Kilka miesięcy temu zadzwonił do nas klient, bo doszło do naruszenia u ich dostawcy ATS. CV kandydatów, numery telefonów, oczekiwania płacowe, notatki z rozmów. Wszystko wyciekło. Pierwsze pytanie ze strony zarządu brzmiało: “do jakich danych ten dostawca miał dostęp?”. Odpowiedź powinna była być od razu znana, zamiast tego przez trzy dni przeszukiwano maile i umowy, by złożyć pełny obraz sytuacji.
Na tym właśnie polega zarządzanie dostawcami. Nie chodzi o teoretyczne ćwiczenie z zarządzania ryzykiem, ale o praktyczną wiedzę o tym, dokąd trafiają Twoje dane, kto ma do nich dostęp i jak ważny jest każdy dostawca dla codziennej działalności.
CISO Assistant daje Ci strukturę do śledzenia tego wszystkiego w jednym miejscu. Ten przewodnik opisuje proces od rejestracji pierwszego dostawcy do zbudowania pełnego obrazu ekspozycji łańcucha dostaw.
Dlaczego to ma większe znaczenie, niż myślisz
Gdy u dostawcy coś pójdzie nie tak, staje się to Twoim problemem. Dostawca chmury ma awarię - Twoje usługi przestają działać. Platforma rekrutacyjna zostaje zhakowana - wyciekają dane osobowe Twoich kandydatów. CRM zostaje skompromitowany - informacje o klientach są zagrożone. Nawet firma sprzątająca ma fizyczny dostęp do Twoich pomieszczeń.
Organy nadzorcze też to rozumieją. ISO 27001 (szczególnie załącznik A.5.19-A.5.22), TISAX (rozdział 6), GDPR i NIS2 wymagają zarządzania bezpieczeństwem informacji w relacjach z dostawcami. Pytania, na które chcą znać odpowiedź, są proste: kim są Wasi dostawcy, do jakich danych mają dostęp, jak ważni są dla organizacji, jakie środki bezpieczeństwa stosują i co się stanie, jeśli zawiodą.
Najpierw uporządkuj struktury według działów
Zanim dodasz poszczególnych dostawców, skonfiguruj strukturę domen w CISO Assistant. Przejdź do Organization > Domains i utwórz foldery dla działów odpowiedzialnych za relacje z dostawcami.
Infrastructure and IT zazwyczaj zarządza dostawcami chmury, hostingu, zarządzania tożsamością, monitoringu i narzędzi developerskich. Office Management obsługuje wynajem powierzchni, media, sprzątanie, kurierów i telekomunikację. HR and Recruitment odpowiada za agencje rekrutacyjne, platformy ATS, tablice ogłoszeń i usługi weryfikacji kandydatów. Finance zarządza bankami, biurami rachunkowymi, prawnikami, firmami audytowymi i ubezpieczeniami. Marketing korzysta z narzędzi analitycznych, platform SEO, narzędzi social media i oprogramowania do projektowania. Sales zarządza CRM, narzędziami sales intelligence, platformami e-podpisu i usługami VoIP. Security obsługuje dostawców antywirusów, narzędzi SIEM i konsultantów ds. bezpieczeństwa. Engineering zwykle korzysta z narzędzi projektowych, platform eventowych i bibliotek komponentów.
Taka struktura sprawia, że każdy dostawca ma jasno określonego właściciela, a gdy coś wymaga uwagi, wiesz dokładnie, do kogo zadzwonić.
Rejestruj dostawców
Przejdź do Third Party > Entities i zacznij dodawać dostawców. To rdzeń Twojego rejestru dostawców - szczerze mówiąc, budowanie go po raz pierwszy jest najbardziej żmudną częścią całego procesu.
