Vloga ponudnikov storitev IT pri kibernetski varnosti: kako izbrati pravega partnerja?

  • 3. okt. 2024

V današnjem povezanem digitalnem svetu je kibernetska varnost eno od najbolj kritičnih področij, na katero se mora osredotočiti vsaka organizacija. Ob vse večjem številu kibernetskih groženj in vse bolj sofisticiranih napadih, je sodelovanje s strokovnjaki za kibernetsko varnost ključno. Ponudniki storitev IT so pomembni partnerji, ki lahko bistveno prispevajo k zaščiti podjetniških sistemov, podatkov in omrežij, hkrati pa lahko za organizacijo predstavljajo tudi znatno varnostno tveganje. Kako prepoznati in izbrati ponudnike, ki izpolnjujejo najstrožja merila na področju kibernetske varnosti?

Pomen ponudnikov storitev IT na področju varnosti

Ponudniki storitev IT postajajo sestavni del delovanja organizacij. Sodelovanje s temi strokovnjaki podjetjem omogoča dostop do najnovejših tehnologij, znanja in izkušenj, predvsem pa zagotavlja nemoteno delovanje organizacije, kar je ključno za ustvarjanje dobička in boj proti naprednim kibernetskim grožnjam.


Ponudniki storitev IT izvajajo storitve, kot so:

  • varnostni nadzor prek nadzornih operativnih centrov (SOC) ali podpore
  • odkrivanje in odzivanje na incidente (prek sistemov SIEM ali SOAR)
  • podpora pri delovanju operativnih informacijskih sistemov (kadrovski in plačni sistem, računovodski sistem itd.)
  • zaščita pred DDoS napadi
  • upravljanje ranljivosti (vulnerability management)

Njihova vloga ni omejena le na implementacijo varnostnih rešitev, temveč vključuje tudi stalno izboljševanje varnostnega profila organizacije.


Opozorilo: ENISA (Agencija Evropske unije za varnost omrežij in informacij) je kot največjo grožnjo organizacijam do leta 2030 opredelila dobavitelje in kibernetske napade, ki nastanejo prek njih. Gre za kombinacijo dveh napadov - na dobavitelje in na stranke. Organizacije so zaradi vse bolj zapletenih sistemov in velikega števila dobaviteljev, ki jih je težje nadzorovati, vse bolj ranljive za takšne napade. Zato lahko pravilno izbran dobavitelj ne le znatno zmanjša tveganja kibernetskega napada, temveč tudi pomaga podjetju, da se hitro in učinkovito odzove na morebitne varnostne incidente.


NASVET: Če razmišljate o oddajanju varnostnih vlog v zunanje izvajanje, preberite naš članek: Oddajanje varnostnih vlog zunanjim izvajalcem - prednost ali grožnja? in primerjajte prednosti in tveganja tega pristopa.

 

4 ključna merila za izbiro ponudnikov kibernetskih storitev

 

1. Certifikati in standardi

Pri izbiri ponudnika je treba preveriti, ali izpolnjuje mednarodno priznane standarde in ima ustrezne certifikate, kot so ISO/IEC 27001, SOC 2 ali NIST, ali pa panožno specifične certifikate, kot je TISAX za avtomobilsko industrijo. Ti certifikati potrjujejo, da ponudnik upošteva najboljše prakse kibernetske varnosti.

NASVET: Ali ste vedeli, da podjetje Seyfor daje velik poudarek zaščiti podatkov svojih strank in ima certifikat ISO27001?

 

2. Izkušnje in reference

Pri izbiri ponudnika je ključnega pomena upoštevati njegove izkušnje na tem področju in v panogi. Izvajalec mora biti sposoben dokazati uspešne izvedbe projektov v podobnih panogah in za podjetja podobne velikosti. Reference obstoječih strank so dragocen vir informacij o tem, kako izvajalec obvladuje dejanske situacije in kako sodeluje s strankami.

