Riadenie dodávateľských služieb, akvizície, vývoja a údržby informačných systémov

Ponechať všetky činnosti „doma“, dodávateľským spôsobom vykonávať iba niektoré (menej kritické podporné činnosti) alebo presunúť na dodávateľov všetko, okrem core biznisu?

Dátum publikácie:7. 1. 2020
Autor:Ing. Ivan Makatura

 

tt_kocka-sla

Najmä v komerčnej sfére je v posledných rokoch typicky zaužívaný taký model procesov, pri ktorom mnohé činnosti, ktoré podniky nepovažujú za svoj hlavný predmet podnikania (tzv. „core biznis“), presunú na sieť dodávateľov. Tento model sa nazýva „outsourcing“. Organizácie týmto spôsobom odčlenia podporné a vedľajšie aktivity a sústredia sa len na tie výkony, v ktorých sa samy cítia byť silné. Úvahy o ekonomickej a procesnej efektivite tohto prístupu ponecháme na ekonómov. Podstatné je, že outsourcing a všeobecne akákoľvek dodávka tovarov a služieb, ktorá sa týka informačných aktív, predstavuje z hľadiska informačnej bezpečnosti nový typ rizika, s ktorým je potrebné sa vyrovnať.

Insourcing alebo outsourcing?

Rozhodovanie, či si ponechať všetky činnosti „doma“, prípadne, či dodávateľským spôsobom vykonávať iba niektoré (menej kritické podporné činnosti), alebo naopak – či presunúť na dodávateľov všetko, okrem core biznisu, by malo byť podrobené skúmaniu aj z pohľadu zaručenia bezpečnosti informačných aktív. Pretože akokoľvek sa môže niekedy vedeniu zdať outsourcing efektívny, je potrebné vziať do úvahy, že ak podnik odovzdá hoci aj časť svojich citlivých údajov tretej strane, stráca nad nimi čiastočne alebo aj úplne kontrolu. Nie nadarmo je zmluvná ochrana informačných aktív dnes už zákonnou požiadavkou. Takmer totožné povinnosti v tejto oblasti vyplývajú organizáciám zo Všeobecného nariadenia EÚ o ochrane údajov (GDPR), zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, ale aj z mnohých ďalších (napríklad pre banky zo zákona o bankách). A nedá sa nedodať, že prostredníctvom technických noriem sú príslušné bezpečnostné ciele odporúčané už mnoho rokov.

Podstata otázky, či je pre podnik bezpečnejšie ponechať si plnú kontrolu nad citlivými informáciami, spočíva v rozhodnutí o tom, ktoré aktíva považuje podnik za klasifikované a ako chce zaručiť ich ochranu v prípade, ak bude daná činnosť vykonávaná dodávateľským spôsobom.

Čo je teda z hľadiska informačnej bezpečnosti potrebné vykonať ešte pred rozhodnutím o spustení outsourcingu služieb a tovarov?

Identifikujte riziko skôr, než vyberiete dodávateľa

Začať analyzovať riziká až vo chvíli, keď už dodávateľ získal prístup k vašim dátam, je neskoro. Paradoxne, neskoro pre rozhodnutie o outsourcingu je to najmä v prípade, keď identifikujete vysoké riziká, pretože tie samozrejme hrozia najmä u neserióznych dodávateľov.

Na druhej strane – proces posudzovania rizika outsourcingu musí byť primeraný službe, ktorú má dodávateľ začať poskytovať, a informáciám, ktoré s nimi bude organizácia zdieľať. Informačnej bezpečnosti nepridá na vážnosti, ak bude rovnako prísnym spôsobom posudzovať napríklad jednorazovú dodávku spotrebného materiálu a spracúvanie mzdovej agendy. Kým v prvom prípade zrejme nebude predmet činnosti  vyžadovať prístup k citlivým informáciám, v druhom  mnohokrát ide aj o osobitné kategórie osobných údajov. Nie je potrebné rovnakým spôsobom posudzovať výrobcu a dodávateľa hardvéru v porovnaní so softvérovou spoločnosťou, ktorá má vyvinúť a dodať aplikáciu s dlhodobým vplyvom na kvalitu obchodných údajov. A tak podobne. Pokiaľ si organizácia vyvinie metodiku na posúdenie kybernetických bezpečnostných rizík služieb, vykonávaných formou outsourcingu, bude to len výhodou.

Základným bezpečnostným cieľom v oblasti riadenia dodávateľských služieb je teda identifikácia hrozieb a rizík pôsobiacich na informačné aktíva, ktoré môžu byť spôsobené činnosťou dodávateľa.

 

Odborný článok je uvedený v skrátenom znení. Celé znenie článku:

Riadenie dodávateľských služieb, akvizície, vývoja a údržby informačných systémov

 

 

Ročný prístup si môžete objednať v našom e-shope:

Výhody predplateného prístupu nájdete v časti O PORTÁLI

Chcete mať pravidelné informácie o novinkách a aktuálnej ponuke?

Prihláste sa na odber noviniek e-mailom!

E-BOOK ZDARMA: Prehľad povinností podnikateľa a novinky pre rok 2020

Súvisiace odborné články

Súvisiace dokumenty

Súvisiace právne predpisy ZZ SR

  • 69/2018 Z. z. Zákon o kybernetickej bezpečnosti
  • 362/2018 Z. z. Vyhláška, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení

Funkcie

Partner