Digitalizácia urýchlila podnikanie. Zároveň však dramaticky rozšírila spektrum rizík. Dnes už väčšina firiem neprevádzkuje kľúčové procesy len „u seba“ – ERP beží v cloude, sklad riadi externý WMS, účtovníctvo je prepojené s nástrojmi SaaS, údaje z oblasti ľudských zdrojov spravuje špecializovaný systém, komunikácia prebieha cez ďalšie platformy.
Otázka už dávno neznie: Sú naše údaje v bezpečí vnútri firmy?
Omnoho dôležitejšia je iná: Vieme, ako sú spravované u všetkých našich externých dodávateľov?
A práve v odpovedi sa začína prejavovať rozdiel medzi firmami, ktoré berú bezpečnosť ako formalitu, a tými, ktoré ju riadia strategicky.
Každý dodávateľ SaaS nesie časť vašej zodpovednosti
Moderná firma bežne pracuje s desiatkami externých systémov – ERP, WMS, EDI riešenia, účtovné a daňové nástroje, HR a mzdové systémy, CRM, reportingové nástroje či integračné platformy.
Každý z nich obsahuje citlivé údaje, od obchodných informácií cez osobné údaje a finančné prehľady až po výrobné know-how.
Vedenie firiem sa pri výbere dodávateľa prirodzene sústreďuje na funkčnosť, cenu, implementáciu a podporu. Mnoho menej pozornosti sa však venuje otázkam:
- Ako dodávateľ pracuje s údajmi?
- Ako riadi bezpečnosť?
- Ako je pripravený na incident?
- Aké riziká prenáša na nás?
Ide o kľúčové otázky, ktoré si je potrebné (začať) klásť. Predpisy ako GDPR, NIS2 alebo zákon o kybernetickej bezpečnosti totiž jasne hovoria jedno: Zodpovednosť nekončí podpísaním zmluvy.
Minimálne požiadavky vs. aktívne riadenie bezpečnosti
Na trhu dnes existujú dva typy dodávateľov.
Tí, ktorí spĺňajú minimum
- Majú základnú zmluvnú dokumentáciu.
- Na bezpečnosť reagujú až vtedy, keď je to potrebné.
- Bezpečnosť riešia skôr reaktívne.
- Interné procesy nie sú systematicky auditovateľné.
Formálne môže byť všetko „v poriadku“. Z dlhodobého a strategického hľadiska sa však jedná o rizikových dodávateľov.
Tí, ktorí aktívne riadia bezpečnosť
Týmto dodávateľom, rovnako ako nám v GRiTu, nejde len o plnenie povinných nariadení, ale o systematické a proaktívne riešenie bezpečnosti.
- Majú jasne definované bezpečnostné procesy.
- Vykonávajú pravidelné monitorovanie a protokolovanie.
- Podstupujú penetračné testovanie.
- Existuje riadenie prístupov a segmentácia dát.
- Majú plán kontinuity prevádzky (BCP/DR).
- Vykonávajú interné školenia zamestnancov.
- Majú certifikované systémy riadenia (napr. ISO 27001).
Rozdiel medzi týmito dvoma prístupmi dodávateľov sa v bežnej prevádzke často neprejaví.
V krízovej situácii sa však okamžite ukáže, kto len deklaruje a kto je skutočne pripravený riešiť problémy.
Päť otázok, ktoré by si mal položiť každý CEO, CIO alebo COO
Ak vaša firma využíva externé IT a SaaS riešenia, odpovedzte si na nasledujúce otázky:
- Kto všetko uchováva naše kľúčové údaje?
Máme ich zoznam? Vieme, kde sú fyzicky a technologicky uložené? - Máme prehľad o ich bezpečnostnom rámci?
Alebo len všeobecné uistenie v zmluve? - Má náš dodávateľ zavedený systém riadenia bezpečnosti (napr. ISO 27001)?
A je certifikácia skutočne aktívne riadená, alebo je len formálna? - Ako často prebiehajú bezpečnostné testy?
Penetračné testy? Interné audity? Revízie prístupov? - Aká je pripravenosť na incident?
Existuje jasný plán? Kto komunikuje? V akých lehotách?
Ak na niektorú z týchto otázok nemáte jasnú odpoveď, je to signál, že riadenie tretích strán môže byť slabším článkom vašej bezpečnosti.
Bezpečnosť ako kritérium výberu dodávateľa
Je dobré si uvedomiť, že regulácia (napr. smernica NIS2) aj ďalšia legislatíva výrazne rozširujú zodpovednosť manažmentu v otázke zabezpečenia údajov. Firmy budú musieť preukázať riadenie dodávateľských rizík, hodnotiť tretie strany, dokumentovať bezpečnostné opatrenia alebo zabezpečiť dohľad nad kritickými službami.
To znamená jediné – bezpečnosť dodávateľa sa stáva súčasťou vašej vlastnej compliance. V praxi to znamená nevyhnutnú zmenu myslenia.
Rovnako ako posudzujete finančnú stabilitu partnera alebo kvalitu jeho riešení, bezpečnosť by mala byť súčasťou výberového konania, pravidelného hodnotenia aj dlhodobej spolupráce.
Certifikácia (napr. ISO 27001), transparentné procesy, otvorená komunikácia o rizikách a jasné zodpovednosti – to už nie je len „nice to have“. Je to konkurenčná výhoda, ak nie nutnosť.
Ako by mal vyzerať zodpovedný dodávateľ?
Zodpovedný a bezpečnostne uvedomelý partner:
- chápe, že pracuje s kľúčovými údajmi klienta,
- má bezpečnosť zakotvenú na úrovni vedenia,
- pravidelne testuje a vyhodnocuje riziká,
- investuje do prevencie, nie až do riešenia incidentov
- a je schopný zdokumentovať svoje procesy a opatrenia.
V GRiTu vnímame bezpečnosť ako zdanlivo neviditeľnú, ale zásadnú súčasť našich riešení. Nejde len o technológiu. Ide o procesy, riadenie, zodpovednosť a dlhodobú dôveru.
Preto je bezpečnosť neoddeliteľnou súčasťou toho, ako naše systémy navrhujeme, prevádzkujeme a rozvíjame.
Záverečná otázka
Koľko tretích strán dnes pracuje s vašimi údajmi?
A u koľkých z nich skutočne viete, ako ich chránia?
Digitálna transformácia priniesla rýchlosť a efektívnosť. Teraz je čas, aby priniesla aj uvedomelé riadenie rizík. Pretože bezpečnosť vašich údajov nezačína pri firewalle. Začína pri výbere partnera.
A ak si chcete overiť, ako pristupovať k bezpečnosti partnerov, stiahnite si našu e-knihu: Manažérsky rámec pre bezpečné rozhodovanie v digitálnej spolupráci.
Riešite schvaľovanie faktúr?
30 minút, žiadny záväzok. Ukážeme vám, ako iNVOiCE FLOW zapadne do vášho ERP.
