任何一个中央安全官都知道,管好自己的事是不够的。你还必须照顾你的商业伙伴,跨越连接到你的供应链的所有环节——无论是实体链还是虚拟链。在快速变化和高压力的时候,这种情况会加倍。
“威胁环境在不断变化,”医疗保险和医疗补助服务中心首席信息官瑞安·布鲁尔说。“有时候很难明确指出什么是最重要的。”
三年前,谁会想到供应链上的盗版问题会如此严重?有时最大的担忧是恐怖主义,有时是自然灾害,最近是恶意软件。以下是公民社会组织认为最有可能对其供应链造成严重破坏的五大发展。
第一大改变游戏规则的力量:《黑天鹅》事件
正如纳西姆•尼古拉斯•塔勒布(Nassim Nicholas Taleb)在其2007年出版的同名著作中解释的那样,“黑天鹅”一词指的是影响巨大、难以预测且罕见的事件。“黑天鹅”不一定是负面的(就像9/11事件那样),它可以呈现出大好时机,但公民社会组织有理由花时间担心前一种情况。
当涉及到供应链时,黑天鹅事件可能包括从灾难性的天气到全球流感大流行来恐怖袭击.问题是,如果您准备担心杜娟,您可能会让自己暴露在其他方面。案例指出:禽流感。警告说,亚洲禽流感的大规模爆发将使供应链处于风险,全球业务为最坏的情况下支撑。高管讨论了如果流感在中国爆发,如何影响供应链可能会受到影响。他们的计划在世界上其他地方运送和储存材料。
然后,今年年初,H1N1流感在墨西哥爆发,迅速传播到澳大利亚这样的意外地区。“公司不得不立即重新评估他们的计划,因为他们是基于特定的情景,”在华盛顿安全咨询公司控制风险的企业连续性咨询高级经理Adam Sager说。这是一个主要的唤醒电话。“公司意识到他们需要更好地为意外事件做好准备,并提高他们对他们的组织如何受到影响的了解。如果在全球范围内出现某些东西,他们需要在它影响其供应链之前采取行动,”Sager说。
Sager说,当危机发生时,无论在全球哪个地方,你都需要能够利用针对具体国家和地点的第一手信息来了解和评估形势。你需要双向的沟通危机管理者和事件发生地点之间的联系。萨格尔指出,企业发现了危机应对计划与运营之间的差距。
他表示:“他们有安全管理和危机管理计划,但缺少的环节是将它们与业务结合起来,这样世界各地的人们就可以了解管理层在正常运行时间、问题解决和谁负责等关键问题上的立场。”这类信息通常没有提前传递到现场,这是一个关键的错误。管理层需要提前授权当地决策者,以便在满足特定条件的情况下迅速采取行动减轻损害。
这些计划不仅要解决关键的供应链节点和可能发生的特定情况,还要解决正在出现的安全漏洞。“这是一种不同的心态和规划方式,”萨格说。“安全部门必须与业务的运营/财务方面结合起来,”着眼于供应链的各个方面,包括不同组件的位置和替代采购安排。萨格尔让他的客户进行桌面测试,高管们坐在会议室里,与关键决策者逐点讨论一个场景,评估他们会如何回应。
ASIS国际全球标准倡议(ASIS International Global Standards Initiative)专员马克•西格尔(Marc Siegel)正在牵头制定供应链弹性的ISO标准。ASIS已经发布了它的第一个组织弹性标准SPC.1,预计将在今年年底完成。“我们认为标准是应对(黑天鹅)的答案,”西格尔说。“由于资源有限,企业必须制定全面的(供应链弹性)战略。这可以让你看到整个画面,而不是仅仅把不同的东西分开。”例如,防止恐怖主义的策略可能对打击海盗或在地震中起到帮助作用。
Siegel补充说,组织需要从整体角度接近风险。“风险Du Jour的问题是,它在组织之间发生的可能性很大程度上变化,即它可以将注意力转移到综合风险评估中。”简而言之,它可以让你从球上夺走。
改变游戏规则的力量:恶意软件的兴起
信息安全问题也称为CSOS的思想,尽管它们与供应链没有明显相关,因为物理安全是。组织(以及其供应链)可以通过对其信息网络的攻击来提高低位,因为它可能因攻击货物而受到伤害。许多CSO说他们担心僵尸网络;与僵尸网络相关的两个最紧迫的威胁是对员工的垃圾邮件/钓鱼攻击和可能的死灰复燃拒绝服务(DOS)攻击最早出现在10多年前。
Ed Amoroso,AT&T的CISO,对恶意软件的兴起表示猖獗的技术复杂性。“几乎所有我们处理的主要根本原因 - 商业客户和一切 - 复杂性。人们设置和使用的计算机和网络变得太复杂,”Amoroso说。由于没有人完全了解系统所界的所有连接点的位置,因此不法行为者很容易利用它们。“我读到了浮动的95%的垃圾邮件是僵尸网络起源,”他补充道。“这完全是关于复杂性 - 人们不知道如何在个人,企业和信息安全级别停止它。”
