臺灣是製造業的重鎮,在B2B供應鏈的合作關係中,多家公司各自扮演好應有的角色,共同發展、共同成就,然而,除了業務往來、資料交換,該如何確保彼此的資訊安全,以免影響到其他合作業者,關於這方面的議題,過去很少看到有人探討。而在今年1月舉行的Cisco Connect TPE大會,思科首度在臺灣介紹這樣的概念,應該讓不少臺灣企業能夠借鏡。
該公司的資安架構師Jon Kenney表示,他們是以評估衡量(Measure)和協同合作(Collaborate)的角度,來推動供應鏈安全。
以前者而言,思科會透過評分報告卡(Report Card)的形式,向合作廠商提出50個問題,而根據他們的回應來建立索引,也就是為這家公司的IT安全成熟度打分數,接著,思科基於這樣的結果,重新檢視合作夥伴成熟度較低的領域,並要求他們提出改善計畫,後續也不斷開會溝通,了解行動的成效,未來,再依據這樣的步驟反覆實施,每一次檢視安全的過程,耗時6個月。
而所謂的協作,分成兩種活動形式。
首先,思科會召集所有合作業者,舉行供應鏈專屬的資安高峰會,目前參與的公司有20家以上,出席人數超過100人,裡面有來自思科與合作廠商的資安專家,以及外部講師,而在這樣的活動形式之下,大家會設定彼此對於資安的期望。
另一種互動作法,則是與合作廠商組成ㄧ個團體,稱為供應鏈網路安全聯盟( Supply Chain Cybersecurity Consortium,SC3),成員包括思科,以及7個營運規模最大的合作夥伴,而這個機構成立的主要宗旨,是改善供應鏈生態系的安全成熟度,探討彼此應該實施的計畫與作法。
SC3也訂定每個月固定進行的工作事項,像是提出應優先關注的資安議題、深入剖析資安最佳實務、找出資安成熟度較低的領域,以及執行早期預警與危機管理。
基於這兩種形式的持續溝通,思科認為,最後可以匯聚出跨產業的專業知識、形成共同的願景、認知各方既得利益與權利,並且形成具有抗壓性的解決方案。
而基於這樣的安全框架,思科供應鏈在推動安全成熟度的作法,顯然是能夠量化,而且是透明的。在整體成效的呈現上,透過這樣的評分與持續溝通、改良動作,他們在2017年拿到了2.75分,到了2018年,則提升到3.56分,以今年底來看,他們設定達成的目標是4分。
看看別人,想想自己,我們對於合作廠商的資訊安全要求,是否也該參考這樣的方式來推動呢?要提升彼此的信任、信用,不該只是嘴巴上說說而已,或是訴諸抽象的道德高調,也許更重要的是,規畫出一套可行的制度,以及具有開放性、擴充性的彈性互動環境,讓所有參與其中的廠商,能夠透過不斷自我評估、共享狀態的方式,並且也能與生態系當中的其他公司進行交流,不斷地思考與實踐相關的防護策略,長期而言,更能成就彼此業務營運的可靠度,而能提升整體供應鏈的安全。
專欄作者
iThome電腦報周刊副總編輯
熱門新聞
2024-04-17
2024-04-17
2024-04-15
2024-04-15
2024-04-15
2024-04-15