Dla każdego dostawcy uzupełnij pełną nazwę prawną (potrzebną do umów), opis tego, co konkretnie robi dla Twojej firmy, dział odpowiedzialny za relację, kategorię usługi, kraj siedziby (ważne ze względu na transfer danych w kontekście GDPR), stronę internetową oraz ocenę krytyczności.
| Pole | Co wpisać | Dlaczego ma znaczenie |
|---|---|---|
| Name | Pełna nazwa prawna | Umowy i odniesienia prawne |
| Description | Co konkretnie robi dla Ciebie | Każdy może na pierwszy rzut oka zrozumieć relację |
| Domain | Dział odpowiedzialny | Jasna rozliczalność |
| Mission | Kategoria usługi | Grupowanie i raportowanie |
| Country | Lokalizacja siedziby | Transfer danych w kontekście GDPR |
| Reference Link | Strona internetowa firmy | Szybkie odniesienie |
| Default Criticality | Skala 0-4 | Priorytetyzacja ryzyka |
Jak oceniać krytyczność
| Poziom | Znaczenie | Przykłady |
|---|---|---|
| 4 - Essential | Działalność całkowicie ustaje bez tego dostawcy | AWS, GCP, JumpCloud, 1Password, GitHub |
| 3 - Important | Poważne zakłócenia, zawiera ważne dane biznesowe | Slack, Atlassian, Google Workspace, Cloudflare, Datadog |
| 2 - Moderate | Zauważalny wpływ, ale istnieją obejścia | Figma, CloudTalk, Apollo.io, ClickUp, Miro, Hotjar |
| 1 - Low | Nieznaczna niedogodność, łatwa do zastąpienia | Niszowe narzędzia SaaS, pojedyncze platformy analityczne |
| 0 - Minimal | Brak wpływu operacyjnego | Niewymagane usługi, darmowe narzędzia |
Przepracowanie listy dostawców
Przechodź dział po dziale. Z naszego doświadczenia wynika, że większość organizacji bagatelizuje liczbę dostawców, dopóki nie zacznie ich spisywać.
Infrastructure and IT to zwykle największa sekcja - często 30-40 podmiotów. Pomyśl o każdej usłudze, której dotyka Twój zespół IT. Platformy chmurowe jak AWS, Azure i Google Cloud. Dostawcy tożsamości jak JumpCloud. Menadżery haseł jak 1Password. Hosting kodu na GitHub. Komunikacja przez Slack. Cały pakiet Atlassian. Bazy wiedzy jak Coda i Confluence. Monitoring przez Datadog. Zarządzanie DNS i domenami przez Cloudflare, GoDaddy lub OVH. Docker do kontenerów. Narzędzia AI od OpenAI, Anthropic i Mistral. Środowiska IDE od JetBrains. Usługi e-mail jak SendGrid. Automatyzacja przez Zapier. Dostawcy VPS jak Hetzner. E-podpisy z DocuSign. To szybko się sumuje.
Office Management zaskakuje rozmiarem - zwykle 15-25 podmiotów. Dostawcy internetu, prąd, gaz, woda, wynajem każdego biura, coworkingi, firmy sprzątające, kurierzy jak UPS i DHL, operatorzy komórkowi, dostawcy sprzętu biurowego, poczta.
HR and Recruitment ma zazwyczaj 10-20 podmiotów: agencje rekrutacyjne, platforma ATS, strony z ogłoszeniami o pracę jak LinkedIn i Indeed, usługi weryfikacji kandydatów, medycyna pracy, narzędzia do planowania.
Finance zwykle 10-15 podmiotów: banki, systemy fakturowania, biura rachunkowe, prawnicy, doradcy podatkowi, firmy audytowe, ubezpieczyciele, firmy leasingowe.
Marketing 10-15: narzędzia SEO jak Semrush, analityka jak Hotjar i Piwik Pro, narzędzia do zarządzania social media, oprogramowanie kreatywne jak Adobe, zarządzanie stroną, twórcy landing pages, narzędzia tłumaczeniowe.
Sales jest zwykle najmniejszy - 5-10: CRM, sales intelligence, lead generation, LinkedIn Sales Navigator, zbieranie opinii.
Rejestruj Solutions osobno od Entities
Entities to firmy. Solutions to konkretne produkty, które Ci dostarczają. To rozróżnienie ma znaczenie, bo jeden dostawca może oferować wiele rozwiązań o bardzo różnym profilu ryzyka.
