Nová podoba zabezpečení dodavatelského řetězce
Aktualizováno: 4. dubna 2006
Aktualizoval Erik Schoeniger
S rozvojem dodavatelského řetězce jde ruku v ruce také nutnost zabezpečení. Zde je několik možností, jak můžete své podnikání ochránit.
Souhrnně:
| • | Nejprve vytvořte analýzu ekonomické efektivnosti pro každou investiční oblast zabezpečení. |
| • | Zhodnoťte rizika u pěti důležitých vrstev zabezpečení: fyzické, síťové, hostitelské, aplikační a datové. |
| • | U softwaru od jiného dodavatele se zajímejte, zda obsahuje funkce šifrování v síti, ověření totožnosti a ochrany dat. |
| • | Při zlepšování zabezpečení u všech úprav vašeho systému postupujte opatrně. S tím vám může pomoci nástroj Microsoft .NET. |
| • | Nepodceňujte důležitost spolupráce se svými partnery v dodavatelském řetězci na plánu zabezpečení. |
Není tomu tak dávno, co byl systém pro elektronickou výměnu dat (EDI) jedinou možností pro obchodní partnery, kteří chtěli obchodovat v elektronické podobě. U středně velkých společností se jednalo o finančně nákladné řešení, přesto však bylo jejich zavedení nezbytné, pokud chtěly obchodovat s velkými podniky. Ale vzhledem ke skutečnosti, že systém EDI obvykle zahrnoval osobní spojení prostřednictvím soukromých sítí nabízejících specializované služby s minimální či dokonce žádnou nutností zásahu ze strany uživatelů, nebylo použití vylepšení zabezpečení komplikované.
V dnešní době středně velké podniky sdílejí informace a provádějí elektronické transakce s organizacemi v celé dodavatelské síti počínaje dodavateli, přes výrobce a distributory až po maloobchodní prodejce. Integrují systémy s velkými i malými společnostmi a zavádějí webové portály pro správu činností dodavatelského řetězce.
Díky tomu propojení dodavatelských řetězců čelí celé řadě hrozeb od poškození dat přes vyzrazení obchodních tajemství až po krádež informací o zákaznících. Existují dokonce i případy, kdy pachatelé pronikli do elektronických dokumentů a změnili tyto dokumenty spolu s místy určení dodávek. Všechny tyto skutečnosti jasně hovoří pro zlepšení zabezpečení.
„Potřebujete funkce ověření uživatelů a systémy, které se budou připojovat k vašemu prostředí. Nezbytné jsou také funkce autorizace určující, ke kterým částem vašeho systému mohou uživatelé přistupovat. A také potřebujete ochranu síťových propojení, která spojují tyto uživatele a systémy,“ říká Robert Anderson, viceprezident společnosti Garner zabývající se aplikacemi pro malé a středně velké podniky se sídlem v Atlantě ve státě Georgia. „Toto všechno nestačí provést pouze u jednoho partnera, ale u celé řady partnerů s nejrůznějšími profily zabezpečení.“
Proveďte průzkum svých procesů a potřeb
Vylepšení zabezpečení dodavatelského řetězce začíná rozborem rizik současných procesů, který určí, jak budou tyto procesy ovlivněny elektronickým spojením (například pokud kupujete systém pro správu dodavatelského řetězce poprvé nebo přidáváte další funkce). „Pokud existuje riziko, že uživatelé mohou podvodně nakupovat, automatizací daného procesu jenom usnadníte práci těm, kteří se chtějí neoprávněně dostat do systému,“ říká Aaron Turner, hlavní stratég společnosti Microsoft v oblasti zabezpečení. Z tohoto důvodu bude možná třeba upravit obchodní procesy dříve, než je zautomatizujete a zavedete vylepšení zabezpečení. Za účelem usnadnění vývoje a implementace programu pro správu rizik zabezpečení vytvořila společnost Microsoft příručku Security Risk Management Guide (Průvodce zvládáním bezpečnostních rizik).
