Skip to content

Tentokrát z pohledu dodavatele

Informační bezpečnost z pohledu dodavatele nejen Významného

Záměr tohoto textu je strukturovaně popsat, co by organizace v pozici dodavatele měla brát v potaz pro zajištění schopnosti plnění dodavatelsko-odběratelského vztahu.

Pojem významný dodavatel je definován zákonem č. 181/2014 Sb. (dále jen „ZKB“). Rozšiřme si pole působnosti dodavatele mimo ICT prostředí a pozice osoby nespadající pod ZKB.

Představme si pekárnu, která zatím pod ZKB nespadá, nicméně je schopna si tímto způsobem identifikovat dodavatele, který například zajišťuje přísun surovin, kterými mohou být například koření, mouka, voda, elektrická energie a podobně.

Pokud jsme v pozici takového dodavatele nehledě na to, zda spadáme pod ZKB či nikoliv, bude potřeba pro hladký průběh plnění smlouvy a odběratelsko-dodavatelského vztahu zajistit identifikaci a následné řízení všech aktiv (čehokoliv, co má pro nás hodnotu v kontextu plnění smlouvy) v rozsahu plnění smlouvy.

Pokud tedy zůstaneme v oblasti potravinářské výroby, konkrétně v „naší“ pekárně, budeme v pozici dodavatele mouky, kdy budeme muset identifikovat:

  1. Rozsah smlouvy, kdy určíme co, v jakém množství a jak dodáváme, včetně všech zasmluvněných parametrů dodávky. V našem případě tedy kolik mouky, jaké mouky, jakým způsobem dopravujeme. Jde o informace, které potřebujeme zajistit z pohledu dostupnosti, tedy aby byli k dispozici v době, kdy je potřebujeme a z pohledu integrity, tedy abychom měli správné informace ze smlouvy.
  2. Rozsah aktiv, kdy si identifikujeme naše prostředky, které do plnění smlouvy potřebujeme zahrnout.
    • Začínáme informacemi, tedy samotnou smlouvou a jejím zněním.
    • Následují lidé, kteří zprostředkovávají komunikaci s odběratelem, objednáváním sortimentu a samozřejmě následně i fakturaci.Dalším aspektem v rozsahu prostředků pro zajištění plnění smlouvy budou nějaké ICT prostředky, ve kterých zpracováváme požadavky klienta, naše objednávky k našim dodavatelům, ekonomickou agendu firmy a další činnosti a procesy spojené s fungováním firmy. Nicméně zde bychom neměli zapomínat stále držet zřetel na to, které ICT prostředky potřebujeme k plnění konkrétní smlouvy. Docházkový systém asi pro chod naší společnosti nebude až tak důležitý. Nicméně objednávkový systém, kde zajišťujeme například nákup mouky, to samé platit nebude. ICT prostředky (systémy a IT nástroje) také potřebují nějakou infrastrukturu (HW a komunikace), na které tyto ICT prostředky fungují, kterou nám může zajišťovat náš dodavatel. Zde nesmíme opomenout dát do smlouvy s poskytovatelem služeb IaaS (infrastrukture as a service) pro naše ICT prostředky požadavek na dostupnost, abychom si zajistili proces Řízení kontinuity činností i na straně našich dodavatelů. Zde nezapomínejme na to, že funguje domino efekt, který se může z prostředí našich dodavatelů může přes nás projevit až u našich odběratelů.Lokalitu, nebo budovu bude potřeba také identifikovat, abychom zajistili plnění smlouvy s našimi odběrateli. Ochrana těchto lokalit nebo budov by měla být vzata v úvahu podle potřeby k zajištění plnění smlouvy s pekárnou. Pokud tedy skladovací prostory s moukou budou náchylné na úroveň vlhkosti, bude potřeba vlhkost v těchto prostorech monitorovat a adekvátně reagovat v případech výkyvu očekávaných hodnot vlhkosti, případně jiných důležitých parametrů.
    • Dodavatelé na naší straně mohou, také negativně působit na naši schopnost dostát smluvním závazkům. Tedy potřebujeme identifikovat ty dodavatele, kteří jsou ve stejné pozici jako my a mohou negativně ovlivnit svou nedostupností schopnost plnit naše smluvní závazky vůči našim odběratelům.
  3. Řízení identifikovaných aktiv je nedílnou součástí zajištění schopnosti efektivně zajišťovat smluvní povinnosti vůči našim odběratelům. O informace se staráme z pohledu jejich ochrany, tady přichází na řadu bezpečnost informací čili ochrana informací z pohledu důvěrnosti, integrity a dostupnosti. O nejcennější aktivum, tedy lidi, se musíme starat obzvláště pečlivě, protože podle dostupných průzkumů je to z 80 % právě lidský faktor, který způsobuje neočekávané události a incidenty v organizacích. Jak toto zapadá do našeho kontextu? Dojde k situaci, že v rámci dodávky mouky do pekárny, našeho odběratele se na cestě porouchalo vozidlo. To se samozřejmě stát může, nicméně zpětně bylo zjištěno, že vozidlo mělo již před 14 dny absolvovat garanční prohlídku, kterou správce vozového parku opomenul. Dá se tedy opodstatněně předpokládat, že této situaci, kdy se porouchalo vozidlo a nedodalo náklad mouky, dalo předejít. U ICT prostředků je to pak znalost provázání důležitých dat a informací pro plnění smlouvy (citace smlouvy, objednávky pekárny, dodací listy pekárně, faktury s pekárnou, bankovní výpisy, a další) na ICT prostředí. Jednoduše, kde se nacházejí data a informace důležité pro plnění smlouvy s pekárnou. Jednotlivé části ICT prostředí mají své hrozby a zranitelnosti, které je potřeba řádně řídit a předcházet tak neočekávaným událostem a incidentům-Lokality a budovy mají pochopitelně také své hrozby (například požár, povodeň, výpadek elektrické energie, výskyt hlodavců a hmyzu ohrožující skladovanou mouku, pokud chceme být trochu konkrétnější k našemu kontextu), které je potřeba identifikovat, ohodnotit a odpovídajícím způsobem řídit. Pokud jsem v budově nebo v lokalitě v nájmu, pak zajištění ochrany proti identifikovaným hrozbám musí být uvedeno ve smlouvě s poskytovatelem lokality či budovy. Identifikované hrozby u dodavatelů (krátkodobá nedostupnost způsobená například realizací operačního rizika, dlouhodobá nedostupnost jako důsledek zániku společnosti) musí být pochopitelně též náležitě ošetřeny, aby bylo zabráněno domino efektu a ovlivněna schopnost plnění našich závazků vůči našim odběratelům.
  4. Zajištění kontinuity činností je jeden proces, který nám může pomoci nastavit náhradní procesy a činnosti ke snížení negativního dopadu v případě nedostupnosti klíčových procesů nebo činností organizace. Které to jsou ty klíčové činnosti či procesy? Ty nám identifikuje analýza dopadů, která objektivně stanovuje citlivost procesů a dopad jejich nedostupnosti na organizaci. Jednoduše graficky:
Identifikované dopady dostupnosti