Čeprav so lahko nekateri projekti pod NDA (sporazumom o nerazkrivanju informacij), je povsem običajno zahtevati anonimizirane podatke, kot so panoga, približna velikost podjetja in vrsta storitve, ki je bila opravljena, vključno s časovnimi okviri dobave. Tako dobite okvirno predstavo o izkušnjah, ki jih lahko podrobneje razjasnite na predstavitvenem sestanku ob ponudbi.

Zakaj je to pomembno: Izkušen ponudnik bo najverjetneje pripravljen na soočanje s specifičnimi grožnjami, ki bi lahko ogrozile vaše podjetje in se bo lahko hitro odzval na nove varnostne izzive.


3. Tehnološka opremljenost

Tehnološka raven orodij in storitev, ki jih ponuja ponudnik, je ključni dejavnik pri ocenjevanju njegovih zmogljivosti. Ponudnik naj bi uporabljal sodobne tehnologije in inovativne pristope, da se lahko spopade s trenutnimi in prihodnjimi grožnjami. Hkrati mora zagotoviti njihovo varnost (glejte točko 4). Sem spadajo na primer:

  • strojno učenje in umetna inteligenca: za odkrivanje anomalij in nenavadnih vzorcev vedenja v omrežju
  • avtomatizacija varnostnih procesov: omogoča hiter in učinkovit odziv na varnostne incidente brez človeškega posredovanja.
  • Threat Intelligence: sposobnost uporabe informacij o grožnjah iz globalnih virov in prilagajanje varnostnih ukrepov na podlagi najnovejših trendov in groženj.


4. Stalno ocenjevanje in revizija

Kakovostni ponudnik mora biti pripravljen in sposoben izvajati redne revizije in varnostne preizkuse, da preveri učinkovitost svojih ukrepov. To ne vključuje le tradicionalnih penetracijskih testov, temveč tudi napredne oblike ocenjevanja, kot so ˝red team˝ testi, ki vključujejo simulacije kibernetskih napadov. Informacije o rezultatih bi vam moral posredovati na način, ki vam zagotovi zaupanje postopke ponudnika.

Zakaj je to pomembno: Stalno testiranje in revizije pomagajo prepoznati morebitne šibkosti, preden postanejo resnična težava. Poleg tega lahko pripomorejo tudi k izboljšanju celotnega varnostnega okolja organizacije.

 

Kako pravilno izbrati ponudnika kibernetskih storitev in sodelovati z njim?


Korak 1: Izvedite pregled ˝due diligence˝

Pred sklenitvijo pogodbe s ponudnikom je pomembno izvesti temeljito preverjanje, tj. ugotoviti, v kakšnem stanju je potencialni ponudnik. To vključuje preverjanje njegove finančne stabilnosti, pregled pogodbenih pogojev in podrobno analizo ponujenih storitev z varnostnega vidika. Hkrati je treba preveriti stabilnost na trgu in preglednost glede objave letnih poročil itd. Za vas so lahko pomembne tudi informacije, ali vam bo v prihodnosti lahko zagotavljal podatke o ESG (okoljski, družbeni in upravljavski odgovornosti).

Korak 2: Pogodbeni pogoji in SLA (Service Level Agreement)

Pravilno sestavljena pogodba je temelj vsakega uspešnega sodelovanja. V pogodbi s ponudnikom morajo biti jasno opredeljene ne le storitve, ki jih je treba zagotoviti, temveč tudi posebne varnostne zahteve in postopki, ki jih mora ponudnik upoštevati. Vključevati mora tudi sankcije za neizpolnjevanje zahtev in mehanizme za reševanje morebitnih sporov.

Korak 3: Redna komunikacija in sodelovanje

Učinkovita in tekoča komunikacija med vašim podjetjem in ponudnikom je bistvena za uspešno sodelovanje. Pomembno je vzpostaviti redne sestanke in mehanizme poročanja, da bosta obe strani obveščeni o aktualnih grožnjah, tekočih dejavnostih, kadrovskih spremembah in spremembah varnostne strategije.