Jednou z metod je vyhodnocení rizik zabezpečení na základě pěti rozšířených vrstev ochrany prvků zabezpečení: fyzické, síťové, hostitelské, aplikační a datové. Odpovězte si na základní otázky týkající se potřeb zabezpečení na jednotlivých vrstvách: Bude systém dodavatelského řetězce vyžadovat vyhrazený server? Bude server vystaven v síti Internet? Kdo bude spravovat tato připojení k síti Internet? Jak budou zabezpečeny transakce?
Stejným způsobem proveďte rozbor ekonomické efektivnosti plánovaných investic do zabezpečení. „Přece byste neutratili milión dolarů za ochranu majetku, jehož hodnota je sotva jeden dolar,“ říká Aaron Turner. S určováním požadavků na zabezpečení vám může pomoci nástroj pro vyhodnocení zabezpečení Security Assessment Tool od společnosti Microsoft, který byl navržen speciálně pro společnosti s méně než 1 000 zaměstnanci.
Vyhodnoťte software z hlediska zabezpečení
Po stanovení potřeb zabezpečení podnikání se poohlédněte po řešení pro řízení dodavatelského řetězce, které obsahuje tyto funkce:
| • | Šifrování v síti Zavedením ochranných mechanismů mezi úroveň propojení dat a úroveň aplikací umožníte šifrování v síti využívat stávajících síťových služeb a aplikací. Šifrování v síti obvykle zajišťuje vrstva SSL (Secure Sockets Layer), ale u velkých systémů lze použít i sadu protokolů IPSec (IP Security). |
| • | Ochrana dat Tato funkce zahrnuje probíhající i uložené transakce a pomáhá zajišťovat integritu dat a snížit rizika podvodu. |
| • | Ověření totožnosti Certifikáty představují efektivní způsob ověření totožnosti uživatelů i systémů. Certifikáty uživatelů mohou být uloženy na kartách Smart Card, certifikáty systémů mohou být spravovány službou Active Directory operačního systému Microsoft Windows Server. |
Můžete také investovat do funkce pro detekci narušení či neobvyklého chování, která kontroluje provoz v síti a vyhledává neobvyklé chování, jež může být známkou neoprávněného použití. Mezi oblíbené systémy detekce narušení patří systémy Cisco Secure IDS, eTrust Intrusion Detection a BlackIce Defender.
Ujistěte se, že je možné kontrolovat a zaznamenávat transakce od začátku až do konce. „Vládní nařízení budou vzrůstající měrou ovlivňovat propojení dodavatelských řetězců,“ poznamenává Robert Anderson. „Budete mít právní odpovědnost za kontrolu transakcí a budete také muset zaznamenávat, kdo se připojil ke kterému systému a jaká data ho zajímala,“ říká Anderson.
Plnohodnotné systémy pro správu dodavatelských řetězců, jako jsou například aplikace pro správu dodavatelských řetězců od společnosti Microsoft, zahrnují celou řadu podobných mechanismů ochrany. Balíčky aplikací díky tomu mají výhodu nad uživatelskými řešeními. U zastaralých a uživatelských aplikací je implementace a správa všech požadavků na zabezpečení zcela v rukou odborníků z oblasti IT.
Někteří odborníci se domnívají, že existuje další výhoda systémů pro plánování podnikových zdrojů (ERP) a správu dodavatelských řetězců (SCM), které zahrnují základní obchodní funkce. Podle Richarda Bonnora, specialisty na dodavatelské řetězce ve společnosti Tectura Corp. se sídlem v Kodani v Dánsku, která je partnerem společnosti Microsoft, mohou v jednom systému existovat procesy, jako je nákup, výroba a logistika, čímž dochází k minimalizaci potřeby rozhraní pro externí systémy. „Můžete se vyhnout složitosti a dosáhnout vyšší úrovně [zlepšení] zabezpečení do takové míry, do jaké je možné použít jedno kompletní řešení pro všechny procesy dodavatelského řetězce a výroby,“ vysvětluje Richard Bonnor.
