في عالم مضطرب تتداخل فيه السياسة مع الاقتصاد تواجه الشركات مستويات متزايدة من عدم اليقين و خصوصاً في موضوع سلاسل التوريد. تتوزع هذه السلاسل عبر مناطق جغرافية متعددة وبالتالي هي عرضة للتعطل لأي سبب. خطر آخر يرتبط بهذا الموضوع هو أمان سلسلة التوريد ذاتها. يضع ذلك ضغوطاً إضافية على مدراء المخاطر في المؤسسات.
أدت الحرب في أوكرانيا -مثلاً- إلى حدوث نقص في المكونات المطلوبة لأغلب الصناعات في وقت لا زال الاقتصاد العالمي يكافح فيه من أجل التعافي من جائحة كورونا. لكن مع أهمية كل ما سبق إلا أن روبودين في هذا المقال الذي يشاركه معكم يركز على الجزئية المرتبطة بأمان سلسلة التوريد.
تستمر المخاوف الأمنية لسلسلة التوريد في النمو. مما يطرح مجدداً أهمية امتلاك إستراتيجية لإدارة المخاطر تتعامل مع احتمال حدوث فشل أمني لأحد الموردين الرئيسيين. مع تزايد الجرائم الإلكترونية ، تقع العديد من الشركات ضحية للفيروسات والبرامج الضارة التي قد تنتقل إلى البائعين والشركاء التجاريين.
حتى الآن ، لم تكن هناك استراتيجية واضحة تعالج هذا الأمر. ولكن ، توجد الآن استراتيجيات وخدمات وأدوات جديدة لتقييم المخاطر من جهات خارجية يمكن أن تساعد في تحديد “نقاط الضعف” الأمنية في سلسلة التوريد الخاصة بشركتك. هل حان الوقت للاستثمار فيها؟
لماذا يشكل بائعو سلسلة التوريد مخاطر أمنية
في عام 2021 ، أفادت دراسة لشركة الأمن السيبراني BlueVoyant ، أن 98٪ من المؤسسات التي شملتها الدراسة قالت إنها تأثرت بخرق أمان سلسلة التوريد. وفي عام 2022 ، في دراسة عالمية شملت 1000 من كبار مسؤولي المعلومات ، قال 82٪ من المشاركين في الاستطلاع إن مؤسساتهم كانت عرضة للهجمات الإلكترونية التي تستهدف سلاسل التوريد الخاصة بهم.
هناك أسباب كثيرة لهذه الإحصائيات والمخاوف. أبرزها:
- الحجم الهائل لسلاسل التوريد الخاصة بالشركة ، والتي يمكن أن تحتوي على مئات الآلاف من الموردين لشركة واحدة.
- اختلاف متطلبات الأمن السيبراني من دولة إلى أخرى.
- عدم استعداد الموردين و تفاوت مستوى وعيهم ومواردهم فيما يتعلق بممارسات الأمن السيبراني .
- نقص الوعي بأمن الموردين في أقسام مثل المشتريات، والتي غالباً ما تصدر طلبات الموردين لتقديم عروض لا تتضمن متطلبات أمان مسبقة لممارسة الأعمال التجارية مع الشركة.
فما هي خطوات إدارة المخاطر التي يمكنك اتخاذها بشكل استباقي لتقليل انتهاكات أمان الموردين؟
تركيز أكبر على أمان سلسلة التوريد
لتأمين سلسلة التوريد الخاصة بك ، يجب أن تدقق وضع المورد بتركيز أعلى. من هم الموردين الأكثر خطورة لديك؟ ما هي البدائل المتاحة لاستبدال المهام المقدمة منهم في حال فشلت أعمالهم أو تعطلت؟
تضمين الأمان في طلبات تقديم العروض من الموردين
تركز إدارات الشركات ، مثل المشتريات، التي تصدر طلبات تقديم العروض RFPs للموردين على الجودة والأطر الزمنية لتسليم المكونات التي يطلبونها. لذلك قد لا يتم لحظ الأمان في طلبات تقديم العروض على الإطلاق. يبدو أنه حان الوقت لتغيير هذا التفكير.
يجب أن تصر الشركات على تضمين الأمن كشرط لممارسة الأعمال التجارية مع مورديها. إذا كان هناك مورد فريد ومهم للغاية ولا يمتلك الموارد اللازمة لتلبية متطلبات الأمان ، فيجب وضع خطة حيث يمكن للشركة مساعدة هذا المورد في أن يصبح متوافقاً مع الأمان. تقوم هذه الشركات أيضاً بتنفيذ عملية تدقيق للموردين سنوياً للتأكد من إجراء التحسينات المطلوبة.
