Seyfor StoreKontakt
MENU Zavřít

Role dodavatelů IT služeb v kybernetické bezpečnosti: Jak vybrat správného partnera?

  • Ing. Kateřina Menšíková
  • 10. 10. 2024
  • 7 minut čtení

V dnešním propojeném digitálním světě je kybernetická bezpečnost jednou z nejkritičtějších oblastí, na kterou se musí každá organizace zaměřit. Se stále se zvyšujícím množstvím kybernetických hrozeb a sofistikovaností útoků je spolupráce s odborníky na kybernetickou bezpečnost klíčová. Dodavatelé IT služeb jsou důležitými partnery, kteří mohou významně přispět k ochraně firemních systémů, dat a sítí, ale zároveň můžou představovat pro organizaci značné bezpečnostní riziko. Jak identifikovat a vybrat dodavatele, kteří splňují nejpřísnější kritéria v oblasti kybernetické bezpečnosti?

Význam dodavatelů IT služeb v oblasti bezpečnosti

Dodavatelé IT služeb se stávají nedílnou součástí provozu organizací. Spolupráce s těmito experty umožňuje firmám získat přístup k nejmodernějším technologiím, know-how, a především zajištění plynulého provozu organizace, což je klíčové pro generování zisku a v boji proti pokročilým kybernetickým hrozbám. 

Dodavatelé IT služeb nabízí služby jako:

  • bezpečnostní monitoring prostřednictvím dohledového centra (SOC) nebo na základně supportu,
  • detekci a reakci na incidenty (prostřednictvím provozu SIEMu nebo SOARu),
  • podpora při provozu provozního informačního systému (personální a mzdový systém, účetní systém atd.);
  • ochranu před DDoS útoky,
  • správu zranitelností (vulnerability management) a další.

Jejich role se neomezuje pouze na implementaci bezpečnostních řešení, ale také na průběžné zlepšování bezpečnostního profilu organizace.

Upozornění: ENISA (The European Union Agency for Cybersecurity) označila jako největší hrozbu pro organizace do roku 2030 právě dodavatele1 a kybernetické útoky vzniklé prostřednictví nich.  Jedná se o kombinaci dvou útoků – na dodavatele a na zákazníka. Organizace jsou vůči takovým útokům stále zranitelnější, a to kvůli stále složitějším systémům a velkému množství dodavatelů, na které je obtížnější dohlížet. Proto správně zvolený dodavatel může nejenom výrazně snížit riziko kybernetického útoku, ale také pomoci firmě rychle a efektivně reagovat na případné bezpečnostní incidenty.

TIP: Pokud zvažujete outsourcing bezpečnostních rolí, přečtěte si náš článek: Zajišťování bezpečnostních rolí externě – výhoda nebo hrozba? a porovnejte výhody a rizika tohoto přístupu.

Přihlaste se k odběru Seyfor newsletteru. Nechte si zasílat aktuální novinky a informace přímo do vaší e-mailové schránky.

Přihlášením souhlasíte s našimi zásadami pro zpracování osobních údajů

4 klíčová kritéria pro výběr dodavatelů kybernetických služeb

1. Certifikace a standardy

Při výběru dodavatele je důležité zkontrolovat, zda splňuje mezinárodně uznávané standardy a má příslušné certifikace, jako například ISO/IEC 27001, SOC 2, nebo NIST, nebo pak oborově zaměřené jako např. pro automobilový průmysl TISAX. Tyto certifikace potvrzují, že dodavatel dodržuje osvědčené postupy v oblasti kybernetické bezpečnosti.

TIP: Věděli jste, že společnost Seyfor klade silný důraz na ochranu dat svých klientů a je držitelem ISO27001?

2. Zkušenosti a reference

Při výběru dodavatele je nezbytné zohlednit jeho zkušenosti v oboru. Dodavatel by měl být schopen prokázat úspěšné realizace projektů v podobných odvětvích a velikostech podniků. Reference od stávajících klientů jsou cenným zdrojem informací o tom, jak dodavatel zvládá reálné situace a jakým způsobem spolupracuje se zákazníky.

