ניהול אבטחת שרשרת האספקה
מהי שרשרת אספקה?
שרשרת אספקה הינה מערכת של ארגונים, עובדים, מידע ומשאבים המעורבים בתהליך אספקת המוצר/השירות מהספק ועד ללקוח.
ניהול שרשרת אספקה בארגון אינו תהליך פשוט כלל. ראשית, קיים קושי רב לנהל את אבטחת שרשרת האספקה באופן אפקטיבי.
לחלק מהארגונים יש מאות ואף אלפי ספקים, דבר הגורם לחוסר שליטה, בקרה ואבטחה שוטפים בארגון.
האיום המרכזי הנובע מתוך שרשרת האספקה הינו התלות בגורמי חוץ.
כל חוליה בשרשרת האספקה יכולה להוות סיכון ואף לפגוע בארגון, לדוגמא:
- סיכונים שמקורם ברמת הגנה נמוכה אצל הספק – סיכונים אלו נובעים בעקבות חוסר מודעות לאבטחת המידע בארגון: הגדרות אבטחה ירודות, שימוש בהגדרות הזדהות חלשות ועוד
- סיכונים שמקורם באיום פנימי – קבלת גישה למאגרי המידע של הלקוח ושימוש ללא אישור
- סיכונים הנובעים מהתנהלות לקויה אצל הלקוח/רוכש השירות – ניהול הרשאות לקוי, אי ביצוע בקרות שוטפות בארגון ועוד
- סיכונים הנובעים בעקבות חוסר תיאום ציפיות מול הספק
- קבלת גישה למידע או למערכות המידע ותקיפת מערכות הארגון
השלבים לניהול שרשרת אספקה בארגון:
מיפוי ספקים:
על הארגון למפות את הספקים בארגון – אילו שירותים הספקים מספקים לארגון, הגדרת אנשי קשר, האם הספק חתום על הסכם סודיות?
לאחר מכן, הארגון ימפה את הספקים על פי דרגות חשיבות:
- אילו מהספקים בעלי דרגת חשיבות גבוהה, בינונית ונמוכה?
- האם הספק מחזיק במידע רגיש של הארגון?
- האם לספק ישנה גישה לרשת הארגון?
- האם הספק חשוף למידע רגיש של הארגון?
- האם נתוני הארגון מאוחסנים אצל הספק?
הערכת סיכונים בארגון:
לאחר מיפוי הספקים, על הארגון לבחון אילו סיכוני סייבר הארגון עלול להיחשף.
על הארגון לבחון את הנושאים הבאים:
- בקרות גישה ואבטחה פיזית של המידע בארגון
- תחזוקת שרתים ומערכות מידע בארגון
- הגדרות ואבטחת גישה מרחוק, גיבויים שוטפים
- הגנת על עמדות קצה ושרתים ועוד
לאחר בחינת הנושאים, על הארגון לבחון כעת את הספקים אשר הוגדרו ברמת חשיבות גבוהה על ידי ביצוע סקרי סיכונים ושאלונים. מטרת הסקר לבחון את הסיכונים המהותיים של הספק ולהציע פתרונות להפחתתם. יש לבצע סקרי סיכונים מקצועיים ומעמיקים המותאמים לסוגים שונים של ספקים. על הספק לקבל את הממצאים וההמלצות ולתקנם בהקדם. על הארגון חלה החובה לוודא כי אכן הספק ביצע את התיקונים שהוטלו עליו.
ביקורות מעמיקות ושוטפות על שרשרת האספקה:
לאחר ביצוע סקר סיכונים והערכת הסיכונים בארגון, על הארגון לבחון את רמת ההגנה של הארגון מפני תקיפות דרך שרשרת האספקה. על הארגון לבצע סימולציות תקיפה, ביצוע מבדקי Red-Team לבדיקת מוכנות להתמודדות מול פרצות אבטחה ללא העמדת הארגון בסיכון ממשי.
חברת Nextep יכולה לספק עבורכם את כל הדרוש לארגון שלכם, בהתאם להיקף הנדרש ולתחום הפעילות, לחצו כאן או התקשרו ל- 03-9677336
נכתב על ידי עדי מיידלר, מנהל תחום אבטחת מידע בחברת נקסטפ.
