Jak zapewnić bezpieczeństwo danych, rozpoczynając współpracę z nową firmą?
Świat zmienia się w szybkim tempie, wymagając stosowanie coraz bardziej zaawansowanych sposobów zabezpieczania wrażliwych danych. Sytuacja dotyczy również pracodawców, którzy zatrudniają nowych pracowników. Każdy nowy pracownik może stanowić potencjalne zagrożenie dla firmowych danych poufnych.
Trzy kroki do zapewnienia bezpieczeństwa danych
Zastanówmy się nad sytuacją, jakie działania należy podjąć, gdy do firmy dołącza nowy pracownik. Do obowiązków nowego handlowca będzie należała, m.in. sprzedaż usług oraz produktów. Co ważne – pracownik będzie posiadał, udostępniał lub korzystał z poufnych danych przedsiębiorstwa. W tym przypadku firma powinna podjąć trzy kroki, aby zająć się bezpieczeństwem informacji. Pierwszym krokiem byłoby przeprowadzenie audytu praktyk bezpieczeństwa u sprzedawcy. W szczególności jego doświadczeń dot. incydentów związanych z bezpieczeństwem, zgodności z uznanymi standardami bezpieczeństwa, przeglądu polityk bezpieczeństwa itp. Drugi krok obejmowałby wprowadzenie konkretnych zabezpieczeń w umowie z dostawcą. Uwarunkowania dotyczyłyby zobowiązań w odniesieniu do bezpieczeństwa. W szczególności byłyby to obowiązki dotyczące bezpieczeństwa danych. W ostatnim kroku firma przeprowadzałaby audyty wykonawcze po zakończeniu umowy. Wszystkie działania musiałyby zostać wsparte odpowiednimi inspekcjami. Tak aby zapewnić zgodność z wymogami bezpieczeństwa zawartymi w podpisanych dokumentach.
W jakim celu przedsiębiorstwo musi podjąć ww. kroki?
Wymienione działania mają na celu ograniczenie ryzyka związanego z bezpieczeństwem. A jednocześnie – w kwestii umów z dostawcami – tworzą zintegrowaną całość i odzwierciedlają najlepsze praktyki branżowe: staranność, wymagania formalno-prawne oraz działania po zakończeniu kontraktu. Co najważniejsze – stanowią podstawowe działania, dzięki którym przedsiębiorstwo może zareagować i chronić się przed dochodzeniem regulacyjnym w przypadku naruszenia bezpieczeństwa.
A jeśli firma nie wdraża ochrony przed wyciekiem danych?
A co stanie się w sytuacji, gdy przedsiębiorstwo nie ma możliwości wdrożenia żadnego z powyższych podejść do zmniejszania ryzyka? Nie możesz przeprowadzić kompletnego audytu ze względu na ograniczenia formalne? Nie masz możliwości osiągnięcia wymaganych zabezpieczeń kontraktowych, a jednocześnie odmówiono ci możliwości „pilnowania kontraktu”? Co najważniejsze – sytuacja jest o tyle poważna, że dotyczy kontraktów obejmujących setki tysięcy potencjalnych strat.
Przypadek, który potwierdza regułę!
Rozważny przypadek znanego dostawcy usług w chmurze – nazwijmy tę firmę „ABC”. Nowe podejście do kontraktowania obejmuje następujące elementy. „ABC” zastrzega sobie prawo – bez zatwierdzenia lub powiadomienia klienta – do podzlecenia usług dowolnej liczbie dostawców zewnętrznych lub innym podmiotom. Robi to w celu wykonania niektórych lub wszystkich kluczowych operacji hostingu, bezpieczeństwa i innych zadań związanych z danymi obejmujące usługi „ABC”. Dodatkowo – omawiana firma może dowolnie zmieniać podwykonawców. Teraz, jeśli firma „ABC” zgodziłaby się z faktem, że jest odpowiedzialna za działania swoich Podwykonawców, to ewentualne niepowodzenie Podwykonawcy stanowiłoby teraz awarię „ABC”.
