Skip to main content

Jardunbide egokiak hornitzaileen kontratazioan

Deskribapena

Erakunde guztiek kontratatu behar dituzte hornitzaileak. Hala ere, erakunde askori ahazten zaie prozesu horretan ere zibersegurtasuna kontuan hartu behar dela. Erakundeek hornitzaileek eskaintzen dizkieten zerbitzu eta produktuekiko duten mendekotasuna dela-eta, hornitzaileei eragiten dieten zibersegurtasun-mailako akatsek, arazoek edo arriskuek beren bezeroak kalte ditzake. 

Halako egoerak saihesteko, erakundeek hornitzaileen kudeaketa-prozesu osoan zehar hartu behar dute kontuan zibersegurtasuna. Era horretan, jardunbide egokiak ezinbestekoak dira, zibersegurtasunari dagokionez, hornitzaileekiko mendekotasuna oso kudeatuta dagoela ziurtatzeko.

Hala, hornitzaileak kontratatzeko orduan, erakunde txiki edo handi, publiko edo pribatu guztiek inplementatu beharko lituzkete zibersegurtasunaren arloko jardunbide egoki horiek.

Helburuak

Hornitzaileen kudeaketa seguruaren helburuak puntu hauetan laburbiltzen dira:

  • Erakundeak nahikotzat jotzen dituen zibersegurtasun-bermeak eskaintzen dituzten hornitzaileak hautatzea.
  • Hornitzaileek eskaintzen dituzten zerbitzu eta produktuek segurtasun-berme nahikoak izateko beharrezko baldintzak ezartzea.
  • Hornitzaile bakoitzari ezarritako segurtasun-baldintzak hark eskaintzen dituen zerbitzu edo produktuen ezaugarrietarako eta erakundean duten funtziorako nahikoak direla ziurtatzea.
  • Hornitzaileek erakundeak eskatu dizkien bermeak betetzen dituztela egiaztatzeko mekanismoak ezartzea.
  • Bezeroaren eta hornitzaileen arteko harremanak gutxieneko segurtasun-baldintzak dituela ziurtatzeko beharrezko kudeaketa-prozesuak ezartzea.

Jardunbide egokiak

Jarraian, hornitzaileen kudeaketa-ziklo osoan zehar gara daitezkeen segurtasunezko jardunbide egokiak planteatzen dira, faseka banatuta:

Hornitzaileen hautaketa

Hornitzaileen hautaketa da hornitzaileen kudeaketa-prozesuaren hasierako fasea. Hartan, erakundeak hornitzaileak haien segurtasun-ahalmenaren arabera “sailkatu” behar ditu.

Hornitzaileen hautaketa edo homologazioa egiteko, komeni da alderdi hauek kontuan hartzea:

  • Gomendagarria da hornitzaileek segurtasun-kudeaketarako sistema ziurtatu bat izatea, ziurtagiriak hornitzailea segurtasunarekin kezkatuta dagoela bermatzen baitu. Alde horretatik, badira hainbat aukera; hona hemen haietako batzuk:
    • Orokorrena litzateke hornitzaileak ISO 27001 araua betetzen duela ziurtagiria izatea.
    • Sektore publikoan, espero izatekoa da hornitzaileek Segurtasun Eskema Nazionalaren ziurtagiria edukitzea.
    • Zerbitzu kritikoenetan, ISO 22301 arauari dagokion ziurtagiria eska dakieke.
    • Kalitatea oso garrantzitsua den TIren arloko zerbitzuetan, ISO 20000 arauaren ziurtagiria eska dakieke.
    • Ordainketa-zerbitzuen hornitzaileei PCI DSS estandarraren ziurtagiria eska dakieke.
    •  Industriaren sektoreko hornitzaileei IEC 62443-2-1 arauaren ziurtagiria eska dakieke.
  • Era berean, komeni da kontratazioaren helburu diren zerbitzu edo produktuak zibersegurtasunaren ikuspegitik aztertzea. Horretarako, hainbat aukera daude; adibidez:
    • Kontratatuko den zerbitzua segurtasun-kudeaketarako sistema ziurtatuaren barnean egotea.
    • Industria-inguruetan, produktuaren ekoizpen-prozesuak IEC 62443-4-1 arauari jarraitzea eska daiteke, eta alor zehatz horretako ziurtagiria izatea.
    • Kontratatuko den produktuak segurtasun-ziurtagiriren bat izan dezan eskatzea; esate baterako:
      • Common Criteria ziurtagiria, TIC produktuen kasuan.
      • ENS betetzen dituzten produktuak, sektore publikoan erabiliko diren TIC produktuen kasuan.
      • IEC 62443-4-2 ziurtagiriak, industria-produktuen kasuan. 
  • Gomendagarria litzateke hornitzaileek Datuen Babeserako Araudi Orokorra betetzen dutelako bermeak aurkeztea. Dena den, Datuen Babeserako Araudi Orokorrak etorkizunean araudia betetzen dutenentzako ziurtagiriak sortuko direla adierazi arren, oraingoz ziurtatze-erakundeek ez dute halakorik eskaintzen eta, beraz, eskakizun hori ez da egiaztagarria. 

Irizpide horiek hornitzaileek kontratatuak izan aurretik bete beharko lituzkete. Horregatik, komeni da hornitzaileen homologazio-prozesuan parte har dezaten eta segurtasuna garrantzitsutzat jotzen den zerbitzu edo produktu orori gutxieneko eskakizun teknikoak aplikatzea.

