fbpx

Supply Chain Security im Fokus: Drei entscheidende Aufgaben für eine sichere Lieferkette

by Bianca Bogad-Frey

NEU im #ConfareBlog
Oliver Jäschke, Swisscom, Supply Chain Security im Fokus: Drei entscheidende Aufgaben für eine sichere Lieferkette

Oliver Jäschke Swisscom - Supply Chain Security - Confare Blog Meme

Oliver Jäschke, Product Owner Security Assurance bei Swisscom, gibt im Interview Einblicke in die Herausforderungen der Supply Chain Security. Er erklärt, warum das Thema oft unterschätzt wird und welche Maßnahmen Unternehmen ergreifen müssen, um Lieferketten abzusichern. Zudem beleuchtet er die Bedeutung der Zusammenarbeit mit dem Einkauf sowie die Priorisierung von Sicherheitsaspekten bei der Auswahl und Prüfung von Lieferanten.

Wie gut sind denn Unternehmen Deiner Einschätzung nach in Bezug auf Supply Chain Security aufgestellt? Wo sind dabei die grössten Herausforderungen?

Das Thema Supply Chain Security umfasst unterschiedliche Vorstellungen darüber was alles zu tun ist. Bei den Firmen ist das Thema wohl immer noch etwas unterschätzt und damit auch unterbesetzt. Mir selber ist primär ein Sektor bekannt, wo es wohl viel besser aussieht, dass ist der Finanzsektor, gerade auch auf internationaler Ebene. Hier gibt es grosse Teams, die sich um das Thema kümmern. In meinem Sektor ist die Wahrnehmung sehr hoch, aber hier sind wohl nur die Tier 1 Unternehmen mit grösseren Teams unterwegs.

Was ist Deine Rolle dabei?

Ich bin für das Thema in meiner Firma in drei Aspekten verantwortlich. Einerseits die Gestaltung von Anforderungen in den Verträgen mit den Partnern, und damit auch das mögliche Verhandeln der Verträge. Zweitens im Thema der Prüfung der Lieferanten auf die Einhaltung dieser vereinbarten Vorgaben und drittens in der Beratung von Auftraggebern wie gerade mit aktuellen Angeboten wie SaaS die Sicherheit zu gewährleisten ist.

Ich bin da nicht ganz alleine unterwegs, wir sind zu viert in dem Thema spezialisiert, so dass immer jemand verfügbar bist.

Confare #CIOSUMMIT Zürich Banner

Treffen Sie etwa 200 hochkarätige IT-Profis beim wichtigsten Schweizer IT-Management Treffpunkt, dem Confare #CIOSUMMIT Zürich. Die Anmeldung ist für IT-Entscheider*innen nicht mit Kosten verbunden.

Welche Veränderungen passieren derzeit regulatorisch? Was bedeutet das für Deine Aufgaben?

Der Finanzsektor in der Schweiz hat strengere Auflagen erhalten auch seine Lieferantenkette zu kennen zu prüfen, dass vereinbarte Leistungen eingehalten werden.

In die gleiche Richtung gehen verstärkte Anforderungen in der Schweiz und auch aus der EU an die Resilienz der Services führen zu vermehrten Anfragen und angekündigten Audits.

Wie sieht die Zusammenarbeit mit dem Einkauf dabei konkret aus?

Die Einbindung in den Einkaufsprozess ist für die vorvertraglichen Themen essentiell. Wir haben dabei sichergestellt, dass viele Elemente automatisiert im Vertragsmanagement des Einkaufs erfolgen. Dazu gehören die Klassifizierung der Kritikalität, aber auch, ob der Security Anhang mit dabei ist. Für mögliche Verhandlungen ist der Einkauf angewiesen uns von Security für ein Approval einzubinden. Diese Zusammenarbeit hat einige Zeit benötigt um dies aufzubauen und bei Verhandlungen dann auch priorisiert dabei sein zu können.

Wie hoch ist der Aufwand, um im Bereich Supply Chain Security voranzukommen? Wie setzt man die richtigen Prioritäten?

Der Aufwand müsste viel höher sein, gerade auch wenn ich höre, wie der Verwaltungsrat von meiner Firma und der CISO nun mehr sehen wollen. Die Prioritäten sollten so gesetzt werden, dass man möglichst eine grosse Wirkung erzielen kann. Das heisst z.B. auf einen guten und aktuellen Security Anhang zu achten, der möglichst standardisiert ist. Weiter soll der Fokus dann auf den Lieferanten sein, die die grössten Risiko Faktoren darstellen. Für mich sind dies die Firmen, die zwischen 50 und 800 Mitarbeitende haben und beim Wachsen einfach nicht die nötige Governance gewährleisten können.

ConText Anmeldung Banner

Welche Erfahrungen habt ihr bei der Auditierung von Lieferanten? Was sieht dabei die Vorgehensweise aus? Was ist zu beachten?

Für mich ist wichtig, dass man zuerst die kritischen Lieferanten prüft. Wie kommt dazu: Entweder man etabliert im Beschaffungsprozess eine Bewertung der Kritikalität und erhält damit eine Einstufung. Oder man kann über die Evaluation in der BIA die kritischen Lieferanten evaluieren. Wir haben den ersten Weg gewählt. Bei den kritischen Lieferanten wählen wir dann die mittleren Unternehmen, da hier oftmals die Verantwortlichkeiten nicht klar geregelt sind.

Wir achten dabei darauf, den Kontext der eigenen Organisation und des Lieferanten zu kennen: Arbeiten der Lieferant auf der Infrastruktur von uns, oder ist alles beim Lieferanten und wir kriegen ein fertiges Produkt? – Je nachdem ist der Fokus des Audits anders gestaltet.

Wie bekommt man Compliance und Schatten-IT unter einen Hut?

Schatten-IT ist natürlich immer ein Thema, gerade wenn sie kostenlos ist. Sobald Kosten entstehen, oder eine SSO Integration gewünscht ist, dann haben wir die Möglichkeit einen Phase-In zu tätigen. Für alles andere bleibt dann nur noch, dass die Benutzer aufgrund der eigenen Awareness stutzig werden und ihre Bedenken melden.

Gerade im Umfeld der Entwickler sind es Tools, die Entwickler mitbringen ein Thema, genauso wie entsprechende Libraries die eingebunden werden. Wir haben Prozesse etabliert um das besser in den Griff zu bekommen, haben da aber sicher noch Verbesserungspotential.

Beim Confare Swiss #CIOSUMMIT kürt Confare in Zusammenarbeit mit EY die CIOs des Jahres mit dem Confare #CIOAWARD.

Für Sie ausgewählt

Leave a Comment