Proč by firmy mělo zajímat, jak jejich dodavatelé pracují s daty?

Digitalizace zrychlila byznys. Zároveň ale dramaticky rozšířila mapu rizik. Dnes už většina firem neprovozuje klíčové procesy jen „u sebe“ – ERP běží v cloudu, sklad řídí externí WMS, účetnictví je napojené na SaaS nástroje, HR data spravuje specializovaný systém, komunikace probíhá přes další platformy.

Otázka tedy dávno nezní: Jsou naše data bezpečná uvnitř firmy?

Mnohem důležitější je jiná: Víme, jak jsou řízena u všech našich externích dodavatelů?

A právě u odpovědi se začíná ukazovat rozdíl mezi firmami, které bezpečnost berou jako formalitu, a těmi, které ji řídí strategicky.

Každý SaaS dodavatel drží část vaší odpovědnosti

Moderní firma běžně pracuje s desítkami externích systémů – ERP, WMS, EDI řešení, účetní a daňové nástroje, HR a mzdové systémy, CRM, reportingové nástroje či integrační platformy.

Každý z nich obsahuje citlivá data  od obchodních informací přes osobní údaje a finanční přehledy až po výrobní know-how.

Vedení firem se při výběru dodavatele přirozeně soustředí na funkčnost, cenu, implementaci a podporu.Mnohem méně pozornosti se ale věnuje otázkám:

• Jak dodavatel pracuje s daty?
• Jak řídí bezpečnost?
• Jak je připravený na incident?
• Jaká rizika přenáší na nás?

Jedná se o klíčové otázky, které je nutné si (začít) klást. Regulace jako GDPR, NIS2 nebo zákon o kybernetické bezpečnosti totiž jasně říkají jedno: Odpovědnost nekončí podpisem smlouvy.

Minimum vs. aktivní řízení bezpečnosti

Na trhu dnes existují dva typy dodavatelů.

Ti, kteří splňují minimum

• Mají základní smluvní dokumentaci.
• Reagují na bezpečnost až ve chvíli, kdy je vyžadována.
• Bezpečnost řeší spíše reaktivně.
• Interní procesy nejsou systematicky auditovatelné.

Formálně může být vše „v pořádku“. Dlouhodobě a strategicky se ale jedná o rizikové dodavatele.

Ti, kteří bezpečnost řídí aktivně

Těmto dodavatelům, stejně jako nám v GRiTu, nejde jen o plnění povinných nařízení, ale o systematické a proaktivní řešení bezpečnosti.

• Mají jasně definované bezpečnostní procesy.
• Provádí pravidelný monitoring a logování.
• Podstupují penetrační testování.
• Existuje řízení přístupů a segmentace dat.
• Mají plán kontinuity provozu (BCP/DR).
• Provádí interní školení zaměstnanců.
• Mají certifikované systémy řízení (např. ISO 27001).

Rozdíl mezi těmito dvěma dodavatelskými přístupy se často neprojeví v běžném provozu.
V krizové situaci se ale ukáže okamžitě, kdo jen deklaruje a kdo je opravdu připravený věci řešit.

Pět otázek, které by si měl položit každý CEO, CIO nebo COO

Pokud vaše firma využívá externí IT a SaaS řešení, odpovězte si na následující:

1. Kdo všechno drží naše klíčová data?
   Máme jejich seznam? Víme, kde jsou fyzicky a technologicky uložena?
   
   
2. Máme přehled o jejich bezpečnostním rámci?
   Nebo jen obecné ujištění ve smlouvě?
   
   
3. Má náš dodavatel zavedený systém řízení bezpečnosti (např. ISO 27001)?
   A je certifikace skutečně aktivně řízená, nebo jen formální?
   
   
4. Jak často probíhá testování bezpečnosti?
   Penetrační testy? Interní audity? Revize přístupů?
   
   
5. Jaká je připravenost na incident?
   Existuje jasný plán? Kdo komunikuje? V jakých lhůtách?

Pokud na některou z těchto otázek nemáte jasnou odpověď, je to signál, že řízení třetích stran může být slabším článkem vaší bezpečnosti.

Bezpečnost jako kritérium výběru dodavatele

Je dobré si uvědomit, že regulace (např. směrnice NIS2) i další legislativa výrazně rozšiřují v otázce zabezpečení dat odpovědnost managementu. Firmy budou muset prokazovat řízení dodavatelských rizik, hodnotit třetí strany, dokumentovat bezpečnostní opatření či zajistit dohled nad kritickými službami.

To znamená jediné – bezpečnost dodavatele se stává součástí vaší vlastní compliance. V praxi to znamená nutnou změnu myšlení.

Stejně jako posuzujete finanční stabilitu partnera nebo kvalitu jeho řešení, měla by být bezpečnost součástí výběrového řízení, pravidelného hodnocení i dlouhodobé spolupráce.

Certifikace (např. ISO 27001), transparentní procesy, otevřená komunikace o rizicích a jasné odpovědnosti – to už není „nice to have“. Je to konkurenční výhoda, ne-li nutnost.

Jak by měl vypadat odpovědný dodavatel?

Odpovědný a bezpečnostně osvícený partner:

• chápe, že pracuje s klíčovými daty klienta,
• má bezpečnost ukotvenou na úrovni vedení,
• pravidelně testuje a vyhodnocuje rizika,
• investuje do prevence, ne až do řešení incidentů
• a je schopen doložit své procesy a opatření.

V GRiTu vnímáme bezpečnost jako zdánlivě neviditelnou, ale zásadní vrstvu našich řešení. Nejde jen o technologii. Jde o procesy, řízení, odpovědnost a dlouhodobou důvěru.

Proto je bezpečnost integrální součástí toho, jak naše systémy navrhujeme, provozujeme i rozvíjíme.

Otázka na závěr

Kolik třetích stran dnes pracuje s vašimi daty?
A u kolika z nich skutečně víte, jak je chrání?

Digitální transformace přinesla rychlost a efektivitu. Teď je čas, aby přinesla i vědomé řízení rizik. Protože bezpečnost vašich dat nezačíná u firewallu. Začíná u výběru partnera.

‍

A pokud si chcete ověřit, jak k bezpečnosti partnerů přistupovat, stáhněte si náš E-book: Manažerský rámec pro bezpečné rozhodování v digitální spolupráci.