Je samozřejmé, že některé z těchto projektů mohou být pod NDA, nicméně je zcela běžné požadovat anonymizované údaje jako např. obor činnosti, orientační velikost firmy a typ služby, která byla dodávána, vč. termínů dodávek. Tak získáte alespoň rámcovou představu o zkušenostech, které pak detailněji můžete probrat v rámci představovací schůzky k nabídce.

Proč na tom záleží: Zkušený dodavatel je pravděpodobněji připraven čelit specifickým hrozbám, které mohou ohrozit vaši firmu, a bude schopen rychle reagovat na nové bezpečnostní výzvy.

3. Technologická vybavenost

Technologická úroveň nástrojů a služeb, které dodavatel nabízí, je kritickým faktorem při hodnocení jeho schopností. Dodavatel by měl používat moderní technologie a inovační přístupy, které jsou schopny čelit současným i budoucím hrozbám. A zároveň by vám měl garantovat jejich bezpečnost (viz. bod 4). Patří sem např.:

  • Strojové učení a umělá inteligence (AI): Pro detekci anomálií a neobvyklých vzorců chování v síti.
  • Automatizace bezpečnostních procesů: Která umožňuje rychlou a efektivní reakci na bezpečnostní incidenty bez lidského zásahu.
  • Threat Intelligence: Schopnost využívat informace o hrozbách z globálních zdrojů a přizpůsobit bezpečnostní opatření na základě nejnovějších trendů a hrozeb.

4. Průběžné hodnocení a audit

Kvalitní dodavatel musí být ochoten a schopen pravidelně provádět audity a bezpečnostní testování, aby ověřil účinnost svých opatření. To zahrnuje nejen tradiční penetrační testy, ale i pokročilé formy hodnocení, jako jsou red teamingové testy, kam patří i simulace kybernetických útoků. Informace o výsledcích by vám měl zprostředkovat tak, abyste měli jistotu o bezpečném prostředí dodavatele.

Proč je to důležité: Průběžné testování a audity pomáhají identifikovat potenciální slabiny dříve, než se stanou skutečným problémem. Kromě toho mohou také přispět ke zlepšení celkového bezpečnostního prostředí organizace.

Jak správně postupovat při výběru a spolupráci s dodavatelem kybernetických služeb?

1. Krok: Provádění due diligence

Před uzavřením smlouvy s dodavatelem je důležité provést důkladnou prověrku, tj. zjistit v jaké kondici je daný potenciální dodavatel. To zahrnuje kontrolu jeho finanční stability, přezkoumání smluvních podmínek, a detailní analýzu nabízených služeb z pohledu bezpečnosti. Zároveň prověření stability na trhu a transparentnost z pohledu zveřejňování výročních zpráv atd. Zároveň pro vás mohou být důležité informace, zdali vám bude schopen do budoucna předat data k ESG.

2. Krok: Smluvní podmínky a SLA

Správně nastavená smlouva je základním kamenem každé úspěšné spolupráce. Ve smlouvě s dodavatelem by měly být jasně definovány nejen poskytované služby, ale také konkrétní bezpečnostní požadavky a postupy, které musí dodavatel dodržovat. Součástí by měly být i sankce za nedodržení těchto požadavků a mechanismy pro řešení případných sporů.

3. Krok: Pravidelná komunikace a spolupráce

Efektivní a plynulá komunikace mezi vaší firmou a dodavatelem je základem úspěšné spolupráce. Je důležité nastavit pravidelné schůzky a reportovací mechanismy, které zajistí, že obě strany budou informovány o aktuálních hrozbách, probíhajících aktivitách, personálních změnách a změnách v bezpečnostní strategii.

4. Krok: Monitoring a průběžné hodnocení

Pravidelný monitoring a hodnocení výkonu dodavatele je klíčové pro udržení vysoké úrovně bezpečnosti. Implementace nástrojů pro průběžné sledování a reporting je nezbytná, aby se zajistilo, že služby poskytované dodavatelem jsou efektivní a odpovídají smluvním závazkům a neplynou organizaci žádná rizika. 