رفع مستوى الوعي بإدارة مخاطر سلسلة التوريد
تتحمل إدارة تكنولوجيا المعلومات قدر مهم من مسؤولية الأمن بالتعاون مع إدارة أمن المعلومات في المؤسسة. لكن ذلك ليس حال بقية الإدارات. لا يتشارك بقية المديرين التنفيذيين بما في ذلك الرئيس التنفيذي ، نفس الوعي الأمني.
يجب على مدير أمن المعلومات أن يضع على جدول أولوياته ضمان أن يكون الجميع على استعداد تام لتنفيذ برنامج أمن معلومات قوي و كذلك توفير الاستثمار المالي اللازم لدعمه وصيانته. كما يجب ،على أساس سنوي ، تقديم عرض لمستوى أمن الشركة وإدارة المخاطر إلى مجلس الإدارة.
تطبيق أدوات أمن سلسلة التوريد
بالإضافة إلى توعية مقدمي الخدمات والإدارات والقادة ، يمكن لتكنولوجيا المعلومات أيضاً استخدام البرامج لتحسين أمان سلسلة التوريد.
أطر البرامج لتقييم البائعين
هناك برامج تجارية توفر قوالب استبيانات أمان يمكنك تخصيصها أثناء صياغة استبيانات الأمان الخاصة بالموردين. تمكّنك مدخلات هذه الاستبيانات من تحديد موردي الأمن الأكثر عرضة للخطر.
محاكاة سلسلة التوريد الرقمية
يمكّنك برنامج التوأم الرقمي digital twin software لسلسلة التوريد من تصميم سلسلة التوريد بالكامل رقمياً، بحيث يمكنك محاكاة سيناريوهات مختلفة لمخاطر سلسلة التوريد.
الذكاء الاصطناعي (AI)
تستخدم الشركات الذكاء الاصطناعي لتخطيط مسارات سلسلة التوريد والتنبؤ بالطقس والكوارث الطبيعية وحتى القضايا السياسية. يساعدها ذلك في تطوير خطط الطوارئ لهذه الاضطرابات المحتملة. و هناك عددًا من أنظمة إدارة مخاطر سلسلة التوريد التجارية التي تقوم بذلك. و بالتالي ليس مطلوباً منك تطوير الذكاء الاصطناعي لمخاطر سلسلة التوريد من نقطة الصفر.
أمان سلسلة التوريد في العقود
كذلك هناك ضرورة لدمج معايير أمن المعلومات في اتفاقيات الشراء كمحاولة لفرض شكل من أشكال امتثال شريك الأعمال في سلسلة التوريد بمستوى أمان محدد. يمكن استخلاص هذه المعايير من ISO 27001 ، أو المعايير الفريدة المعتمدة من قبل الأطراف المتعاقدة. يمكن لشروط العقد هذه أن تتخذ العديد من الأشكال القانونية المختلفة مثل الضمان ، التعهد وحقوق الوصول والتدقيق وما إلى ذلك. الفكرة مما سبق هو تأكيد أهمية أمن المعلومات في العقد. ومع ذلك ، فإن قيمة هذه البنود في إدارة سلوك سلسلة التوريد مازالت نقطة قابلة للتأويل.
لنفترض أن الطرف المتعاقد خرق هذه الشروط فإن على الطرف المتضرر إثبات أن الخرق تسبب في ضرر مالي وكذلك مقدار الضرر المالي الذي لحق بالجهة المعنية نتيجة لذلك. على سبيل المثال، في حال فشل الطرف الثالث بتجديد شهادة أمان SSL قد يكون من الصعب إثبات أن أي ضرر مالي ينجم عن مثل هذا الانتهاك فيما لم يقع أي حدث أمني ملموس نتيجة لهذا الفشل.
لكن ذلك لا يعني أنه من المبرر التغاضي عن هذه المعايير الأمنية وإنما قد يكون المطلوب وضع هذه البنود ثم التفاوض بشأنها وتأكيد أهميتها بحيث يتكون لدى أطراف التعاقد رؤية حول ما يمثله أمن المعلومات و القدرات المطلوبة بهذا الخصوص من الجميع.