Handlungsfelder für mehr Sicherheit in der Supply Chain
Sicherheit in der Supply Chain kann nur durch eine gemeinsame Anstrengung aller miteinander verbundenen Partner – Kunden, Zwischenhändler, Lieferanten, Entwicklungspartner und Hersteller – erreicht werden. Informationssicherheit ist dabei ein fortlaufender Prozess. In seinem aktuellen Report ‚Securing the Supply Chain‘ fasst das ISF die wichtigsten Maßnahmen zusammen, mit denen Unternehmen ihre Informationen schützen können: Im ersten Schritt benötigen sie Klarheit, welche Arten von Informationen es innerhalb ihres Unternehmens gibt. Dazu gehören zum Beispiel personalisierte Daten, geistiges Eigentum, betriebswirtschaftliche Informationen und Verträge. Zudem müssen sie abschätzen können, wie wahrscheinlich der Verlust einzelner Informationen ist und welche Folgen ein Verlust hätte.
Es gilt zu berücksichtigen, welche Auswirkungen ein Vorfall wie Diebstahl, Nichtverfügbarkei oder Veröffentlichung auf welchen Geschäftsbereich nach sich zieht. Darüber hinaus sollten Unternehmen auch die Umgebung ihrer Supply Chains bei ihrer Sicherheitsstrategie berücksichtigen, etwa hinsichtlich der Informationsverflechtungen zwischen Hersteller, Abnehmer, Lieferanten und Dienstleistern. Abhängig von der Branche oder der Art der Geschäftspartner kann das Risiko stark variieren.
Darauf aufbauend können passende Sicherheitsmaßnahmen bezüglich einzelner Informationstypen und Partner aufgesetzt werden. Dazu gehört die Implementierung von Standards wie ISO/IEC 27002, ISO/IEC 27036 oder der Standard of Good Practice (SOGP) des ISF. Mithilfe dieser informationszentrierten Vorgehensweise können Unternehmen die besonderen Charakteristika der Datensicherheit in ihrem Supply Net identifizieren und den Weg ihrer Informationen nachvollziehen. Sie gelangen so zu einer Strategie für den Umgang mit ihren individuellen Risiken in der Supply Chain.
Risiken und Absicherung gezielt adressieren
Um für diese Aufgabe einen standardisierten Rahmen bereitzustellen, hat das Information Security Forum mit dem ‚Supply Chain Information Risk and Assurance Process‘ (Scirap) ein detailliertes Vorgehensmodell entwickelt, mit dem Unternehmen ihre Top-Risiken schnell erfassen und bewerten, externe Partner evaluieren und miteinander vergleichen sowie Kernhandlungsfelder definieren können. Scirap basiert auf den Erfahrungen sowie der täglichen Praxis der weltweit mehr als 300 Mitgliedsunternehmen der Organisation sowie der Forschungsarbeit der assoziierten Analysten, greift auf bestehende Standards und Richtlinien wie ISO/IEC 27002, ISO/IEC 27036 oder den ‚Standards of Good Practice‘ (SOGP) zurück und übertragt diese auf die Anforderungen der Supply Chain.
Das Modell beschreibt anhand von vier übergeordneten Handlungsfeldern detailliert das Vorgehen und stellt die notwendigen Tools sowie Handlungsanweisungen für eine effiziente Umsetzung zur Verfügung, beispielsweise für die Integration in einen typischen Beschaffungsprozess. Damit können Unternehmen die Risiken für ihre Informationen entlang der Supply Chain minimieren und flexibel auf Veränderungen reagieren.
