Kolm viisi, kuidas hinnata teenusepakkuja vastavust infoturbenõuetele

Ettevõtted toetuvad oma töövoogudes ja teenustes üha rohkem tehnoloogiale ja e-teenustele, sageli isegi märkamata, kuivõrd suurt osa nendest teenustest väljastpoolt sisse ostetakse.

Teenusekatkestused ja infolekked avaldavad mõju ettevõtte põhitegevusele ja selline äriprotsesside kahjustada saamine ei pruugi piirduda ainult tööseisakuga vaid ka tundlik teave võib sattuda inimeste kätte, kelle käes need olla ei tohiks.

Paljud juhid usaldavad teenusepakkujate kinnitusi, et nende tehniline meeskond teab, mis nad teevad ja lepingu sõlmimine oleks justkui piisav turvameede. Teenusekatkestuse korral kahjusid kokku lugedes ei suudeta ära imestada, et kuidas küll nii läks.

Tegelikkuses peab teenusepakkuja olema valmis täitma kindlaid lepingulisi ja infoturbenõudeid, kuidõiguslikku vastutust (näiteks küberturvalisuse seaduse (KüTS), hädaolukorra seaduse (HOS) või andmekaitse üldmäärusega) (IKÜM/GDPR) ei saa delegeerida. Nii õiguslik kui lepinguline vastutus teabe kaitsmise eest jääb organisatsioonile.

Sõlmitavasse lepingusse on vaja lisada tarnija kohustused täita organisatsiooni turvanõudeid, kuid kuidas tagada hoolsuskohustuse täitmine ja veenduda, et tellitud teenus vastab kokkulepitud tellija infoturbenõuetele?

Siin on kolm praktilist viisi, mis aitavad hinnata ja kindlustada teenusepakkujate vastavust infoturbenõuetele.

1. Enne lepingu sõlmimist kontrolli teenusepakkuja infoturbe sertifikaate ja lisa kohustus neid regulaarselt uuendada

Esimene samm tagamaks, et teenusepakkuja võtab infoturvet tõsiselt, on kontrollida, kas tal on asjakohased sertifikaadid ja auditite aruanded, mis tõendavad infoturbe süsteemi taset. Näiteks sertifitseerimine ISO/IEC 27001 või auditite läbimine (nagu E-ITS, SOC-2 või NIST) annab kindlust, et teenusepakkujal on paigas infoturbe protseduurid ja juhtimismeetmed.

Täpsema ülevaate saamiseks tasub lepingusse lisada nõue, et teenusepakkuja esitab sõltumatu auditi aruande infoturbe meetmete toimivuse kohta ning aitab läbi mõelda oma vastavuses veendumise nõuetest ja vajadustest tulenevat skoopi ning seireprotseduure. Aruandes välja toodud vajakajäämised vajavad teenusepakkuja poolset õigeaegset parandamist. Oluline on lisada ka vastav punkt lepingusse, mis kohustab teenusepakkujat tõstatatud küsimuste õigeaegseks parandamiseks.

2. Lisa lepingusse õigus viia läbi auditeid teenusepakkuja protsesside ja turvameetmete hindamiseks

Täiendav võimalus kontrollida, kas lepingupartner täidab oma lepingulisi kohustusi turvanõuete täitmiseks, on viia läbi teise osapoole audit. Teise osapoole auditit on võimalik läbi viia enne lepingu sõlmimist kui ka lepingu kestel.

Korrapärane auditite planeerimine ning skoopi läbimõtlemine aitab täpsustada, milliseid valdkondi seirata ja milliseid nõudeid jälgida. Auditit võib teostada oma ettevõtte küberturbe meeskond või tellida kogemustega sertifitseeritud audiitorilt.

3. Lisa lepingusse teenusepakkuja kohustus esitada regulaarselt aruandeid teenusele teostatud turva-, taaste- ja talitluspidevustestide kohta

Sisseostetavatel teenustel on vaja planeerida turve kogu teenuse elutsükli jooksul, mistõttu on mõistlik lisada lepingusse teenusepakkuja kohustus regulaarselt teostada süsteemide turva-, taaste- ja talituspidevusteste ning esitada nende tulemuste aruanded. Regulaarne testimine aitab parendada organisatsiooni võimet oma teenuseid kvaliteetselt osutada ning saavutada ärieesmärke. Lisaks saab nõuete kirjeldamisel koheselt mõelda läbi ka seireprotsessi ning selle, milline osa seirest vajab tellija aktiivset panust ning milles eeldatakse nõuete täitmise tõendamisel pigem teenuseosutaja initsiatiivi.

Talitluspidevuse planeerimisel on oluline koht töökatkestustega seotud kulutuste vähendamisel. Planeerimata katkestused põhjustavad ettevõtetele suuri kulusid, alates tööseisakutest kuni intsidentide lahendamiseni. Regulaarne süsteemi vastupidavuse ja toimivuse testimine aitab neid kulusid vähendada, võimaldades varakult tuvastada ja parandada võimalikke kitsaskohti. Uuri lepingupartnerilt ka jätkutegevuste plaani – see aitab vähendada teie enda sõltuvust hilisematest audititest ning annab kindlust, et lepingupartner on valmis pakkuma katkestusteta teenust.

Boonussoovitus! Korraldage lepingupartneritegaühiseid talitluspidevuse harjutusi

Kui ettevõtte tegevus sõltub koostöövõimest teenusepakkujaga, tasub kaaluda regulaarseid ühiseid talituspidevuse harjutusi. Lepingus on võimalik kokku leppida ühistes harjutustes, et koos läbi mängida erinevaid protsesside või teenuste taastamise stsenaariume. Sellised õppused tugevdavad koostööd ja suurendavad vastastikust usaldust, andes mõlemale poolele võimaluse realistlikult testida kriisiolukordade lahendamise valmisolekut. Dokumenteeri õppuse tulemused ja vii nende õppekohtadest oma tegevustesse sisse vajalikud muudatused.

Vastutust oma teenusepakkujate osutatavate teenuste eest tuletab meile kõige paremini meelde intsidentide kahjude tagajärgede likvideerimine. Kui juhtub suur andmeleke või teenused ei toimi, siis kliendid ja ajakirjanikud ei küsi, kes on ettevõtte teenusepakkujad, vaid miks lasi ettevõtja teenuse ja klientide andmetega sedasi minna.

Teenusepakkuja kvaliteet ja usaldusväärsus mängib ettevõtte küberturbe tagamisel keskset rolli. Korralikud ja läbi mõeldud turvanõuded, mis on sätestatud lepingutes ja mille täitmist järjekindlalt kontrollitakse, aitavad vähendada riske ja võimalikke kahjusid.

Tule küberturbejuhi kooli ja saa lisaks artiklis kirjutatule teada, milliste nippidega annab lihtsalt kontrollida kogu oma tarneahela turvalisust, sealhulgas ka seda, kuidas omada kontrolli selle üle, et teenusepakkujad täidavad sinu seatud turvanõudeid. Loe kooli kohta lähemalt SIIT