- W zależności od rodzaju świadczonych usług potrzebny jest inny zakres weryfikacji. uniwersalne listy, np. bazujące na ISO 27001 nie działają
- relacje z dostawcami powinny bazować na zaufaniu - długotrwała relacja i długa historia właściwej jakości usług jest najlepszym wyznacznikiem solidności partnera. Nie bez znaczenia jest ich weryfikacja reputacji nowych dostawców w środowisku
- przedstawiciele biznesu doceniają certyfikację ISO 27001 u dostawcy. Bardzo często jednak nie jest ona zupełnie zrozumiała przez działy zamówień.
- nowe rozporządzenie w zakresie danych osobowych (GDPR) nakłada obowiązek zapewnienia sobie prawa audytu u dostawcy, który przetwarzać będzie dane osobowe.
- Zapewniając sobie dostęp do kodów źródłowych warto zwrócić uwagę, czy dostawca nie wprowadza bardzo ostrych ograniczeń dotyczących tego jak to powinno być wykonywane
- W umowach z dostawcą warto wpisać wymóg poinformowania przez niego o incydencie w ramach określonego czasu. Uwaga - GDPR wymaga by ADO poinformował o incydentach, nie ma bezpośredniego wymagania by o incydentach informował dostawca, którego zabezpieczenia zostały przełamane. Dostawcy mogą zacząć żądać wynagrodzenia za szybkie informowanie o incydentach
- nietrywialnym ryzykiem jest wydanie przez nadzór typu GIODO zakazu korzystania z systemu, którego bezpieczeństwo zostało przełamane, do momentu zakończenia analiz w zakresie incydentu i wdrożenia zabezpieczeń. W skrajnych przypadkach może to uniemożliwić funkcjonowanie całej organizacji
- dostawcy zazwyczaj są weryfikowanie na podstawie wypełnianych przez nich formularz z deklaracjami odnośnie stosowanych zabezpieczeń. W krajach Europy Zachodniej i USA coraz częstsze jest wpisywanie w umowy znacznych kar za nierzetelne zadeklarowanie rzeczywistego stanu zapewniania bezpieczeństwa informacji
- w przypadku weryfikacji formularzy warto korzystać z przemyślanych metodyk pomagających wybrać dostawców obarczonych największym ryzykiem. Choć często głównym kryterium jest tu wartość kontraktu
- w PL wciąż do rzadkości należą dokładne weryfikacje dostawców - nawet tych przetwarzających bardzo wartościowe informacje. Wciąż najczęściej jest to formalność, by zapewnić zgodność w wymaganiami grupy lub regulatora
- od dostawców też można się trochę dobrego nauczyć. Ale przede wszystkim trzeba pamiętać, że korzysta się z usług profesjonalistów po to by z nich w rzeczywistości skorzystać.
A na zakończenie dodam, że zanim zaczniemy mocno punktować naszych dostawców może warto krytycznie spojrzeć na swoją działalność i zastanowić się, czy nasza organizacja jest zgodna z tymi wymaganiami, których oczekujemy od innych. Drzazgę w czyimś oku łatwo jest znaleźć.
