Cyberbezpieczeństwo: odpowiadamy także za naszych podwykonawców

60

Dobra passa firmy nie zależy tylko i wyłącznie od włożonej pracy, czasu i pieniędzy. Zależy również od relacji, które udało nam się nawiązać przy jej zakładaniu i rozwijaniu. Pracując zespołowo, jesteśmy silniejsi i wypracowujemy więcej. Konsekwencją powyższych twierdzeń jest dbałość o zawiązane relacje, a także… złudne poczucie bezpieczeństwa.

W praktyce mali i średni operatorzy telekomunikacyjni często działają na zasadach partnerskich, nie zwracając uwagi nawet na odpowiednie sformalizowanie współpracy, zabezpieczenie się umowami i klauzulami. Nie weryfikują w związku z tym jakości świadczonych usług i nie stawiają wymagań wobec kultury cyberbezpieczeństwa firm, z którymi współpracują. Zapominają, że nawet serdeczni przyjaciele powinni się skrupulatnie rozliczać i oczekiwać się od siebie nawzajem najwyższych standardów współpracy.

– Co do zasady wzajemny szacunek i koleżeństwo, jakie obserwujemy w środowisku MiŚOT, silnie zobowiązują by wzajemnie wymagać od siebie usług najwyższej jakości w każdym obszarze, również w zakresie bezpieczeństwa – mówi Patrycja Hładoń, audytorka i researcherka współpracująca z ramienia Informatics Sp. z o.o. z Projektem MDS, wchodzącym w skład grupy MiŚOT. – Niestety, rzeczywistość często otrzeźwia nas kubłem zimnej wody. Oczywiście relacje są bardzo ważne, nie zamierzam tego negować. Co więcej, uważam, że tylko wspólnie możemy osiągnąć więcej i zrealizować najbardziej ambitne plany. Szanując się i kolegując, stawiajmy sobie jednak wymagania, a jeszcze wcześniej sformalizujmy zasady współpracy. Chcąc uniknąć zgrzytów, nieporozumień i spięć, w zakresie cyberbezpieczeńśtwa proponuję skorzystać z obiektywnych wymagań, które są określone w Międzynarodowej Normie ISO/IEC 27001:2017-06.

Cyberbezpieczni partnerzy

– Bezpieczeństwo w relacjach z parterami biznesowymi i podwykonawcami, jest jednym z obszarów tej normy – dodaje Marcin Zemła, reprezentujący Projekt MDS, odpowiedzialny w Grupie MiŚOT za wypracowanie rozwiązań i produktów podnoszących poziom cyberbezpieczeństwa. – Opierając się na normatywnych wymaganiach, obiektywnym dokumencie, bez emocji i zbędnych dyskusji, po pierwsze należy uzgodnić z kontrahentem i udokumentować nasze wymagania bezpieczeństwa. Następnie należy podpisać umowę lub porozumienie, w których określimy wszystkie istotne wymagania dotyczące bezpieczeństwa, w tym bezpieczeństwa informacji i cyberbezpieczeństwa.

Nasi eksperci radzą zawrzeć taką umowę z każdym dostawcą, który może uzyskać dostęp, przetwarzać, przechowywać, przesyłać lub dostarczać elementy infrastruktury teleinformatycznej dla przetwarzania informacji należących do organizacji.

– Należy też regularnie monitorować, przeglądać i audytować dostarczanie usług zewnętrznych, dbając o doskonalenie procedur i zabezpieczeń, z uwzględnieniem krytyczności informacji, systemów i procesów biznesowych, których dotyczą – dodaje Marcin Zemła.

Marcin Zemła (MdS)
Marcin Zemła (MdS) na Zjeździe MiŚOT

Prawo do cyberochrony

– To, co jednak wydaje się w tym wszystkim najważniejsze i najistotniejsze to zgodność z przepisami prawa – uzupełnia Patrycja Hładoń. – Podejście organizacji do wymagań prawnych, umownych oraz innych regulacji wydaje się podstawowym kryterium przy wyborze współpracowników. Kiedy przystępujemy do przetargów lub składamy oferty, wymaga się od nas, żeby udowodnić realizację zasad bezpieczeństwa zgodnych z normą ISO/IEC 27001:2017-06. W takich przypadkach odpowiadamy nie tylko za siebie, ale również za wszystkich nasz współpracowników, kontrahentów i podwykonawców, którzy z nami będą realizowali przedmiot zamówienia – podkreśla.

Należy w związku z tym wdrożyć odpowiednie procedury zapewniające zgodność z wymaganiami prawnymi, regulacyjnymi i umownymi. Dotyczy to także prawa własności intelektualnej i użytkowania prawnie zastrzeżonego oprogramowania. Tego samego należy wymagać od swoich podwykonawców.

– Na koniec, rekomendowałabym także by pamiętać o umowach NDA, umowach powierzenia przetwarzania danych, zapisach w umowach podstawowych dotyczących odpowiedzialności finansowej – zaznacza Patrycja Hładoń. – Życzę każdemu jak najlepszych relacji ze współpracownikami i kontrahentami, ale pamiętajmy, że odpowiednie zapisy szykuje się zawsze na czas ewentualnego i możliwego konfliktu. Takie ryzyko istnieje zawsze, nawet między najlepszymi przyjaciółmi.

Patrycja Hładoń, Informatics