与Amoroso一样,Joonho Lee也非常担心集成DoS攻击的出现。“过去DoS是指大量的流量攻击你的网络,”Lee说,他是国家事件响应小组的一名官员,也是纽约联邦储备银行的助理副总裁。“现在,有很多不同类型的袭击。不再是交通堵塞了。你被堵得水泄不通。
“我们拥有所有的DOS保护,但我对他们总是持怀疑态度。如果你被每秒40兆的管道击中,那将把你的网络或您的提供商击中,”李。“黑客正在利用数十万台机器。DOS绝对回到地平线上。”
德勤会计师事务所(Deloitte & Touche)安全与隐私服务合伙人丽娜•米尔斯(Rena Mears)认为,恶意软件供应链本身已接近成熟。“10年前,只有少数人在做心理体操。然后我们进入了一个(通过网络钓鱼和垃圾邮件)盈利的时代。下一步是大规模的快速打击——相当于抢劫银行。现在我们看到了一些更阴险的东西,”米尔斯说。恶意软件及其作恶者正变得越来越复杂。
与过去大规模的“打了就跑”DoS攻击不同,如今的恶意软件寻求在一个相对较低的水平上维持自身,类似于自然界中的寄生虫。“这更像是一种持续的收入流策略。恶意软件代理可以生存在组织的痛苦阈值之下,但它会窃取信息,损害知识产权或攫取信用卡信息,”米尔斯说。
Lee认为网络服务提供商无法充分防范新型恶意软件的威胁。AT&T的Amoroso承认现在的情况很困难,他只是说,和其他供应商一样,AT&T已经开发了多种策略来应对新型DoS攻击。他相信瘦客户机的日益流行将有助于阻止这些攻击,因为它们更简单,可以攻击的移动部件更少。
改变游戏规则的力量:经济衰退
不言自明的是,随着经济的恶化,犯罪也在增加。在过去一年左右的时间里,物理安全和信息安全面临的一些威胁变得更加紧迫。许多公民社会组织预计相关的威胁池将继续扩大。尽管经济预计将在未来一两年缓慢改善,但许多专家预计,这种改变并不一定意味着所有人,甚至大多数社会都将回归繁荣。有些人会不顾一切,因此会做出不顾一切的行为。
随着经济持续发抖,越来越多的人正在失去工作,这通常意味着丢失健康保险。CISO,CISO,在医疗保健服务(伊利诺伊州的四个蓝色横向蓝盾计划),担心持续的经济问题将导致广泛的员工裁员,这家公司到目前为止设法避免。他担心国家医疗保健计划的到来可能具有相同的效果。Biondo发现自己令人担忧内部威胁比几年前更重视信息和人身安全
“我担心内部物理威胁和对我们数据的威胁。人们变得非常焦虑,数据泄露成了一个问题。”他认为他已经采取了所有可能的措施来保护信息和人身安全,但他仍然感到不安。克里斯·法尔肯伯格预计,个人安全面临的威胁将会增加,包括在海外绑架企业高管和攻击高净值个人。“公民社会组织将不得不处理这些事情,因为他们必须保护他们的高管,”法尔肯伯格说,他是安全服务公司Insite security的总裁。他还担心,个人绑架可能在美国成为一个问题,尽管这个国家没有普遍存在的政府腐败,这通常会让此类活动扎根。雷竞技比分他认为,大多数公民社会组织内部没有处理这类威胁的专业知识。
联邦储备银行的李相信新出现的威胁,如恶意软件和攻击人员,信息安全和物理安全群体之间需要更强的沟通,以及在有问题时参与的任何其他部门,如合法。“需要更好的团队合作。这不仅仅是训练,”他说。“即使这些群体彼此交谈,它们通常会将案件卸载到另一边。所涉及的每个人都需要了解逻辑的后续步骤。需要承认问题的共同所有权。”
第四,改变游戏规则的力量:数据爆炸
数据现在如此无处不在,因此人们忽视了它。即使是许多制造商今天也如此大规模地参与数据,他们从未将自己视为以外的任何东西,除了提供者和信息的用户。MEARS说,整合公司与他们的流程和商业伙伴的流程和商业伙伴有所作为。两个数据本身的爆炸和在组织边界外共享数据的做法都存在许多不同类型的风险.
各种类型和规模的公司与商业伙伴共享无限数量的信息。这些数据会不断更新并来回流动。米尔斯说:“这是一个双向链。这意味着你正在复制数据。我们过去常说“保卫周边”。许多公司甚至都不再有边界了。”
数据和信息是资产,但高管们不知道它们拥有什么,它们都在哪里,谁在(或不是)保护它们。米尔斯说:“当你不知道数据是什么,也不知道与谁共享数据,而且没有人会因为这些决定而受到牵连时,就很难保护数据。”这种现实需要一种基于风险的数据保护方法。“你不能再保护所有的数据了。并非所有的数据资产价值相同。您必须确保该数据资产有回报,就像您对待任何其他资产一样。你应该提供与信息资产价值相称的安全保障。”
德勤建议其客户针对信息安全问题制定更有针对性的应对措施。在高度一体化的全球环境中,企业明白它们的核心知识产权面临风险,但它们无法像往常一样保护日常业务中的零碎资产。“数据保护现在是高管层和董事会层面的问题。高管们开始考虑如何最大化他们的数据资产的回报。
改变游戏规则的力量:监管负担