Microsoft oferuje Azure (infrastruktura produkcyjna, krytyczność 4), Microsoft 365 (narzędzie produktywności, krytyczność 3) i Teams (w pakiecie z 365). Google oferuje Google Workspace (krytyczność 4), Google Cloud Platform (krytyczność 4) i Gemini AI (krytyczność 2).
Przejdź do Third Party > Solutions i dla każdego rozwiązania przypisz go do podmiotu nadrzędnego, napisz konkretny opis, jakie dane obsługuje i jaki ma dostęp, ustaw własną ocenę krytyczności, zaznacz, czy przechowuje Twoje dane, oraz czy jest obecnie aktywne.
Pole opisu ma tu większe znaczenie niż gdzie indziej. “Usługa hostingu w chmurze” nie mówi nic o ryzyku. “Infrastruktura chmurowa hostująca systemy produkcyjne, bazy klientów i dane aplikacji z pełnym dostępem do danych, gdzie kompromitacja oznacza ekspozycję wszystkich danych klientów i całkowite przerwanie usługi” - to mówi wszystko.
“Password manager” to za mało. “Przechowuje WSZYSTKIE dane uwierzytelniające, klucze API i sekrety w organizacji. Kompromitacja oznacza pełny dostęp do wszystkich podłączonych systemów - to pojedynczy punkt awarii uwierzytelniania” - to czyni ryzyko jasnym.
“HR platform” nic nie znaczy. “ATS przechowujące CV kandydatów, dane osobowe w tym adresy, numery telefonów, oczekiwania płacowe, notatki z rozmów i decyzje rekrutacyjne, zawierające dane osobowe objęte GDPR” - daje Tobie i audytorom to, czego potrzebują.
Najpierw udokumentuj rozwiązania o krytyczności 4 (infrastruktura chmurowa, zarządzanie tożsamością, zarządzanie hasłami, e-mail/produktywność, kod źródłowy). Potem przejdź przez krytyczność 3 (komunikacja, zarządzanie projektami, CRM, bazy wiedzy, CDN/DNS, monitoring, e-podpis, fakturowanie) i krytyczność 2 (narzędzia projektowe, VoIP, sales intelligence, narzędzia AI, automatyzacja, analityka).
Oceń ryzyko dostawców
Mając zarejestrowane entities i solutions, możesz myśleć o ryzyku w czterech wymiarach.
Ekspozycja danych - jakie dane przechowuje każdy dostawca? Czy przetwarzają dane osobowe objęte GDPR? Czy naruszenie mogłoby ujawnić informacje o klientach? Czy mają dostęp do Twoich systemów wewnętrznych?
Zależność operacyjna - co się stanie, gdy dostawca przestanie działać na godzinę, dzień lub tydzień? Czy istnieje realna alternatywa? Jak długo trwałaby migracja?
Postawa bezpieczeństwa - czy dostawca wymusza SSO i MFA? Czy posiada certyfikaty takie jak ISO 27001 czy SOC 2? Gdzie geograficznie przechowuje dane i jaki ma dorobek w reagowaniu na incydenty? Niektórzy dostawcy otwarcie dzielą się tymi informacjami. Inni unikają odpowiedzi - a samo to unikanie mówi za siebie.
Pokrycie umowne - upewnij się, że masz NDA, że umowa zawiera warunki przetwarzania danych, że istnieją gwarancje SLA oraz jasny proces postępowania z Twoimi danymi po zakończeniu umowy.
Powiąż dostawców ze scenariuszami ryzyka
Relacje z dostawcami generują ryzyko. W CISO Assistant odzwierciedlasz to, tworząc assets z solutions (omówione w przewodniku po zarządzaniu aktywami) i łącząc je z odpowiednimi scenariuszami ryzyka.
Platforma chmurowa jak AWS jest narażona na nieautoryzowany dostęp do danych, nieautoryzowany dostęp sieciowy, utratę danych, wycieki informacji, złośliwy kod, niedostępność i błędy operacyjne. ATS jak Recruitee narażony jest na nieautoryzowany dostęp do danych, wyciek informacji, utratę danych i ataki socjotechniczne. CRM jak HubSpot jest narażony na nieautoryzowany dostęp, wycieki informacji, socjotechnikę i niedostępność.