W zaistniałej sytuacji firma „ABC” stosuje bezprecedensowe podejście uznając, że w rzeczywistości nie ponosi żadnej odpowiedzialności za wybranych przez siebie Podwykonawców. Ponadto – stwierdza, że w stopniu, w jakim istnieją jakiekolwiek zabezpieczenia, odsyła klienta do formularzy online dostępnych u Podwykonawców. Niestety, wadą tego podejścia jest to, że klient firmy „ABC” nie jest stroną tych umów online. Tak więc – chociaż zapisy umowy mogą być interesujące – klient nie ma możliwości egzekwowania ich od Podwykonawców. Tylko „ABC” ma to prawo. Tylko „ABC” jest faktycznie w kontrakcie z Podwykonawcami.
Jaki jest rezultat końcowy podjętych działań?
Po pierwsze, klient „ABC” ma bardzo ograniczoną zdolność do zweryfikowania staranności Podwykonawców „ABC”. Klient jest ograniczony do przeglądania generycznych informacji online. Dodatkowo są to jedynie informacje udostępniane ogólnie przez Podwykonawców osobom odwiedzającym ich witryny internetowe. Nawet gdyby klient mógł przeprowadzić pełną analizę możliwości, byłoby to mało przydatne, ponieważ „ABC” może zmienić Podwykonawców w dowolnej chwili. Natomiast Podwykonawcy mogą zmienić dowolną część informacji online w dowolnym czasie.
Po drugie, jeśli Podwykonawca nie wykona (np. jest hostem i usługą, za którą klient płaci firmie „ABC”) lub cierpi z powodu poważnego naruszenia danych, firma „ABC” nie ponosi odpowiedzialności, a klient „ABC” nie otrzymuje rozwiązania swoich problemów wynikających z tej sytuacji. W obu przypadkach klient pozostaje bez możliwości zatrzymania „ABC” jako podmiotu, który powinien zaproponować rozwiązanie sytuacji lub Podwykonawcy, który jest odpowiedzialny za awarię. Co gorsza, klient prawdopodobnie nie będzie miał możliwości stwierdzenia naruszenia umowy z „ABC” i nie będzie w stanie wypowiedzieć umowy. Niestety, w zaistniałej sytuacji klient będzie zobligowany, by nadal płacić za usługę, która jest w najlepszym wypadku niezgodna lub – w najgorszym wypadku – powoduje odpowiedzialność z powodu naruszenia danych lub innego niewłaściwego postępowania z informacjami. Podsumowując, klient nie ma żadnych praw umownych wobec Podwykonawców. Jednocześnie też nie ma audytu, ani innych możliwości, aby zapewnić, że Podwykonawca odpowiednio chroni swoje informacje i systemy. Nawet jeśli miałby te prawa, to nie ma możliwości zmuszenia Podwykonawcy do naprawienia stwierdzonych niezgodności lub braków.
Sprawdź, na co warto uważać, rozpoczynając współpracę z nowym dostawcą usług/produktów
Co bardzo ważne – unikaj sprzedawców, którzy próbują uciec od odpowiedzialności wobec nienazwanych firm zewnętrznych. Realizacja tego typu zlecenia oznacza, że w najlepszym wypadku masz nieograniczony obowiązek zapłaty za usługę, której nigdy nie trzeba świadczyć. Zastanów się, czy nie musisz wyjaśnić regulatorowi lub powodowi działań zbiorowych, że powierzyłeś sprzedawcy bardzo wrażliwe dane tylko po to, aby sprzedawca przekazał dane osobie trzeciej. Niestety, ale za działania tej osoby sprzedawca nie przyjął rzeczywistej odpowiedzialności. Po drugie – i z kim nie masz podpisane umowy. I pamiętaj o konsekwencjach, jakie wynikają z powierzenia danych osobom nieupoważnionym.
The post Jak zabezpieczyć informacje podczas współpracy z kontrahentami – sprawdź nasz poradnik! appeared first on Hyprovision DLP.