Dreamstime
StoryEditor

PORADŇA: Desatoro, ako si overiť bezpečnosť dodávateľa

15.12.2023, 00:00

Spoliehame sa čoraz viac na externých dodávateľov produktov a služieb, a to zdôrazňuje potrebu dôkladne posúdiť ich bezpečnosť.

V desiatich krokoch zhrnieme kritériá a postupy, ako komplexne zhodnotiť bezpečnosť dodávateľa. Ide o informačnú a kybernetickú bezpečnosť, bezpečnosť prevádzky a riadenie tretích strán.

Štandardy bezpečnosti

Overte si, či dodávateľ dodržiava najnovšie štandardy kybernetickej bezpečnosti, napríklad ISO/IEC 27001:2022, alebo či sa na neho vzťahuje zákon o kybernetickej bezpečnosti.

Dáta a informácie

Váš dodávateľ by mal mať nastavenú klasifikáciu informácií. Následne aj opatrenia na ochranu spracúvaných, uložených aj posielaných informácií medzi ním, subdodávateľmi a vami ako odberateľom.

Uistite sa, že máte a vždy budete mať prístup k relevantným informáciám o bezpečnosti dodávateľa, ktoré sa týkajú vášho biznisu. Či už ide o správne nastavenú komunikačnú maticu, alebo o osobu, ktorá za dodávateľa zabezpečuje komunikáciu.

Riadenie rizík

Pýtajte sa na zavedené procesy riadenia rizík, poslednú analýzu rizík a najvyššie identifikované inherentné riziká u dodávateľa a zároveň aj na plán na zmiernenie rizík.

Personálna bezpečnosť

Váš dodávateľ by vás mal oboznámiť so svojimi postupmi vzdelávania v informačnej a kybernetickej bezpečnosti.

Dodávateľa by ste mali zaškoliť a pravidelne informovať o svojich špecifických bezpečnostných opatreniach a platnej prevádzkovej a bezpečnostnej dokumentácii.

Identifikujete, ktoré osoby dodávateľa budú zapojené do plnenia zmluvných záväzkov a v akej miere.

Preventívne opatrenia

Dodávateľ by vám mal poskytnúť informácie o zavedených organizačných, procesných a technologických opatreniach.

Detekčné opatrenia

Overte si, či má dodávateľ vytvorené mechanizmy identifikácie bezpečnostných incidentov a následne postupy rýchlej reakcie. Vhodné je, ak ich dodávateľ s vami vyskúša aj formou cvičenia.

Zmluvné záväzky

Zahrňte do zmlúv doložky týkajúce sa bezpečnosti a špecifikácie očakávaných štandardov a opatrení dodávateľa.

Trvajte na možnosti ukončiť zmluvný vzťah so všetkými náležitosťami ako zmazanie informácií a vrátenie aktív. Predchádzajte najmä stavu vendor lock.

Subdodávatelia

Ak má dodávateľ subdodávateľov, overte si, či aj tieto subjekty dodržiavajú rovnaké štandardy bezpečnosti.

Pravidelné audity

Požadujte pravidelné audity bezpečnosti a transparentnú správu o výsledkoch.

Poistenie

Dodávateľ by mal mať uzatvorené poistenie, ktoré chráni jeho aj vás v prípade kybernetických útokov alebo iných bezpečnostných incidentov.

Michal Ďorda, audítor kybernetickej bezpečnosti, auditori.it

menuLevel = 1, menuRoute = hn-special, menuAlias = hn-special, menuRouteLevel0 = hn-special, homepage = false
05. november 2024 13:28