Segurtasunari buruzko kontratu-klausulak

Segurtasuna kontu seriotzat jotzen duten hornitzaileei oinarrizko lehen “iragazki” bat aplikatzeaz gain, hornitzaileek erakundeak ezarritako gutxieneko segurtasun-eskakizunak beteko dituztela bermatzen duten zenbait kontratu-klausula ezartzea beharrezkoa da. Alde horretatik, komeni da kontratuan segurtasunarekin lotutako alderdi hauen inguruko zenbait klausula eranstea:

  • Hornitzaileek kontratatutako produktu edo zerbitzuen segurtasun-mailako ezaugarriak adieraztea.
  • Kontratatutako produktu edo zerbitzuek segurtasun-mailan bermatuko dituzten gutxieneko funtzio edo zerbitzuak adostea, baita horiek neurtzeko eta egiaztatzeko erabiliko diren mekanismoak ere.
  • Kontratatutako produktu edo zerbitzuetan inplementatuko diren gutxieneko segurtasun-neurriak adostea.
  • Kontratatutako produktu edo zerbitzuen segurtasunari dagokionez, bi parteen ardurak mugatzea.
  • Hornitzaileek kontratatu dizkioten produktu edo zerbitzuen segurtasunean dituen funtzioak eta ardurak zehaztea.
  • Kontratatutako produktu edo zerbitzuetan gerta daitezkeen aldaketak kudeatzeko artikulatuko diren mekanismo espezifikoak zehaztea.
  • Kontratatutako produktu edo zerbitzuekiko gerta daitezkeen segurtasun-arazoak edo hondamendiak kudeatzeko beharrezkoak diren mekanismoak ezartzea.
  • Kontratatutako produktu edo zerbitzuekin lotuta hauteman daitezkeen akatsak kudeatzeko beharrezkoak diren mekanismoak ezartzea.
  • Erakundeak segurtasun-mailan ezarritako eskakizunak betetzen direla ziurtatzeko erabil ditzakeen ikuskapen- eta egiaztapen-mekanismoak arautzea.

Klausula horiek hornitzaileen eta erakundearen artean sinatutako kontratuan agertu beharko lirateke, hornitzaileek segurtasunarekin lotutako oinarrizko alderdi guztiak beteko dituztelako konpromiso formala har dezaten.

Hornitzaileen arrisku-kudeaketa

Produktu edo zerbitzuen hornitzaile guztiei ezin zaizkie segurtasunaren inguruko kontratu-klausula berberak aplikatu. Eskakizun-mailak hornitzaile bakoitzak erakundearentzat segurtasunaren arloan duen garrantziarekin bat etorri beharko luke. Hori dela-eta, erakundeak hornitzaileak banaka kontuan hartu beharko lituzke bere segurtasun-arriskuen azterketan, eta hornitzaile bakoitzak erakundeari eragin diezazkiokeen kalteak aintzat hartu, haietako bakoitzari ezarriko dizkion segurtasun-klausulen edukia erabakitzeko.

Hornitzaileen segurtasunaren jarraipena

Kontratu-klausulen bidez hornitzaileei segurtasun-baldintzak ezartzea ez da nahikoa, gerta daitekeelako hornitzaileek kontratuan hartutako konpromisoak ez betetzea, hainbat arrazoi direla-eta. Horregatik, hornitzaileak modu seguru batean kudeatzeko, beharrezkoa da haien jarraipena egiteko mekanismoak artikulatzea, kontratuan adierazitako klausulak betetzen direla egiaztatzeko. Jarraipena era hauetan egin  daiteke:

  • Zerbitzuen jarraipena egiteko bilerak antolatuz, horien segurtasunarekin lotutako alderdiak aztertzeko.
  • Protokoloak ezarriz, hornitzaileek erakundeari ezarritako segurtasun-klausulak betetzen dituztelako frogak bidal diezazkieten, gero erakundeak froga horiek aztertu eta egiazta ditzan.
  • Ikuskapen-programa bat ezarriz, zeinaren bidez erakundeak aldian behin egiaztatuko duen hornitzaileek adierazitako segurtasun-neurriak betetzen ote dituzten.
  • Hornitzaileei eskatuz aplikatu zaizkien segurtasun-baldintzak egiaztatzeko ikuskapenak egin ditzaten.
  • Hornitzaileek eta erakundeak parte hartzen duten mekanismoak artikulatuz, hornitzaileek hasierako segurtasun-neurriak eta gerora hautemandako hutsuneen ondorioz ezarritakoak inplementatu dituztela egiaztatzeko.

Non jaso daiteke hornitzaileen kudeaketa seguruari buruzko aholkua?

BCSCk enpresen eskura jarri du “Euskadiko Zibersegurtasunaren Liburu Zuria”, gure tokiko ekosistemaren ikuspegi orokorra jasotzen duen dokumentua. Hartan, hainbat berrikuntza-, ikerkuntza- eta ekintzailetza-ikuspegi ageri dira, baita zibersegurtasunaren arloko zerbitzuak eskaintzen dituzten enpresen katalogoa ere, interesatuta egon daitezkeen erakundeek haietara jo eta erabaki egokienak hartzen lagun diezaieten.

Katalogoa Euskadiko zibersegurtasunaren merkatuaren laburpena edo argazkia ere bada. Zerrenda bizia da, aldian behin eguneratzen baita, zerbitzuen digitalizazioa hedatzen eta harekin lotutako aukerak zabaltzen doazen neurrian.

BCSC Liburu Zuria

Erreferentziak

https://www.cisa.gov/publication/risk-considerations-msp-customers

Partekatu

Linkedin partekatu