Na tabulce výše jednoduše vidíme graficky znázorněný požadavek na dostupnost ve 3stupňové škále. Škála formou a významem barev semaforu identifikuje požadavky na dostupnost procesů P1-P4. Nejcitlivější jsou tedy procesy P2 a P3, které mají hranici akceptovatelné nedostupnosti na úrovni 2 hodin. V řeči řízení kontinuity činností to znamená, že procesy P2 a P3 po uplynutí dvou hodin začínají generovat neakceptovatelné dopady do naší organizace. Druhým v pořadí je proces P3 a nejméně citlivý na dostupnost je proces P1. Na snížení negativního dopadu v případě nedostupnosti jednotlivých procesů je potřeba vytvořit Plány kontinuity, Plány obnovy pro technologie Havarijní plány pro lokality nebo budovy. Jak jsme se z procesů dostali na technologie a budovy? V bodě 3 je uvedeno nutnost provázání dat a informací na aktive, na kterých (ICT prostředky), nebo ve kterých (lokality, budovy), jsou zpracovávány. Provázání se týká pochopitelně také lidí a našich dodavatelů. Zde je logické, že požadavky na dostupnost, která jsme identifikovali u našich klíčových procesů P2 a P3 musíme promítnout také na všechna ostatní aktiva, která podporují generování očekávaných výstupů zmíněných procesů P2 a P3. Konkrétně tedy všechny data a informace, která jsou pomocí lidí zpracovávána v ICT prostředcích. Tato data, lidé a ICT prostředky jsou umístěny na konkrétních lokalitách a v budovách a je možné, že na jejich zpracování, nebo zajištění, či údržbě se podílí také naši dodavatelé. Všechna uvedená aktiva musí mít stejné požadavky na dostupnost jako procesy P2 a P3, takže do 2 hodin.

5. Řízení událostí a incidentů je proces zahrnující procesy, činnosti a kontakty, které se využívají v době, kdy dojde k události, která má, nebo může mít negativní dopad na naše odběratele. Je nutno stanovit zejména:

  • co považujeme za událost, nebo incident;koho je potřeba informovat, jaké informace, jakým způsobem a v jaké struktuře předat;aktivity je potřeba bezodkladně vykonat;jak dále postupovat v rámci komunikace průběhu události, či incidentu;jak nahlásit ukončení incidentu, jakým způsobem a v jaké struktuře předat informace o dopadech;jak implementovat opatření pro opakování situace;
  • jak ověřit účinnost opatření.

Aktivit není málo, nicméně musíme vzít v úvahu, že dlouho budovaná důvěra může být významně narušena. Nebo může být dokonce ztracena v případě, že nejsme schopni odpovídajícím způsobem řídit obchodní vztah a naplňovat oprávněná a zasmluvněná očekávání našich obchodních partnerů. Ve zkratce můžeme tedy říci je potřeba si definovat a řídit:

  1. rozsah smlouvy;
  2. aktiva podílející se na plnění smlouvy;
  3. řídit identifikovaná aktiva;
  4. zajistit dostupnost klíčových aktiv;
  5. řídit efektivně neočekávané události a incidenty.

Tato očekávání platí pro jakoukoliv organizaci nehledě na to, zda je výrobní, poskytuje služby či je zřízená státem. Každá organizace má své vnější a vnitřní vlivy, očekávání zainteresovaných stran a očekávané výstupy v požadovaném množství a kvalitě, tedy – kontext.

Závěrem je tedy potřeba jen zdůraznit, že podpisem smlouvy tento proces začíná a nikoliv končí. Pokud jsou ve smlouvě určeny pokuty za nedodržení povinností, máme rovnou stanoven i finanční dopad plynoucí z nedodržení smluvních povinností. I zde by měla fungovat proporcionalita a navrhovaná opatření k zajištění plnění smluvních povinností by neměla přesáhnout pokutu, která je za neplnění stanovena. Jednoduše řešeno opatření nemůže být dražší než výše hrozící pokuty.