Postępujący proces dojrzewania jak i podnoszenia jakości w biznesie związanym z przetwarzaniem danych (zwłaszcza że coraz trudniej znaleźć taki, w którym nie przetwarza się danych) wymusza na dostawcach oprogramowania spełnienie coraz bardziej wyśrubowanych wymagań. Przy czym wymagania te rozkładają się na całość łańcucha dostaw a źródło tych wymagań i presji tkwi zarówno we wzroście świadomości konsumentów jak i samych usługodawców (zwłaszcza usług masowych) wynikającym z podejmowanych przez organizacje międzynarodowe i rządy działań normalizacyjnych i regulacyjnych.
Podsumowanie:
- Dostawcy usług IT a zwłaszcza dostawcy oprogramowania i usług integratorskich znajdują się pod coraz silniejszą presją wymagań bezpieczeństwa informacji swoich odbiorców i klientów.
- Spełnienie tych wymagań stanowić będzie dla dostawców oprogramowania być albo nie być na rynku.
Dostawcy usług IT a zwłaszcza dostawcy oprogramowania i usług integratorskich znajdują się pod coraz silniejszą presją wymagań bezpieczeństwa informacji swoich odbiorców i klientów.
Wytwórcy oprogramowania wprost dla konsumentów (commodity) poddani są presji samych konsumentów i generalnie oceny rynku – kiepski produkt wpłynie negatywnie na reputację i możliwości dalszego funkcjonowania. Natomiast dostawcy oprogramowania dla klientów oferujących w oparciu o nie swoje usługi na rynek stawiają coraz bardziej wyśrubowane i sformalizowane wymagania bezpieczeństwa w odniesieniu nie tylko do samego produktu czy komponentu ale również co do całego procesu wytwórczego dostawcy oprogramowania.
Dostawcy oprogramowania pod presją. Skąd się to bierze?
Generalnie postępujący proces dojrzewania jak i podnoszenia jakości w biznesie związanym z przetwarzaniem danych, zwłaszcza że coraz trudniej znaleźć taki, w którym nie przetwarza się danych. Przy czym wymagania te rozkładają się na całość łańcucha dostaw a źródło tych wymagań i presji tkwi zarówno we wzroście świadomości konsumentów jak i samych usługodawców (zwłaszcza usług masowych) wynikającym z podejmowanych przez organizacje międzynarodowe i rządy działań normalizacyjnych i regulacyjnych.
Niewątpliwie największą rolę odgrywają tu takie organizacje normalizacyjne i standaryzacyjne jak ISO czy NIST a przełomowe znaczenie miały tutaj takie regulacje jak RODO/GDPR czy CCPA w USA. Można powiedzieć, że działania regulacyjne nadają większą moc sprawczą normom i standardom i jednocześnie wymuszają działania upowszechniające wiedzę i podnoszące świadomość konsumentów korzystających z usług IT.
Istnieje tu wyraźna synergia pomiędzy jakością przetwarzania informacji a regulacjami dotyczącymi przetwarzania danych osobowych – charakterystyczna zbieżność w wielu aspektach RODO/GDPR a ISO 27001 (bezpieczeństwo informacji) czy też 27018 (bezpieczeństwo przetwarzania w chmurze). Stąd, na przykład, często certyfikat 27001 jest traktowany jako dowód na zgodne z prawem przetwarzania danych osobowych.
Test bezpieczeństwa IT – dokonaj samooceny w 5 minut i otrzymaj wynik
Ważny fragment
Tak więc dostawca oprogramowania podlega bezpośredniej presji regulacji jak też wymaganiami samych Klientów gwarantujących w zapisach kontraktowych posiadania przez dostawcę stosownych certyfikatów czy też wykazania że działa zgodnie z najlepszymi praktykami i normami. Po stronie klienta zaś dobrze zorganizowany proces zarządzania dostawcami staje się jednym z wyznaczników dojrzałości i jakości firmy
Istotnym elementem jest również systematycznie rosnąca (niestety ciągle zbyt wolno) świadomość konsumentów i odbiorców końcowych usług dotycząca bezpieczeństwa informacji i zasad (praw osób) przetwarzania danych osobowych
Jak oceniani są dostawcy oprogramowania?
Jakimi narzędziami dysponuje Klient dostawcy oprogramowania, aby zbadać jego wiarygodność w zakresie bezpieczeństwa informacji? Możemy je zebrać w następujące grupy:
- wszelkie ankiety oceniające, które dostawca musi wypełnić, na podstawie których klient podejmuje ważną decyzję o podjęciu, utrzymaniu czy też zaprzestania relacji biznesowej. Ankiety te są bardzo różne co do zakresu i poziomu szczegółowości w zależności od potrzeb i wymagań
- wymaganie przedstawienia określonych certyfikatów uwiarygodniających dostawcę. Generalnie są to najczęściej ISO 27001, HIPA, GDPR/RODO, CCPA (w zależności od tego, gdzie i kto się może pod kątem certyfikować)
- badania i audyty – ta możliwość wynika z regulacji i jednoczesnych zapisów kontraktowych. Częstokroć zastępczo zamiast audytu wymaga się przedstawienia od dostawcy raportu z audytu zgodnego z SOC2 wg ISAE 3402 bądź raportu z testów bezpieczeństwa
- zobowiązania kontraktowe uściślające specyfikę branżową klienta a także zasady interakcji np. w zakresie obsługi incydentów bezpieczeństwa.
