Procesy TPRM/SCRM, alebo ako uchopiť požiadavky na riadenie rizík dodávateľského reťazca

Prednáška sa zameriava na praktické uchopenie procesov riadenia rizík tretích strán a dodávateľského reťazca (TPRM/SCRM) v prostredí prevádzkovateľov základných služieb. Aj na základe skúseností audítorov kybernetickej bezpečnosti je známym faktom, že PZS typicky nemajú vybudovaný systematický a udržateľný prístup k TPRM/SCRM. Cieľom je prekonať formálny, dokumentačný pohľad na dodávateľov a navrhnúť realizovateľný procesný rámec, ktorý je primeraný veľkosti, zrelosti a rizikovému profilu PZS. 

Ťažiskom prednášky je návrh prístupu k identifikácii tzv. „významných“ dodávateľov, závislosti kľúčových procesov a nahraditeľnosti dodávateľa. Pozornosť je venovaná tomu, ako rozlíšiť dodávateľov, na ktorých sa musia vzťahovať sprísnené bezpečnostné požiadavky, od tých, kde je postačujúci základný kontrolný rámec, a ako toto rozhodnutie preukázateľne zdokumentovať.

Dôležitou súčasťou prednášky je zároveň pochopenie rozdielu medzi samotným procesom TPRM a širším konceptom SCRM. Kým TPRM sa primárne zameriava na riadenie rizík priamo zmluvných, „prvostupňových“ vzťahov s dodávateľmi, SCRM rozširuje tento pohľad na celý dodávateľský reťazec vrátane subdodávateľov a ďalších nadväzujúcich úrovní (2nd tier, 3rd tier). Prednáška preto poukazuje na potrebu identifikovať nielen kritických dodávateľov, ale aj kritické závislosti v reťazci, ktoré môžu predstavovať významné riziko aj mimo priamej kontroly PZS. 

Záver prednášky je venovaný návrhu inicializačného projektu TPRM/SCRM, určeného pre organizácie, ktoré začínajú „od nuly“. Predstavený je postup krok za krokom – od vytvorenia základnej evidencie dodávateľov, cez prvú klasifikáciu a rýchle rizikové triedenie, až po nastavenie minimálne životaschopného procesu, ktorý je možné postupne rozvíjať. Dôraz sa kladie na realistický rozsah, riadenie očakávaní a prepojenie TPRM/SCRM na existujúce procesy riadenia rizík, ISMS a BCM.