24 listopada 2016

Podsumowanie panelu "Dostawcy, jako najsłabsze ogniowo w systemie bezpieczeństwa informacji"


22 listopada miałem przyjemność prowadzić panel dyskusyjny podczas konferencji PolCAAT 2016 organizowanej przez IIA. W trakcie bardzo interesującej (moim, bardzo subiektywnym zdaniem) dyskusji poruszyliśmy kilka tematów, które (w przypadkowej kolejności) postanowiłem zamieścić w niniejszym podsumowaniu:



  • W zależności od rodzaju świadczonych usług potrzebny jest inny zakres weryfikacji. uniwersalne listy, np. bazujące na ISO 27001 nie działają
  • relacje z dostawcami powinny bazować na zaufaniu - długotrwała relacja i długa historia właściwej jakości usług jest najlepszym wyznacznikiem solidności partnera. Nie bez znaczenia jest ich weryfikacja reputacji nowych dostawców w środowisku
  • przedstawiciele biznesu doceniają certyfikację ISO 27001 u dostawcy. Bardzo często jednak nie jest ona zupełnie zrozumiała przez działy zamówień.
  • nowe rozporządzenie w zakresie danych osobowych (GDPR) nakłada obowiązek zapewnienia sobie prawa audytu u dostawcy, który przetwarzać będzie dane osobowe. 
  • Zapewniając sobie dostęp do kodów źródłowych warto zwrócić uwagę, czy dostawca nie wprowadza bardzo ostrych ograniczeń dotyczących tego jak to powinno być wykonywane 
  • W umowach z dostawcą warto wpisać wymóg poinformowania przez niego o incydencie w ramach określonego czasu. Uwaga - GDPR wymaga by ADO poinformował o incydentach, nie ma bezpośredniego wymagania by o incydentach informował dostawca, którego zabezpieczenia zostały przełamane. Dostawcy mogą zacząć żądać wynagrodzenia za szybkie informowanie o incydentach
  • nietrywialnym ryzykiem jest wydanie przez nadzór typu GIODO zakazu korzystania z systemu, którego bezpieczeństwo zostało przełamane, do momentu zakończenia analiz w zakresie incydentu i wdrożenia zabezpieczeń. W skrajnych przypadkach może to uniemożliwić funkcjonowanie całej organizacji
  • dostawcy zazwyczaj są weryfikowanie na podstawie wypełnianych przez nich formularz z deklaracjami odnośnie stosowanych zabezpieczeń. W krajach Europy Zachodniej i USA coraz częstsze jest wpisywanie w umowy znacznych kar za nierzetelne zadeklarowanie rzeczywistego stanu zapewniania bezpieczeństwa informacji
  • w przypadku weryfikacji formularzy warto korzystać z przemyślanych metodyk pomagających wybrać dostawców obarczonych największym ryzykiem. Choć często głównym kryterium jest tu wartość kontraktu
  • w PL wciąż do rzadkości należą dokładne weryfikacje dostawców - nawet tych przetwarzających bardzo wartościowe informacje. Wciąż najczęściej jest to formalność, by zapewnić zgodność w wymaganiami grupy lub regulatora
  • od dostawców też można się trochę dobrego nauczyć. Ale przede wszystkim trzeba pamiętać, że korzysta się z usług profesjonalistów po to by z nich w rzeczywistości skorzystać.

A na zakończenie dodam, że zanim zaczniemy mocno punktować naszych dostawców może warto krytycznie spojrzeć na swoją działalność i zastanowić się, czy nasza organizacja jest zgodna z tymi wymaganiami, których oczekujemy od innych. Drzazgę w czyimś oku łatwo jest znaleźć.