Czego w szczególności wymaga się od dostawców oprogramowania – na ogół szczegółowe wymagania i pytania na ten temat zawarte są w ankietach oceniających. Przede wszystkim wykazania, że proces wytwórczy przebiega zgodnie z najlepszymi praktykami bezpieczeństwa i jakości, tzn.:
- Użyto standardów bezpieczeństwa wytwarzania kodu (OWASP top 10 web application security risks, podejście DevSecOps, PCI DSS itd)
- Przy jego projektowaniu i budowie zachowane zostały zasady security i privacy by design i by default.
- Kod jest bezpiecznie przechowywany i zarządzany
- Zostały zachowane standardy testowania
- Produkt został poddany testom podatności
- Produkt nie zawiera elementów łamiących prawa autorskie, licencje bądź inne dopuszczalne warunki użycia.
Ponadto, klienci mogą wzmocnić swoje wymagania o dodatkowe, branżowe wymagania bezpieczeństwa odnośnie kodu i całego procesu wytwórczego (np. banki i sektor finansowy, przemysł farmaceutyczny, usługi medyczne czy np. lotnictwo)
Nieporozumienia związane z certyfikacją oprogramowania
Warto zwrócić uwagę na pojawiające się czasami nieporozumienia wynikające z niewłaściwie postawionego pytania: “Czy produkt (oprogramowanie) ma certyfikat zgodności z RODO?”. Co więcej w Internecie można znaleźć firmy dające “certyfikat” RODO dla oprogramowania.
Otóż oprogramowanie nie podlega certyfikacji RODO. Certyfikować tu możemy co najwyżej administratora danych osobowych lub podmiot przetwarzający dane osobowe. Natomiast w odniesieniu do produktu (oprogramowania) możemy tylko potwierdzić, czy:
- zostało ono wytworzone w zgodzie z zasadami privacy by default i privacy by design
- jego sposób użycia wspiera i ułatwia użytkującym (na ogół Administratorowi) wywiązanie się z wymagań RODO – np.:
- czy organizacja danych pozwala na łatwą ich animizację
- czy nie zapisuje gdzieś danych osobowych w niekontrolowany sposób
- ułatwia zarządzanie retencją
- jest wolny od ukrytych funkcji, mogących być źródłem wycieku danych
- jego interfejs (UX) spełnia warunki privacy by default
- ułatwia obsługę żądań osób (podmiotów danych)
Wypełnienie ankiety oceniającej bywa trudne
W podsumowaniu warto dodać, że dla wielu firm, zwłaszcza młodych i małych, ubiegających się o współpracę z dużymi korporacjami wypełnienie samej ankiety przedstawionej przez wymagającego klienta, który np. warunkuje tym podjęcie współpracy albo też grozi zerwaniem współpracy, staje się nie lada wyzwaniem. W takich sytuacjach pomocne staje się skorzystanie z pomocy doświadczonej z zakresu cyberbezpieczeństwa firmy, która nie tylko pomoże wypełnić ankietę, ale np. w przypadku braków poradzi jak je usunąć bądź jakie zobowiązania podjąć względem ankietującego, aby podjął decyzję o dalszej współpracy.
W przyszłości nie będzie łatwiej
Wzajemne wymagania bezpieczeństwa informacji pomiędzy wszystkimi uczestnikami rynku usług przetwarzania danych rosną i będą coraz bardziej rygorystyczne. Poziom dojrzałości i jakości procesów zarządzania bezpieczeństwem informacji w organizacji a w szczególności u dostawców oprogramowania decydować będzie o:
- budowaniu przewagi konkurencyjnej
- pozyskiwaniu czy też utracie klienta
- istnieniu na rynku
Warto więc zadbać o całokształt bezpieczeństwa informacji w firmie nie tylko przy okazji wypełniania ankiety oceniającej.
Na pocieszenie – zwłaszcza dla dostawców oprogramowania „szytego” na zamówienie i wykonujących prace na infrastrukturze klienta – zdarza, że role się odwracają, gdy poziom dojrzałości bezpieczeństwa dostawcy jest wyższy niż klienta. Wtedy akcent aspektu bezpieczeństwa informacji przenoszony jest na relacje z klientem i znajduje swoje odzwierciedlenie w zapisach kontraktowych.
Wymagania odnośnie bezpieczeństwa informacyjnego oprogramowania jako produktu (kompletnego, bądź komponentu) oraz samego procesu wytwórczego będą systematycznie rosły.
Spełnienie tych wymagań będzie dla dostawców oprogramowania być albo nie być na rynku.
AUTORZY: Grzegorz Ciechomski oraz Tomasz Sobczyk
