Взаимодействие с контрагентами – поставщиками, партнерами, клиентами – одна из важнейших составляющих бизнес-деятельности юридического лица. При этом, в случае не слишком большого штата специалистов по кибербезопасности в организации, обеспечение безопасности, зачастую, ограничивается защитой внутренней инфраструктуры и обеспечением работоспособности сервисов, публикуемых во внешнюю среду. Однако, при осуществлении информационного взаимодействия с контрагентами возникает большое число рисков кибербезопасности, которые также следует минимизировать.
В случае поддержки взаимодействия с внешними контрагентами, подразделение по обеспечению информационной безопасности получает как минусы – в виде повышенной нагрузки на персонал, расширения собственных обязанностей, акцент на срочности выполнения бизнес-процессов, так и плюсы – в виде расширения собственного функционала, компетенций, получения бесценного, порой, нового опыта, повышение уровня soft skills, выведения подразделения на уровень общения бизнеса, повышение его значимости в глазах коллег и руководства.
Однако необходимо понимать, что данное взаимодействие предполагает восприятие контрагента в качестве внешнего заказчика услуг даже если сам контрагент оказывает определенные услуги вашей организации. Рассматривать данный вопрос важно и необходимо для описания роли каждой стороны, описания и сроков решаемых задач.
Бытует мнение, что подразделение по обеспечению информационной безопасности нужно подключать к взаимодействию в самом конце договорной работы, когда бизнес уже договорился о сотрудничестве. И вследствие данного заблуждения порой, даже достаточно часто срываются сроки контрактов. На каком же этапе бизнес должен информировать подразделение информационной безопасности о новом проекте для проработки вопроса информационного взаимодействия, чтобы сдержать сроки, и бизнес-процессы не пострадали бы? Ответ прост – желательно, на старте проработки проекта. Дело в том, что на этапе проработки договора вопросы обеспечения ИБ могут касаться, как минимум:
