數位供應鏈的風險
如同我們現今所見,在開放式的雲端架構環境下,加上數位轉型速度加快,數位供應鏈所面臨的風險與日俱增。大約20年前,要了解組織的營運情況非常容易,只需在公司設置大型防火牆圍起網路的安全界線即可。
然而,我們現正處於一個網路無邊界的新世代。幾乎每家企業組織都同時擁有實體和數位供應鏈,但擁有數位供應鏈最大的問題會是,不像在組織內部的IT環境,能自主決定要在哪邊設置哪些控制項目,或針對環境設置哪種安全防護,你只能仰賴第三方做出正確的抉擇。
BSI英國標準協會在全球195個國家擁有超過77,500家企業客戶,深知數位供應鏈是他們面臨最主要的網路安全風險之一。在近期針對150家客戶進行的一項調查當中,有73%的企業組織表示數位供應鏈的議題為CISO 和 COO 的首要任務,在我們訪談過的客戶當中,沒有任何一家企業組織認為能完全掌控此領域。
由於 BSI身處網路安全最佳實務發展的最前線,這項調查結果對我們來說是一項關鍵指標,我們必須協助客戶清楚了解相關風險、管理策略與解決方案,以協助企業組織和廣大社會理解並因應數位供應鏈所帶來的風險。
制定各項流程
數位供應鏈落差(gap)造成的風險通常難以識別,原因不單來自與您締約的另一方,還有可能來自第三方、第四方和第五方,甚至他們的上、中、下游供應商。
欲理解各方連接點,則要回溯到業務流程的制定。許多企業在檢視技術環境時,通常都只關注於其既有的技術解決方案,而非業務相關的流程制定。
唯有透過制定解決方案,了解身處企業組織外有哪些廠商,及其於價值鏈和業務流程中所處的位置,才能開始勾勒重大風險可能出現的位置。
這無關乎合約大小,這也是許多組織常犯的共同錯誤。即便您在單一組織投入數百萬美元,也不代表不會發生重大風險。
常見例子就如同委外製作企業年報,在年報正式發布的前三到四周,所有相關的數據資料對組織而言都屬高度機密,對股票上市公司來說更是如此。然而,其合約金額可能是公司年度最小的合約之一,從網路安全角度來看,通常也較不會受到重視。
因此,確切了解數據資料的敏感性及業務流程的重要性,並將供應商列入相關業務流程和價值鏈中,便是識別風險關鍵的一步。
數位信任新紀元的因應之道
「數位信任」並非網路安全的新鮮詞,其內容涵蓋會影響客戶、使用者、和利害關係人對企業信任的諸多因素。我們的願景是協助客戶在數位世代,建構數位信任的生態系,確保公司、人們和各種事物間能夠安全互信地交流。
為了更好地因應數位信任新紀元,BSI的服務擴及網路安全之外,協助客戶解決更廣泛的數位信任相關問題,包括從數位供應鏈風險乃至人工智能倫理等各種難題。
30多年來,BSI一直都是資訊和網路安全領域各項研發的先驅。1995 年,BSI 便制定了今日ISO 27001的前身。我們在BSI看過許多客戶因為各種原因,將大量資金投注在技術和數位化轉型上。
後疫情時代,數位化需求加速,迎來嶄新的數位化經濟社會型態。儘管仍然需要網路安全的各種既有領域來保護負面風險的影響,我們仍會看到客戶提出以下問題:
- 要怎樣知道我的投資是正確的?
- 要怎樣知道我花的錢物有所值?
- 要怎樣知道供應商叫我花的錢,能為我帶來實質上的好處?
因此,數位信任不只是在於保護企業免於業務和技術風險的負面影響,也在協助組織如何有策略性地賦予公司能力,並加速其完成數位轉型。
我們為企業提供與網路安全和隱私、數位化治理和風險管理、數位供應鏈等領域的服務。
透過同時對技術風險的積極賦能與安全防護,我們的客戶能有效從純技術面的探討,擴及至組織都能了解的新業務面向探討。
