Διαχείριση επικινδυνότητας στην εφοδιαστική αλυσίδα : σύγκριση NIST SP 800-161r1 & ISO 27036

Abstract

Η ασφάλεια της εφοδιαστικής αλυσίδας καθίσταται ολοένα και πιο κρίσιμη στη σύγχρονη ψηφιακή εποχή, καθώς οι οργανισμοί εξαρτώνται σε μεγάλο βαθμό από εξωτερικούς πα-ρόχους τεχνολογίας και υπηρεσιών. Αντικείμενο της παρούσας εργασίας αποτελεί η ανα-λυτική μελέτη και συγκριτική αξιολόγηση δύο σημαντικών πλαισίων ασφάλειας που αφο-ρούν την εφοδιαστική αλυσίδα: του NIST SP 800-161 Revision 1 και του ISO/IEC 27036, με στόχο την ανάδειξη της καταλληλότητας, της πληρότητας και της πρακτικής εφαρμογής τους. Αρχικά, παρουσιάζεται η έννοια της κυβερνοασφάλειας στην εφοδιαστική αλυσίδα, οι α-πειλές που αντιμετωπίζουν οι οργανισμοί και οι κανονιστικές απαιτήσεις που απορρέουν από την Οδηγία NIS2. Στη συνέχεια, γίνεται εις βάθος ανάλυση της δομής, των αρχών και των διαδικασιών που ορίζονται στα δύο πρότυπα. Η μεθοδολογία που ακολουθήθηκε βασίστηκε στη διαμόρφωση ενός ποσοτικού πλαισίου αξιολόγησης δέκα (10) κατηγο-ριών κριτηρίων με επιμέρους δείκτες. Η συγκριτική αξιολόγηση έδειξε ότι το NIST SP 800-161r1 υπερτερεί σε όρους πρακτικής εφαρμογής και ενσωμάτωσης της διαχείρισης κινδύνων της εφοδιαστικής αλυσίδας (C-SCRM) στο σύνολο των λειτουργιών ενός οργανισμού. Από την άλλη μεριά, το ISO 27036 προσφέρει ένα περισσότερο κανονιστικό και διαδικαστικό πλαίσιο, εστιάζοντας στις απαι-τήσεις που πρέπει να καθορίζονται και να εφαρμόζονται από τα εμπλεκόμενα μέρη. Η σύγκλιση των δύο προτύπων προτείνεται ως βέλτιστη προσέγγιση για την ενίσχυση της κυβερνοανθεκτικότητας της εφοδιαστικής αλυσίδας. Η εργασία καταλήγει στη διατύπωση συμπερασμάτων που επιβεβαιώνουν τη σημασία της πολυεπίπεδης διαχείρισης κινδύνων, τη σύνδεση της συμμόρφωσης με επιχειρησια-κούς στόχους και την ανάγκη για μελλοντική έρευνα πάνω σε μεθόδους αξιολόγησης και υποστηρικτικών εργαλείων για τη διαχείριση κινδύνων στην εφοδιαστική αλυσίδα.