Skip to main content

Hornitzaileak kontratatzeko jarraibideak

Sarrera

Gaur egun, enpresa askok zerbitzu espezializatuak (hornitzaileak) kontratatu behar dituzte beren jardueraren zati bati laguntzeko. Kanpora ateratzean, prestazio hobeak lortu nahi dira (kalitatea, segurtasuna, errendimendua, fidagarritasuna…) arlo jakin bateko kanpoko profesional adituen bidez.

Hornitzaileak bete beharreko beharrak identifikatu ondoren, merkatuan dauden aukerak aztertuko dira, aurrez ezarritako irizpideen arabera eta kontratazioa eragin duten irizpideen arabera. Kontuan hartu behar da zenbait zerbitzu azpikontratatzeak berekin dakarrela batzuetan beste erakunde batzuk gure sistemetara edo gure informaziora sartzea, eta zibersegurtasun-arazoren bat izanez gero, gure erakundeari kalte egin dakiokeela ospeari, ekonomiari etab. Horregatik, zibersegurtasuna hornitzaile egokia hautatzeko irizpide gisa kontuan hartzea gomendatzen da.

Helburua

Hornitzaile batek zibersegurtasuneko gorabehera bat jasateko arriskua murriztea.

Onurak

Hornitzaileak kontratatzeko orduan plangintza egokia eginez gero, onura hauek lortuko dituzu:

  • Arriskuaren kudeaketa: Hornitzaile bat kontratatzeak lagundu egiten du hiperkonektatutako ingurune batean lan egiteko arriskua kudeatzen. Ingurune horretan, hainbat mehatxuk eragin diezaiokete erakundearen funtzionamenduari.
  • Segurtasuna lehiarako abantaila gisa: Hornitzaile espezializatu bat kontratatzeak zibersegurtasunaren gobernantza ezin hobea egiten laguntzen du, eta hori lehiarako abantaila gisa erabil daiteke erakundearentzat.
  • Erresilientzia: Kontratatutako zerbitzua ematen den bitartean, profesional adituek parte hartuko dute, erakundearen segurtasuna bermatzeko eta, erasorik izanez gero, negozioaren jarduerari eusteko.
  • Kostuen murrizketa: Hornitzaileak kontratatzerakoan segurtasun neurriak ezartzeak murriztu egingo du antolakundean duen eragina segurtasun gorabehera baten kasuan.

Kanpoko zerbitzuak kontratatzeko faseak

Zerbitzuak kontratatzeko fase hauetan, informazioaren segurtasuna kontuan hartu beharko dugu:

  • Zerbitzuen kontratazioa: Lege eta arau esparruaren kontratu bat ezartzea, bi aldeen arteko harreman komertzialaren eta informazioaren kudeaketarekin zerikusia duten elementuen oinarriak finkatzen dituena. Kontratu mota hauek ezar ditzakegu:
    • Konfidentzialtasun-kontratua: Konfidentzialtasun-kontratua erakunde bateko informazio konfidentziala babesten duen lege-dokumentua da, hirugarrenei ez ezagutarazteko. Horrek kalte larria eragin dezake, bai ekonomikoa bai ospea.
    • Datu pertsonalak eskuratzeko kontratua: Datuetara sartzeko edo datuok tratatzeko kontratu batek informazioaren segurtasuna bermatu behar du, eta datu horien erabilera mugatu behar du.
    • Zerbitzu mailako akordioak: Zerbitzu mailako akordioak (Service Level Agreement) ezarri edo finkatzea komeni da, kontratatutako zerbitzuetarako adostutako baldintzak ezartzeko. Akordio horien bidez, zerbitzuaren kalitatea eta baldintzak zehaztu dira.
  • Informazioaren transferentzia: Zerbitzuak bezeroaren informazioa eskualdatu behar badu hornitzaileak jarduerari ekin diezaion, garrantzitsua da informazioa tratatzerakoan oinarrizko segurtasun-gomendioak betetzea.
    • Metadatuak ezabatzea: Fitxategiek zenbait propietate dituzte, hala nola egilearen informazioa, zein ekipotan sortu den, zein programarekin, etab. Informazio hori erasotzaile batek legez kanpoko xedeetarako erabil dezake; beraz, ezabatzea gomendatzen da.
    • Sistema informatikoen eguneratzeei dagokienez egunean egotea: ahultasunak etengabe agertzen dira, sistema informatikoak etengabe berrikusi eta eguneratu behar dira.
    • Ezabatze seguruko tresnak erabiltzea informazio konfidentziala ezabatu nahi denean, edo hornitzailearekin informazioa biltegiratzeko euskarriak trukatu behar direnean. Horien bidez, informazioa eskuratu behar ez luketen pertsonek geroago berreskuratzea saihesten da.
    • Hornitzaileak agindutako lanak egiteko behar duen informazio konfidentziala soilik duten lan-direktorio partekatuen baimenak behar bezala ezartzea.
    • Sare seguruak: funtsezkoa da enpresako sistema eta sareetarako baimenik gabeko sarbidea kontrolatzea. Zifratua erabiltzea gomendatzen da informazio konfidentziala bidaltzeko edo partekatzeko.
    • Autentifikazio-mekanismoak izatea (bi urratseko autentifikazioa, biometrikoak, etab.) eta pasahitz sendoak erabiltzea (erraz kendu ezin diren zortzi karaktere baino gehiagoko pasahitzak, eta letra larriak, xeheak, karaktere alfanumerikoak eta ikur bereziak konbinatzea)
    • Aldian behin segurtasun kopiak egiteko plana izatea.
  • Zerbitzua eman eta jarraipena egitea: Zerbitzua hasi ondoren, etengabeko auditoretza egitea gomendatzen da, bai kontratatutako zerbitzuaren kalitateari dagokionez, bai zerbitzua ematen den bitartean informazioaren segurtasunari dagokionez.
  • Zerbitzuaren amaiera: Zerbitzua bukatu ondoren, beharrezkoa da informazioaren segurtasuna bermatzea, ondoko puntuak kontuan hartuta:
    • Aldez aurretik sinatutako konfidentzialtasun-kontratuan ezarritako ekintzak egitea.
    • Informazio pertsonala erabili bada, erabilitako informazioa suntsitu edo itzuli.
    • Hornitzaileari zerbitzua emateko emandako sarbide fisiko eta digitalak kentzea.
    • Hornitzaileak zerbitzuak emateko sortu dituen erabiltzaileak desaktibatzea edo ezabatzea.
    • Erabiltzen jarraitu behar duten eta hornitzaileak erabili dituen erabiltzaileen pasahitzak aldatzea.
    • Hodeiko informazio partekatuaren baimenak murriztea edo ezabatzea.

