10 najczęstszych błędów w weryfikacji BCP dostawców usług ICT

Pobierz nasz poradnik „10 najczęstszych błędów w weryfikacji BCP dostawców usług ICT” i dołącz do elitarnego grona Forum Ekspertów Odporności Operacyjnej, dzięki czemu będziesz otrzymywać od nas regularne, merytoryczne analizy z zakresu zarządzania ryzykiem, ciągłości działania, cyberbezpieczeństwa i compliance (m.in. DORA, NIS2), a także informacje o naszych usługach i produktach, które pomogą Ci skutecznie wdrożyć prezentowane strategie.

Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.

Imię i Nazwisko *

Służbowy
adres E-mail *

_*- Pole obowiązkowe

Wyrażam zgodę na otrzymywanie od Davidson Consulting i Wspólnicy Sp. z o. o. informacji handlowych i marketingowych dotyczących produktów i usług własnych za pomocą środków komunikacji elektronicznej, w szczególności na podany przeze mnie adres e-mail, zgodnie z art. 10 ustawy o świadczeniu usług drogą elektroniczną. Zgoda obejmuje również używanie w tym celu telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących w rozumieniu art. 172 ustawy Prawo telekomunikacyjne.

Dziękujemy za zapisanie się do Forum Ekspertów Odporności Operacyjnej.

Niedługo otrzymasz mail, potwierdzający oraz mail z plikiem PDF.

Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.

Weryfikacja Planów Ciągłości Działania (BCP) dostawców usług ICT to kluczowy element zarządzania ryzykiem w każdej organizacji. Jednak proces ten jest złożony i często obarczony błędami popełnianymi przez podmioty przeprowadzające ocenę. Skutkują one fałszywym poczuciem bezpieczeństwa i mogą narazić Twoją organizację na poważne konsekwencje w przypadku awarii.

Jako eksperci w Davidson Consulting, przygotowaliśmy listę 10 najczęstszych błędów, które obserwujemy podczas weryfikacji BCP dostawców. Uniknięcie ich to klucz do zbudowania prawdziwej odporności cyfrowej i zapewnienia ciągłości własnych operacji.

1. Powierzchowna analiza zgodności z wymogami regulacyjnymi

Błąd: Weryfikujący skupia się wyłącznie na ogólnym potwierdzeniu istnienia planu, bez dogłębnej analizy jego zgodności z konkretnymi wymogami regulacyjnymi (np. DORA, NIS2/UKSC, CER) oraz zapisami umownymi.

Konsekwencja: Pominięcie kluczowych luk w zgodności, które mogą skutkować karami regulacyjnymi i odpowiedzialnością prawną w przypadku incydentu.

2. Brak weryfikacji adekwatności Analizy Wpływu na Działalność (BIA) dostawcy

Błąd: Akceptowanie BIA dostawcy bez krytycznej oceny, czy zidentyfikowane RTO/RPO są realistyczne, uzasadnione i spójne z własnymi wymaganiami biznesowymi.

‍Konsekwencja: Brak pewności, czy dostawca jest w stanie sprostać rzeczywistym potrzebom odzyskiwania, co może prowadzić do niedoszacowania ryzyka i nieefektywnych strategii.

3. Nieweryfikowanie aktualności i kompleksowości oceny ryzyka dostawcy

Błąd: Przyjmowanie oceny ryzyka dostawcy jako kompletnej, bez sprawdzenia, czy uwzględnia ona najnowsze cyberzagrożenia (np. ataki na łańcuch dostaw, nowe warianty ransomware) i czy jest regularnie aktualizowana.

Konsekwencja: Narażenie na ryzyka, które nie zostały zidentyfikowane ani zaadresowane w planie dostawcy, co czyni go nieprzygotowanym na ewolucję zagrożeń.

4. Brak weryfikacji skuteczności strategii odzyskiwania w praktyce

Błąd: Ograniczanie się do analizy opisów strategii odzyskiwania (np. kopii zapasowych, replikacji), bez żądania dowodów ich praktycznej skuteczności i regularnych testów.

‍Konsekwencja: Plan może wyglądać dobrze na papierze, ale być niewykonalny w rzeczywistości, prowadząc do długotrwałych przestojów w przypadku awarii.

