Audit dodávateľského reťazca
Systematické hodnotenie bezpečnostných rizík vo vašom dodávateľskom reťazci. Identifikujeme zraniteľné miesta, posudzujeme bezpečnostné praktiky kľúčových dodávateľov a navrhujeme opatrenia na minimalizáciu rizík tretích strán.
Dodávateľský reťazec je vaša najväčšia neznáma
Útoky cez dodávateľský reťazec patria medzi najsofistikovanejšie a najťažšie odhaliteľné bezpečnostné hrozby súčasnosti. Útočníci cielene kompromitujú dodávateľov softvéru, poskytovateľov služieb a obchodných partnerov s cieľom získať prístup do siete ich zákazníkov. Globálne incidenty posledných rokov jasne ukázali, že aj organizácia s vynikajúcou internou bezpečnosťou je zraniteľná cez svojich dodávateľov, ak nezabezpečí adekvátnu kontrolu celého dodávateľského reťazca.
Smernica NIS2 explicitne vyžaduje od organizácií riadenie bezpečnostných rizík v dodávateľskom reťazci. Organizácie musia posudzovať bezpečnostné praktiky svojich priamych dodávateľov a v niektorých prípadoch aj subdodávateľov. Zákon o kybernetickej bezpečnosti č. 69/2018 Z.z. tiež adresuje vzťahy s tretími stranami. Bez systematického auditu dodávateľského reťazca nemáte prehľad o tom, kto má prístup k vašim systémom a dátam prostredníctvom dodávateľských vzťahov.
Náš audit dodávateľského reťazca kombinuje hodnotenie zmluvných bezpečnostných požiadaviek, technické posúdenie prístupov tretích strán a analýzu procesov riadenia dodávateľských rizík. Výsledkom je komplexný prehľad o bezpečnostnej pozícii vášho dodávateľského reťazca s konkrétnymi odporúčaniami na zníženie rizík, zlepšenie zmluvných ustanovení a zavedenie kontinuálneho monitoringu dodávateľov.
Oblasti auditu dodávateľského reťazca
Inventarizácia dodávateľov
Vytvorenie kompletného registra dodávateľov s prístupom k vašim systémom, dátam alebo sieťam. Kategorizácia podľa kritickosti a úrovne prístupu.
Hodnotenie zmluvných požiadaviek
Analýza bezpečnostných ustanovení v zmluvách s dodávateľmi — SLA, NDA, požiadavky na certifikáciu, právo na audit, hlásenie incidentov a povinnosti pri ukončení zmluvy.
Bezpečnostné hodnotenie dodávateľov
Posúdenie bezpečnostných praktík kľúčových dodávateľov prostredníctvom dotazníkov, rozhovorov, preskúmania certifikácií a v oprávnených prípadoch technického testovania.
Analýza prístupov tretích strán
Mapovanie a hodnotenie všetkých prístupových ciest dodávateľov do vašich systémov — VPN, vzdialený prístup, API integrácie, zdieľané prostredia a fyzický prístup.
Hodnotenie rizík tretích strán
Systematická analýza rizík spojených s jednotlivými dodávateľmi vrátane posúdenia dopadu prípadnej kompromitácie dodávateľa na vašu organizáciu.
Program riadenia dodávateľských rizík
Návrh procesu kontinuálneho hodnotenia a monitoringu dodávateľov, definícia bezpečnostných požiadaviek pre nových dodávateľov a eskalačných postupov.
Máte záujem o audit dodávateľského reťazca?
Kontaktujte nás pre nezáväznú konzultáciu. Náš tím odborníkov vám pripraví ponuku na mieru.