Zure hornikuntza-katean ikuskapen eta kontrol egokia egiteko kontuan hartu beharreko alderdiak azaltzen dira:

  • Hornitzailarriskuak kudeatzea:
    • Hornitzaileak sailkatzea: garrantzitsua da hornitzaileak sailkatzeko prozesu bat ezartzea, hornitzaile bakoitzari lotutako arriskua zenbatesteko. Horretarako, hornitzaileek transferitzen eta prozesatzen duten informazioaren balioa eta izaera (publikoa, konfidentziala...), erabiliko dituzten aktiboak edo gailuak... har ditzakegu erreferentziatzat.
    • Heldutasun teknologikoa eta zibersegurtasunaren arlokoa neurtzea: hornitzaileek ezarritako azpiegiturak eta segurtasun neurriak ulertzea.
    • Hornitzaileekiko harremanek dakartzaten arriskuak ulertzea eta gerta daitezkeen egoerak eta ekintza-planak kontuan hartzea. 
  • Hornidura-katean kontrol-neurriak ezartzea: kontrol-neurri egokiei esker, hornitzaileak edo erakundearen aurkako mehatxua izan daitezkeen egoerak gainbegiratu eta identifikatu ahal izango dira.
    • Ezarri segurtasun-baldintza batzuk hornitzaileekin: gutxieneko segurtasun-baldintzak, jarduera-eremuak eta prozedura bateratuak ezarri behar dira, segurtasun-arazoren bat gertatuz gero.
    • Hornitzaileekin ezarritako kontratuen klausuletan segurtasun neurriak sartzea: Zerbitzuan inplikatutako gailuen informazioa eta erabilera bermatuko duten segurtasun neurriak bete daitezela eskatzea.
    • Bere erakundean bere arrisku mailaren araberako segurtasun neurriak beteko dituela bermatzea.
    • Informazioa eta gailu elektronikoak behar bezala erabiltzeko kontzientzia hartzea, bai hornitzaileei bai erakundeko kideei.
    • Hornitzaileekin lankidetzan aritzea, izan daitezkeen segurtasun-gorabeherak konpontzen lagunduko duten mehatxuei buruzko informazio edo jarduera prozedurak sortzen, planifikatzen eta trukatzen.
  • Aurrez ezarritako akordioak betetzen diren begiratzea, etengabeko ikuskaritzen bidez.
  • Bere hornikuntza-katean zibersegurtasuna etengabe hobetzeko dinamikak sortzen ditu. Horren ondorioz, ezarritako prozesuak batera hobetuko dira eta konfiantza sortuko da egungo eta etorkizuneko hornitzaileen artean.

Non jaso aholkularitza?

BCSCk “Euskadiko Zibersegurtasunaren Liburu Zuria” jarri du enpresen eskura. Dokumentu horrek gure tokiko ekosistemaren ikuspegi orokorra biltzen du, berrikuntza, ikerketa, ekimena eta abar kontuan hartuta. Eta zerbitzu horiek eskaintzen dituzten zibersegurtasuneko hornitzaileen katalogoa jasotzen du, zerbitzu horiek eskatu nahi dituzten erakundeek erabakiak errazago hartzeko erreferentzia-puntu bat izan dezaten.

Katalogoa Euskadiko zibersegurtasun-merkatuaren laburpen edo bat-bateko gisa erabiltzen da. Zerrenda bizia da, aldian behin berrikusi eta eguneratzen dena, etengabe aldatzen ari baita zerbitzuen digitalizazioan eta sortzen diren aukeretan.

BCSC Liburu Zuria

Partekatu

Linkedin partekatu