Kontrola dodavatelského řetězce v praxi

Víte, jaká rizika jsou spojená s outsourcingem a řetězením dodavatelů a jak jim v praxi nejlépe čelit?

Outsourcing je trend

Využití dodavatelů, resp. outsourcování určitých činností nebo procesních elementů, může přinést vyšší produktivitu, snížení nákladů či dlouhodobou udržitelnost. Proto je využívání různých dodavatelů současným operativním modelem většiny organizací, ať už ve službách nebo výrobě.

Není výjimkou, že někteří z dodavatelů zpracovávají data zákazníků či zaměstnanců nebo jinak vstupují do manažerského systému organizace. Může se například jednat o softwarové řešení CRM databáze či HR agenda správy zaměstnanců nebo účetnictví. Mnoho firem mnohdy ani netuší, že data „předávají dále“, ani že propojovací místa kdesi v systému dodavatelů a subdodavatelů se mohou stát terčem kyberútoku.

Ať už jsou služby dodavatelů využity pro zajištění či podporu jakéhokoliv interního procesu, tento obchodní vztah otevírá prostor pro nová rizika vyplývající právě ze vztahu s dodavatelem. Proto je důležité znát svůj dodavatelský řetězec, speciálně ten, který pokrývá technologickou konektivitu či zpracování a ochranu dat

První kroky k řízení rizika dodavatelů

Zmapovat dodavatelský řetězec

Mapování dodavatelského řetězce je proces zaznamenávání, ukládání a používání informací shromážděných od dodavatelů, kteří jsou zapojeni do celkového dodavatelského řetězce společnosti. Cílem je mít aktuální přehled o síti dodavatelů, aby bylo možné efektivněji řídit kybernetická a další rizika a provádět due diligence.

Důležitou součástí mapování jsou i subdodavatelé v dodavatelském řetězci a nastavené smluvní podmínky právě pro dodavatele a jejich subdodavatele.

Co k mapování využít:

  • Databázi nákupčího či finančního oddělení, zejména platby, nabídky, objednávky, faktury, licence atd. pro identifikaci všech skutečně využívaných dodavatelů

  • Smlouvy, licenční dohody a další právní dokumenty k identifikaci využívaných služeb,  produktů a jejich podmínek

  • Různé technologické nástroje, např. prozaznamenávání logů či identifikaci využívaných aplikací v IT prostředí společnosti

  • Dokumentaci interních procesů a postupů, zejména identifikace, jak je daný produkt či služba v organizaci využívána

  • Definici kritických procesů jak z pohledu businessu a provozu, tak informační bezpečnosti, případně využít víceúrovňová kritéria

  • Identifikaci požadované úrovně a vyspělosti dodavatele, typicky v oblasti informační bezpečnosti

  • Revizi procesu výběru dodavatelů, zohlednění informační bezpečnosti a provozní odolnosti již od počátku procesu

Identifikovat rizika dodavatelského řetězce

V rámci organizace by mělo být jasné, jakou úroveň rizika je management schopen a ochoten akceptovat. Přiměřený a efektivní program řízení rizik pak pomáhá organizaci optimálně řešit celou škálu hrozeb, kterým čelí. Řízení rizik pak zkoumá vztah mezi různými typy obchodních rizik a jejich případným dopadem na strategické cíle organizace.

Dodavatelské řetězce čelí zvyšujícímu se počtu kybernetických rizik, včetně zranitelností třetích stran, phishingu, porušení zabezpečení osobních údajů, ransomwarových útoků a různých narušení dostupnosti. Dodavatelské řetězce jsou citlivé, protože žádná jiná firma se nebude o vaše data a vaše bezpečí starat tak, jako vy sami. Proto je důležité zmapovat rizika související s využitím konkrétních dodavatelů, ohodnotit je a přistupovat k dodavatelům dle provedené analýzy a požadovat spolupráci na snížení rizik či jejich případných dopadů.

Řízení rizik v kostce

  • Identifikujte, co je třeba chránit a proč. Jedná se o hodnotu vašich informací nebo aktiv, která dodavatelé drží, budou držet, budou k nim mít přístup nebo s nimi budou nakládat

  • Identifikujte, kdo jsou vaši dodavatelé, a ověřte, jak zabezpečují zpracovávané informace a svoji kybernetickou a provozní odolnost. Ověřte zejména vyspělost a účinnost současných bezpečnostních opatření vašich dodavatelů, včetně posouzení, zda vaši dodavatelé a jejich subdodavatelé zajistili bezpečnostní požadavky, které jsou pro ochranu vašich dat a aktiv nezbytné.

  • Identifikujte bezpečnostní rizika, které pro vás představuje váš dodavatelský řetězec. Vyhodnoťte hrozby a rizika pro vaše informace nebo aktiva, pro produkty nebo služby, které mají být dodány, zdroje rizik, a pak rozhodněte, která rizika je nutné zmírnit, jak a do kdy.

Bezpečnost dodavatelského řetězce prakticky

Ze seznamu dodavatelů nejprve vyhodnoťte dodavatele, systémy, produkty a služby, které jsou pro vaši organizaci kritické. Poté identifikujte, jaké informace o vašem dodavatelském řetězci je zásadní znát a mít zdokumentované. Spolu s tímto se rozhodněte, jak budete informace bezpečně ukládat a spravovat k nim přístup v rámci celého řetězce.

Důležité je také rozhodnout, zda chcete shromažďovat informace o subdodavatelích svých dodavatelů, resp. jak daleko zajít v daném řetězci. K tomu můžete využít doplňkových služeb, které hodnotí vaše dodavatele a poskytují doplňující informace o jejich profilu, např. v oblasti kybernetických rizik.

U nových dodavatelů uveďte předem, v zadání pro výběrové řízení, co očekáváte od svých dodavatelů z pohledu informační bezpečnosti a provozní odolnosti. Stávajícím dodavatelům sdělte, jaké informace o nich chcete zaznamenávat a proč. Shromážděné informace od stávajících dodavatelů je doporučeno směřovat do centralizovaného úložiště, případně databáze.

Jaké jsou další kroky? Co je nejdůležitější nástroj k řešení řady rizik v rámci bezpečnosti informací? Odpovědi na tyto otázky naleznete v plném znění článku na gdpr.cz.


Chcete získat dárek k narozeninám?