Proč je to klíčové: Průběžné sledování umožňuje rychle reagovat na změny v prostředí kybernetických hrozeb a přizpůsobit bezpečnostní opatření novým rizikům.

Požadavky NIS2 a DORA na dodavatele IT služeb

Zásadním krokem v oblasti kybernetické bezpečnosti je také dodržování legislativních požadavků, jako jsou NIS2 (Směrnice EU o bezpečnosti sítí a informačních systémů) a DORA (Digital Operational Resilience Act). Tyto regulace kladou důraz na bezpečnostní standardy a resilienci dodavatelů služeb.

NIS2 stanovuje, že organizace musí zajistit, aby dodavatelé dodržovali přísné bezpečnostní normy a byly schopny zvládat kybernetické incidenty. Tyto požadavky musí být stanoveny a požadovány v rámci smluvního závazku. Jedná se např. o tyto body:

  • ustanovení o oprávnění užívat data;
  • ustanovení o kontrole a auditu dodavatele (pravidla zákaznického auditu);
  • ustanovení upravující řetězení dodavatelů, přičemž musí být zajištěno, že poddodavatelé se zaváží dodržovat v plném rozsahu ujednání mezi povinnou osobou a dodavatelem a nebudou v rozporu s požadavky povinné osoby na dodavatele;
  • ustanovení o povinnosti dodavatele dodržovat bezpečnostní politiky povinné osoby nebo ustanovení o odsouhlasení bezpečnostních politik dodavatele (nebo odsouhlasení pro dodavatelský vztah relevantních částí bezpečnostních politik) povinnou osobou;
  • ustanovení o povinnosti dodavatele informovat např. o kybernetickém incidentu souvisejícím s plněním smlouvy, významné změně atd.;
  • pravidla pro likvidaci dat;
  • ustanovení o sankcích za porušení povinností.

A mnoho dalších.

DORA se zaměřuje na zajištění digitální odolnosti v rámci finančního sektoru a také klade důraz na dodržování přísných bezpečnostních pravidel ze strany dodavatelů IT služeb. Požadavky jsou obdobné jako v případě NIS 2, jen je kladen důraz na bezpečné a kontrolované ukončení smluvního vztahu a  plynulého přechodu k novému dodavateli se zajištěním kontinuity služeb.

Seyfor poskytuje komplexní služby v oblasti kybernetické bezpečnosti

Výběr správného dodavatele kybernetických služeb je klíčový pro udržení vysoké úrovně kybernetické bezpečnosti. Pečlivé hodnocení a výběr partnerů, kteří splňují přísná kritéria v oblasti bezpečnosti, může výrazně snížit rizika spojená s kybernetickými hrozbami. V dnešním dynamickém prostředí je důležité mít spolehlivé partnery, kteří vám pomohou chránit vaše data a systémy před neustále se vyvíjejícími kybernetickými útoky.

Jaké možnosti spolupráce nabízí Seyfor?

Zdroje: 
1. Foresight Cybersecurity Threats For 2030 - Update 2024: Extended report 

Doporučené produkty

Ochrana před útoky

Zabezpečíme všechny články vašeho systému, od identit a koncových zařízení přes sítě, až po data a aplikace.

Více informací

Podobné články

Jak vybrat CRM: krabicové, na míru, cloudové nebo on-premise?

  • Ing. Anna Gwiltová
  • 4. 2. 2025
Přečíst článek

Lucie Jahnová: NIS2 a ZoKB – Odpovědnost vedení, role IT i outsourcing bezpečnosti

  • Ing. Kateřina Menšíková
  • 30. 1. 2025
Přečíst článek
Vybrat jazyk

Tato stránka je chráněna službou reCAPTCHA a platí na ni zásady ochrany osobních údajů a podmínky používání služby Google. | © 2025 Seyfor