן עקבי, יש לבצע סקרי סיכונים שוטפים אצל כל אחד מן הספקים. בוודאי אצל אלה המסווגים ברמת סיכון גבוהה.
אבל סקרת הלכת, זה לא מספיק. יש לבחון את התמודדות עם החולשות והליקויים שהתגלו, ולבצע בקרה וביקורות תכופות כדי להבטיח את שימור יכולות ההגנה של הארגון.
על מנת לבצע את כל האמור, נדרש שירות עקבי ומתמשך המסתמך על איסוף נתונים לאורך שנים. בהינתן מידע זה, יתאפשר למפות, להשוות אותו, ולנתח אותו בכלים סטטיסטיים ואנליטיים.
מרבית הארגונים איתם אני מדבר מודעים לצורך בטיפול סיכונים אלה, אבל הם מתקשים ליישם את התהליך שתיארתי לעיל. הקושי נובע מחוסר במשאבים, מתודולוגיה, כלים ותשומת לב מנהלית המאפשרים להם ליישם זאת באופן יעיל.
למרבה הצער, גם ארגונים אשר מטפלים בנושא באופן עצמאי מבצעים בדרך כלל פעילות חלקית בלבד אשר מתמצה בשליחת שאלונים למספר ספקים פעם בשנה בתקווה שבביקור הבא משהו ישתנה. כמובן כי בכך אין די והדבר אינו מספק מענה מספיק טוב לניהול אפקטיבי ויעיל של סיכוני שרשרת האספקה.
אנחנו מנהלים עבור לקוחותינו, בארץ ובעולם את סיכוני הסייבר הנובעים משרשרת האספקה, מקצה לקצה. כלל הפעולות שתוארו לעיל מתבצעות על ידי הצוות המיומן שלנו, תוך חיסכון משמעותי בזמן, כסף ומשאבים. שילוב של מרכז תפעול הזמין מסביב לשעון, טכנולוגיה מתקדמת וצוות מומחים מהשורה הראשונה, מספק ללקוחתנו ולספקים שלהם מענה מלא ומקיף לנושא.
השירות מאפשר להנהלת הארגון לקבל תמונה שלמה ומלאה באמצעות שלל דוחות בחתכים שונים, דשבורדים להנהלה המציגים את המצב בזמן אמת, יכולת תשאול מתקדמת ויכולת אינטגרציה למערכות ארגוניות.
ארגונים יכולים להשתמש באותה תשתית על מנת לבחון עמידה בדרישות רגולטוריות, תקינה, דרישות הלקוחות של הארגון, ביצוע מבחני חוסן לבחינת עמידות הספקים מפני התקפות, מודיעין עסקי לגבי חשיפת הארגון וספקיו לתקיפות סייבר ועוד.
למידע נוסף על ניהול סיכוני סייבר בשרשרת האספקה >>
צור קשר עם המומחים שלנו >>