Zákon trvá na tom, aby sme mali bezpečných dodávateľov a odberateľov, ale v tejto chvíli nám nedáva exaktný návod ako to posúdiť alebo overiť.
Trh bude hladný po kvalitných kyberbezpečnostných službách, ale radíme byť opatrní. Skúsené kyberbezpečnostné firmy by vám mali predstaviť metodiku, ako posúdiť bezpečnosť tretích strán a uviesť aj referencie. Komplexná jednorazová analýza a manažment tretích strán sa zvyčajne realizujú v kľúčových etapách.
Klasifikácia
Identifikujte všetkých dodávateľov, partnerov a subdodávateľov pripojených do sieťových a informačných systémov a ich úrovne prístupov. Tieto tretie strany klasifikujte podľa typu poskytovanej služby a úrovne prístupu k citlivým informáciám alebo kritickým systémom.
Ohodnotenie rizík
Analýza rizík sa zameriava na možné hrozby a zraniteľnosti, ktoré môžu vyplynúť zo zapojenia tretích strán do IT infraštruktúry. Výsledné hodnotenie rizík je založené na pravdepodobnosti a dopade potenciálnych kybernetických bezpečnostných incidentov.
Implementácia opatrení
Implementujte špecifické bezpečnostné štandardy a opatrenia, ktoré musia tretie strany dodržiavať, ako sú napríklad šifrovanie dát či prístupové protokoly. Súčasťou sú aj návrhy na optimálnu implementáciu zodpovedajúcich bezpečnostných technológií pre tretie strany. Upravte procesy a požiadavky, ktoré z toho vyplývajú, zapracujte do zmlúv s dodávateľmi a odberateľmi.
Kontrola
Aby ste sa uistili, že tretie strany dodržiavajú dohodnuté bezpečnostné dohodnuté požiadavky a štandardy, navrhnite organizačné a procesné opatrenia pre pravidelné kontroly a audity. Tu sa používajú nástroje na monitorovanie a správu, ktoré umožňujú sledovať dodržiavania požiadaviek v reálnom čase.
Riešenie incidentov
Ak máte vytvorené plány reakcie na bezpečnostné incidenty, doplňte ich o tretie strany. Ak ste ich nezačali ešte robiť, je najvyšší čas! Tieto plány by mali určovať postupy na riešenie bezpečnostných incidentov a spôsoby, ako obnoviť normálny chod.
Metodika posudzovania
Hodnotenie rizík kyberbezpečnosti v dodávateľsko-odberateľskom reťazci a v manažmente tretích strán vychádza z normatívnych rámcov. Zároveň reflektuje požiadavky nálezov a odporúčaní auditov kybernetickej bezpečnosti. Zahŕňa identifikáciu, hodnotenie a ošetrovanie bezpečnostných rizík a zraniteľností.
Posúdenie bezpečnosti informácií pomáha chrániť pred kyberútokmi a zvyšuje úroveň zabezpečenia kritických údajov organizácie. Hodnotenia tak vytvárajú tlak na dodávateľov, aby prijali primerané bezpečnostné opatrenia, či už ide o spracovanie údajov alebo prístupy do infraštruktúry.
Povinné minimum
Požiadavky na bezpečnosť dodávateľov reflektujú typ dodávateľa, rozsah jeho prístupov a poskytovaných informácií a dát. Riadenie informačnej bezpečnosti a prevádzkových rizík zahŕňa široké spektrum oblastí od prevádzkovej bezpečnosti, softvérového inžinierstva a architektúry, až po správu incidentov a riadenie zraniteľností, s dôrazom na ochranu informácií a zaisťovanie kontinuity podnikania.
Kedy ich hodnotiť
Vždy, keď noví dodávatelia a odberatelia dostávajú prístup do IT infraštruktúry a informačných systémov aj pri rozširovaní či ukončení obchodnej spolupráce. Ohodnotenia sú súčasťou dodržiavania regulačných a legislatívnych požiadaviek a procesu, keď audit zistí nedostatky a požiada o ich odstránenie.
Nevyhnutné kroky
Štandardizovaný dotazník hodnotí kľúčové oblasti spolupráce a detailnú analýzu procesov. Analýza procesov sa robí riadenými rozhovormi s tretími stranami s potenciálnym vysokým alebo kritickým dopadom. Pre tieto strany sa zároveň vykonáva analýza výsledkov vykonaných penetračných testov, auditných správ a eliminácia útočného povrchu na zhodnotenie ich bezpečnostnej pripravenosti.
Kontinuálne hodnotenie
Kontinuálne hodnotenie zahŕňa nepretržitý monitoring únikov z infraštruktúry tretích strán monitoringom. Súčasťou je analýza otvorených zdrojov organizácie a bezpečnosť verejne dostupných služieb tretích strán. Zároveň sa vykonávajú priebežné audity implementovaných bezpečnostných opatrení tretích strán z hľadiska riadenia prístupu do infraštruktúry a zabezpečenia poskytnutých dát.
Roman Čupka, kyberbezpečnostný senior konzultant