在19世纪后期,马车是英国许多城市主要交通工具,然而随处可见的马粪不仅恶化了空气,还污染了水源,并加速了疾病的传播。
虽然采用铲子和手推车等一些方法进行清理,但当时的技术和方法并不能完全解决街面上的马粪问题。直到机动车辆的出现,这些城市才彻底地摆脱了这个困境,因此说这个困境当时充其量只能管理它。
这可能是当今供应链安全状况所面临的困境。但供应链安全不是一个问题,因为没有简单的解决方案或方法。
供应链安全是一个复杂而混乱的困境,可能很长时间之后才能得到解决。这不仅仅是语义上的差异。而这种区别使人们能够更好地对面临的安全挑战进行分类,做出更好的决策,并避免因对给定挑战采用错误的方法而产生的挫败感。
如果供应链安全是一个问题,那么应该可以找到解决方案。然而,无癈安全供应商怎么关注,都缺乏能够全面解决供应链安全挑战的解决方案。
无法改变的事情反映了人们在区别问题和困境之间可能存在的困难。无法知道差异可能会导致在解决无法实质性改变的困境时感到沮丧,这将浪费时间和资源。
针对不同挑战的不同工具
不知道差异也可能导致错误的工具选择,或对正确工具的错误期望。而用来解决问题的实施工具与用来管理困境的决策支持工具截然不同。
知名导演JohnLambert有一句格言:“防守者在列表中思考。进攻者在图表中思考。只要这是真的,进攻者就会获胜。”这句格言的不同之处可以很好地总结出来这种差异。
当人们谈论解决基本合规性问题时,通常都已经解决这些问题,而这些解决方案可以编成清单。解决问题的工具应该能够轻松检查这些列表,并确认解决常见缺陷。但是,当涉及到诸如供应链安全之类的困境时,只是进行基础的简单建议或依靠回答冗长的调查问卷这样的措施是不够的。供应链风险并不会在收到一份完整的问卷后就会消失。
其困境往往源于相互依赖的组成部分之间的复杂相互作用,而这几乎是难以解决的。困境没有单一的原因,因此也没有单一的解决方案。同样,供应链也紧密交织在一起。而在市场上,对外部供应商的依赖是不容易解决的。这种依赖性造成了一种持续的风险因素或困境,只有在一种全新的技术或流程取代当今的供应链运作方式之前,才能对其进行管理。
绘制供应商和关键资产之间的相互依赖关系有助于减少风险并减轻潜在影响。这张关系图不能解决供应链问题,但用图表来思考可以让人们理解和管理这种风险。例如,软件物料清单(SBOM)不会让软件供应链安全问题消失。然而,在了解依赖关系和管理与所处困境相关的风险方面,它们非常有用。
在网络安全中,经常在“完成”时很难知道或表达清楚。将问题与困境分开会有所帮助。当涉及到问题时,当符合最新的最佳实践和标准(一个困难但可以实现的移动目标)时,就完成了。但是当涉及到供应链安全这样的困境时,人们需要知道面临的这种困境可能是长期的。