5. Niewystarczająca weryfikacja procedur reagowania na incydenty

Błąd: Brak szczegółowej oceny procedur dostawcy w zakresie wykrywania, klasyfikacji i zgłaszania incydentów, w tym zgodności terminów i kanałów komunikacji z własnymi wymogami.

Konsekwencja: Opóźnienia w otrzymywaniu kluczowych informacji o incydentach, co uniemożliwia terminowe podjęcie działań zaradczych i komunikację z interesariuszami.

6. Brak żądania dowodów i wyników testów BCP/DRP

Błąd: Akceptowanie deklaracji o testowaniu planu bez żądania pełnej dokumentacji wyników testów, analizy luk i wdrożonych działań korygujących.

Konsekwencja: Brak pewności, czy plan dostawcy jest faktycznie sprawdzony i czy wyciągane są wnioski z testów, co podważa jego wiarygodność.

7. Brak weryfikacji procesu aktualizacji i utrzymania planu

Błąd: Nieweryfikowanie, czy dostawca posiada ugruntowany proces regularnego przeglądu i aktualizacji BCP w oparciu o zmiany w środowisku, wyniki testów i incydenty.

Konsekwencja: Plan dostawcy szybko staje się przestarzały i nieadekwatny do zmieniających się warunków, tracąc swoją wartość ochronną.

8. Nieweryfikowanie zależności od podwykonawców dostawcy

Błąd: Skupianie się wyłącznie na planie głównego dostawcy, bez analizy, w jaki sposób zarządza on ciągłością działania swoich własnych podwykonawców i czy te zależności są odpowiednio zabezpieczone.

Konsekwencja: Ukryte punkty pojedynczej awarii w łańcuchu dostaw, które mogą uniemożliwić odzyskanie usług, nawet jeśli główny dostawca ma solidny plan.

9. Brak weryfikacji planu komunikacji kryzysowej dostawcy

Błąd: Pomijanie szczegółowej oceny planu komunikacji kryzysowej dostawcy, w tym kanałów, punktów kontaktowych i protokołów komunikacji z klientem podczas incydentów.

Konsekwencja: Brak efektywnej i terminowej komunikacji w sytuacji kryzysowej, co może prowadzić do paniki, dezinformacji i pogorszenia sytuacji.

10. Brak zaangażowania ekspertów wewnętrznych i zewnętrznych w proces weryfikacji

Błąd: Przeprowadzanie weryfikacji przez osoby bez odpowiedniej wiedzy i doświadczenia w zarządzaniu ciągłością działania i bezpieczeństwem ICT, lub rezygnacja z wsparcia zewnętrznych ekspertów.

Konsekwencja: Powierzchowna i nieskuteczna ocena, która nie jest w stanie zidentyfikować złożonych luk i ryzyk, pozostawiając organizację narażoną na nieprzewidziane awarie.

Chcesz sprawdzić, czy skutecznie weryfikujesz BCP swoich dostawców usług ICT?

Skorzystaj z naszej Ankiety Davidson Consulting ICT Compliance Navigator, która pomoże Ci systematycznie ocenić Plan Ciągłości Działania ICT pod kątem zgodności z wymogami regulacji europejskich, polskich ustaw i standardów ISO.
‍
Kliknij okładkę

O autorach:

Renata Davidson

Ekspertka z ponad 25-letnim doświadczeniem w projektach BCM. Certyfikaty PECB ISO 22301:2012 Master oraz PECB Lead Cybersecurity Manager. Pełni rolę eksperta technicznego ds. normy ISO 22301 w Polskim Centrum Akredytacji. Jest doświadczoną trenerką i wykładowczynią na Akademii Marynarki Wojennej EMBA i DBA „Zarządzanie cyberbezpieczeństwem i usługami cyfrowymi”

Igor Ziniewicz

Od 20 lat wdraża systemy zarządzania ryzykiem operacyjnym i ciągłością działania dla firm przemysłowych, telekomunikacyjnych, logistycznych, energetycznych oraz instytucji finansowych i administracji publicznej. Specjalizuje się w zarządzaniu ryzykiem operacyjnym i ciągłością działania usług ICT.

Powrót na stronę główną