Te powiązania oznaczają, że panel ryzyka pokazuje skumulowaną ekspozycję z całego portfolio dostawców.
Mapuj kontrolki dostawców na wymagania compliance
Jeśli dążysz do ISO 27001 lub TISAX, Twoje praktyki zarządzania dostawcami muszą spełniać określone wymagania.
Dla ISO 27001 wymagania to A.5.19 (bezpieczeństwo informacji w relacjach z dostawcami), A.5.20 (zapewnienie bezpieczeństwa w umowach z dostawcami), A.5.21 (zarządzanie bezpieczeństwem w łańcuchu dostaw ICT), A.5.22 (monitorowanie, przegląd i zarządzanie zmianami usług dostawców) oraz A.5.23 (bezpieczeństwo informacji dla usług chmurowych).
Dla TISAX wymagania to 1.3.3 (zewnętrzne usługi IT oceniane pod kątem bezpieczeństwa), 5.3.3 (zwrot/usunięcie aktywów od zewnętrznych usług IT), 5.3.4 (informacje w współdzielonych zewnętrznych usługach IT są chronione), 6.1.1 (zapewnienie bezpieczeństwa informacji wśród wykonawców) oraz 6.1.2 (umowy o zachowaniu poufności z podmiotami zewnętrznymi).
Utwórz applied controls takie jak “Polityka zarządzania dostawcami i usługami” oraz “Bezpieczeństwo informacji w relacjach z dostawcami” i powiąż je z tymi wymaganiami compliance.
Utrzymuj rejestr na bieżąco
Baza dostawców nieustannie się zmienia. Wdrażane są nowe narzędzia, umowy wygasają, firmy się łączą. Oto, co faktycznie działa przy utrzymywaniu rejestru.
Przeprowadzaj przegląd kwartalny, podczas którego przejrzysz całą listę dostawców, usuniesz wpisy dotyczące zakończonych relacji i dodasz nowych dostawców. Wykonuj aktualizacje wyzwalane zdarzeniami przy wdrożeniu nowego narzędzia lub podpisaniu umowy. Nie odkładaj ich na później - później nigdy nie nadchodzi. Raz w roku przeprowadź pełną ponowną ocenę krytyczności i opisów. Narzędzia, które były “miło mieć”, czasem stają się niezbędne, a postawa bezpieczeństwa dostawców się zmienia.
Gdy dostawca zgłasza naruszenie, natychmiast zaktualizuj jego rekord i ponownie oceń scenariusze ryzyka powiązane z jego solutions. Gdy przestajesz korzystać z dostawcy, nie usuwaj go po prostu. Ustaw solution na nieaktywne, potwierdź usunięcie lub zwrot danych i zachowaj rekord do celów audytowych. Usunięcie rekordu wydaje się porządkiem, ale niszczy historię audytową.
Twój łańcuch dostaw jest tak silny, jak jego najsłabsze ogniwo. Dostawcy, którzy powodują największe szkody przy naruszeniu, zwykle nie są tymi, których byś się spodziewał. To nie duży dostawca chmury z dojrzałym programem bezpieczeństwa. To niszowe narzędzie SaaS, które ktoś z marketingu zainstalował, przechowuje w nim dane klientów, a nikt z security nigdy o tym nie wiedział. Wiedza, kim są wszyscy Twoi dostawcy, do czego mają dostęp i jak ważni są dla organizacji - jest podstawą zarządzania tym ryzykiem. To nie ekscytująca praca, ale praca, która ma znaczenie.
Mając rejestr dostawców na miejscu, następnym krokiem jest tworzenie aktywów dla najkrytyczniejszych rozwiązań i ich łączenie. Następnie połącz te aktywa ze scenariuszami ryzyka, aby zobaczyć pełny obraz ekspozycji łańcucha dostaw. Gdy przyjdzie czas na certyfikację, nasz przewodnik po mapowaniu zgodności pokaże, jak wykazać zarządzanie dostawcami w ramach ISO 27001 i TISAX.