Minimalizace rizik ve vlastním vývoji
Kromě instalace a propojení systémů pro správu dodavatelských řetězců budují středně velké podniky stále větší měrou portály, které zprůhledňují jejich provoz. Takové portály často zahrnují vlastní úpravy, které také vyžadují použití vlastních prvků zabezpečení. „Často se setkáváme se vzhledy portálů, které uživatelé přizpůsobili svému vkusu a potřebám, a s nejrůznějšími úrovněmi přístupů,“ zdůrazňuje Robert Anderson. „V takových případech bude možná třeba zakoupit nebo vyvinout [příslušné] mechanismy zabezpečení.“
Aplikace pro správu dodavatelských řetězců vyvinuté pomocí nástroje Microsoft .NET Framework lze snadno konfigurovat a zvýšit tak zdokonalení zabezpečení. Můžete například využít výhody, kterou poskytuje protokol WS-Security (Web Services Security), pro ověřování zpráv, utajení důvěrných informací a integritu. Zabezpečení prostřednictvím tohoto protokolu je výrazně efektivnější než pomocí vrstvy SSL. Protokol WS-Security přizpůsobuje celou řadu modelů zabezpečení a technologií šifrování.
Centrum vývoje Microsoft XML nabízí nejnovější techniky, které vám pomohou zajistit integritu dat XML. Centrum zabezpečení Microsoft TechNet poskytuje návody na vylepšení zabezpečení a systémy provozních databází a zasílání zpráv.
Zapojení partnerů
Středně velké podniky se často nacházejí v bodě, ve kterém se sbíhá několik dodavatelských řetězců. Může se stát, že se potřebujete propojit s dodavateli, distributory, výrobci, poskytovateli logistických služeb nebo maloobchodními prodejci či je zviditelnit. Jste-li distributor, pravděpodobně poskytujete služby organizacím v celé dodavatelské síti. Zdokonalení zabezpečení dodavatelského řetězce vyžaduje koordinaci mezi všemi těmito stranami. „Zapojte své obchodní partnery, aby se otázka zabezpečení stala společnou snahou a aby se na rozhodování mohli podílet všichni partneři,“ říká Robert Anderson.
Poskytněte partnerům jasné informace o vašich požadavcích na zabezpečení. A ujistěte se, že budou moci vyjádřit svůj názor či přednést připomínky. Rozešlete jim podrobný dotazník týkající se zabezpečení, který vám umožní vyhodnotit jejich profil zabezpečení a zdokumentovat, které osoby budou mít přístup k jednotlivým prostředkům. V ideálním případě je vhodné požádat partnery, aby si nechali provést kontrolu zabezpečení od třetí strany. Nakonec zvažte, zda by nebylo vhodné nechat právní oddělení vaší společnosti sestavit smlouvu či dohodu týkající se zásad zabezpečení propojení dodavatelských řetězců.
Zlepšení zabezpečení musí být řízeno zásadami. „Zásady zabezpečení je třeba jasně stanovit a sdělit všem, kterých se to týká,“ říká Aaron Turner. Zaměřte se na to, co můžete reálně sledovat a prosazovat, a vytvořte podrobný plán zodpovědností.
Potom celý systém uveďte do praxe. „Máme zákazníky, kteří se obracejí na společnost Microsoft s žádostí o pomoc při řešení problémů se zabezpečením,“ uvádí Aaron Turner. „Ohánějí se tím, že mají plán zodpovědností, ale nikdo už nevěnoval čas tomu, aby se ujistil, že lze plán implementovat.“
A nakonec nezapomínejte ani na budoucnost. „Při vytváření zásad a postupů zabezpečení pro systémy správy dodavatelských řetězců se nesoustřeďte pouze na současný stav,“ uzavírá Robert Anderson. „Co budou zákazníci potřebovat? Kam směřují vládní nařízení? Potřebujete zavést mechanismy zabezpečení, které splňují vaše momentální potřeby. Ale také potřebujete zásady zabezpečení, které budou dostatečně pružné, aby vyhovovaly vašemu podnikání i v budoucnu.“
Eric Schoeniger je spisovatel a přispěvatel na web Microsoft Midsize Business Center, který žije ve Philadelphii.