Korak 4: Spremljanje in stalno ocenjevanje

Redno spremljanje in ocenjevanje uspešnosti izvajalcev je ključnega pomena za ohranjanje visoke ravni varnosti. Implementacija orodij za sprotno spremljanje in poročanje je bistvenega pomena za zagotavljanje, da so storitve, ki jih zagotavlja izvajalec, učinkovite in izpolnjujejo pogodbene obveznosti ter ne predstavljajo tveganja za organizacijo.

Zakaj je to ključnega pomena: Stalno spremljanje omogoča hitro prilagajanje na spremembe na področju kibernetskih groženj in prilagoditev varnostnih ukrepov novim tveganjem.

 

Zahteve NIS2 in DORA za ponudnike storitev IT

Ključni korak na področju kibernetske varnosti je tudi izpolnjevanje zakonodajnih zahtev, kot sta NIS2 (Direktiva EU o varnosti omrežij in informacijskih sistemov) in DORA (Zakon o digitalni operativni odpornosti). Ti predpisi poudarjajo varnostne standarde in odpornost ponudnikov storitev.

NIS2 določa, da morajo organizacije zagotoviti, da ponudniki izpolnjujejo stroge varnostne standarde in so sposobni obvladovati kibernetske incidente. Te zahteve morajo biti določene in zahtevane v okviru pogodbenih obveznosti. To vključuje na primer naslednje točke:

  • določbe o dovoljenju za uporabo podatkov
  • določbe o nadzoru in reviziji ponudnika (pravila o reviziji s strani stranke)
  • določbe, ki urejajo dobavno verigo in zagotavljajo, da se podizvajalci zavežejo, da bodo v celoti upoštevali dogovore med zavezancem in ponudnikom ter da ne bodo v nasprotju z zahtevami zavezanca do ponudnika
  • določbe o obveznosti ponudnika, da ravna v skladu z varnostnimi politikami zavezanca, ali določbe o odobritvi varnostnih politik dobavitelja (ali odobritvi delov varnostnih politik, pomembnih za razmerje  s ponudnikom) s strani zavezanca
  • določbe o dobaviteljevi obveznosti obveščanja, npr. o kibernetskem incidentu v povezavi z izvajanjem pogodbe, pomembnih spremembah itd
  • pravila za uničenje podatkov
  • določbe o kaznih za kršitev obveznosti

In številne druge.


DORA se osredotoča na zagotavljanje digitalne odpornosti v finančnem sektorju in poudarja, da ponudniki storitev IT izpolnjujejo stroga varnostna pravila. Zahteve so podobne zahtevam NIS2, vendar je poudarek na varni in nadzorovani prekinitvi pogodbenega razmerja ter nemotenem prehodu k novemu ponudniku z zagotovljeno kontinuiteto storitev.

 

Seyfor nudi celovite storitve na področju kibernetske varnosti

Izbira pravega ponudnika kibernetskih storitev je ključna za ohranjanje visoke ravni kibernetske varnosti. Skrbno ocenjevanje in izbira partnerjev, ki izpolnjujejo stroga varnostna merila, lahko bistveno zmanjšata tveganja, povezana s kibernetskimi grožnjami. V današnjem dinamičnem okolju je pomembno imeti zanesljive partnerje, ki vam pomagajo zaščititi podatke in sisteme pred vedno novimi kibernetskimi napadi.

Katere možnosti sodelovanja ponuja Seyfor?

 

 

Avtorica: Ing. Kateřina Menšíková

Vir: Foresight Cybersecurity Threats For 2030 - Update 2024: razširjeno poročilo

 

 

Nazaj na vsebine

Povezani produkti

icon

Zaščita pred kibernetskimi napadi

Varujemo vse povezave v vašem sistemu, od identitet in končnih naprav do omrežij, podatkov in aplikacij.

Več informacij

Podobne vsebine

Več vsebin
image

Zakaj je samoregistracija ključen prvi korak k večji informacijski odpornosti podjetij

  • 10. dec. 2025
Preberi
image

Na koga bo vplival sistem NIS2? Uporabite naš kalkulator

  • 11. jul. 2025
Preberi
Več vsebin