随着数字技术的迅猛发展,供应链的数字化趋势创造了新的商业模式,也衍生了一种新角色——“第三方数字合作伙伴”。它们带来商业价值的同时,也让组织和供应链中角色共担风险。如今因为“第三方数字合作伙伴”,如供应商的风险问题导致企业自身数据泄露的案例教训已不在少数,尤其对于供应关系复杂,深度依赖数字化的企业。除了做好自身的风险管理,更要重视起供应商及供应关系的安全,别做好了自身的安全,却躺在了别人的风险上。
传统供应链中的第三方
“第三方”字面定义为“一个不受特定组织直接控制的实体”。许多人将供应链中的第三方等同于供应商,但实际并非如此; 它广泛包含了是产品或服务的供应商(或商业合作伙伴),商业伙伴 (合资伙伴 联盟等),市场合作伙伴,战略咨询顾问,政府机关,监管机构,客户等等。普华永道在传统IT供应商风险管理报告中,用下图将企业复杂的第三方脉络关系表示了出来。
由此可知,传统供应关系划分复杂而界限层次分明,企业供应链上游,有产品或服务的供应商等;企业供应链下游,有用户、分销商等;企业合作伙伴,有市场、商业、战略合作人等;企业上层,有监管政府机关、监管机构等。
传统供应链中,供应关系或外包模式清晰。通常,能够将第三方风险分成实体风险,与服务风险两类:
- 实体风险:即与第三方组织结构和特征相关的风险,指第三方组织本身的风险(例如组织的大小规模/架构复杂性,过去经验与信誉等);
- 服务风险:与提供的产品或服务相关的风险,指第三方组织产物的风险(例如提供的规定数据,可用性要求等)。
故而,传统供应关系下,我们可以通过有效的风险管理,将第三方或外包供应商的接入控制到企业的业务边缘,来降低风险。但时至今日,但随着商业模式与供应关系更加依赖数字化后,风险变成了什么样?
数字化发展为供应链带来新的角色:第三方数字合作伙伴
(数字化依赖程度将决定商业模式和供应关系的改变)
我们知道,传统供应关系是组织可通过供应商提供基础设施,自行或通过外包商来进行生产或开发等环节,但这些都建立自主可控的大环境下。如今,数字化供应链正在改变这种简单依赖的供应关系。
国内首个专注数字化供应链安全解决方案的专业安全团队 “安全值”首次提出了“第三方数字合作伙伴”的概念。数字化供应链各节点的角色将区别于传统供应关系,它们将逐渐淡化供求角色与边界的划分,这些将自身核心业务深度嵌入或捆绑的关系伙伴,共称之“第三方数字合作伙伴”。它们共同构成产业链,同样的,也共同面临和承担风险。
比如云的应用,让组织将自己的核心生产环境或重要信息迁移到供应商提供的软件平台或基础设施上。如下图所示的云服务模式,它让供应商的接入也从企业边缘地带转变为与企业核心业务的捆绑,从根本上改变了传统供应关系。
云租户可能在任意一个逻辑层次接入,既有可能成为供应链下游客户,也有可能成为的供应商,甚至是兼顾二者的角色。比如,组织租赁提供商的PaaS服务,部署软件应用,又以SaaS模式发布。类似的,除了云计算的应用,如下图还有更多数字化技术正在或即将推动供应链的变革。
随着计算能力的高速发展与数字化程度的深度渗透,衍生了无数新时代的产物,也改变了商业模式与供应关系。再举个例子,物联网(IoT)技术,IoT对公司进入供应链管理的方式产生了巨大的影响。
诸如此类,传感器、云服务到纳米技术、大数据,越来越多的技术驱动了数字化趋势的发展,同时,数字化的趋势影响着整个商业模式从而改变传统的供应链管理。供应链的转变表现为以下三个方面:
1. 供应场景定制化
不同用户适应不同场景,对研发,生产,供应链和采购,销售,财务,IT,人员和技能等领域进行针对性评估。
2. 供应模式创新化
数字化环境下驱动出的新兴商业模式
3. 供应关系扁平化
通过移动端、云、智能设备等链接组织数字合作伙伴,确定数字战略目标
数字合作伙伴为企业带来的安全挑战
如今因为第三方安全事故而引发的数据泄露案件不在少数,对于企业来说,第三方数字合作伙伴与组织自身相互依赖共存,数据互联互通,风险也一脉相承。故而在做好自身风险管理的基础上,对“第三方数字合作伙伴”的安全评价尤显重要。数字合作伙伴将会给企业带来以下更多的安全思考与挑战:
如何全面、有效的梳理“第三方数字合作伙伴”的名单与相互依赖关系;
- 如何将“第三方数字合作伙伴”的评价结果,有效转化为对第三方采购、运营、监测、交付、终止等环节的支持和帮助;
- “第三方数字合作伙伴”介入的情况下,如何对组织自身及用户敏感数据进行有效的监测、预警、管控、跟踪等;
- 如何合理、有效落实约束“第三方数字合作伙伴”的管理制度或流程。
