Osiguranje za vendore / dobavljače – na šta obratiti pažnju

Mnoge kompanije nastoje da što više poslovnih procesa obavljaju unutar celine jednog biznisa, kako bi se održala maksimalna kontrola i efikasnost. Međutim, često se javlja potreba da se neke poslovne aktivnosti outsource-uju, pa tako kompanije angažuju dobavljače. Oni mogu biti razni – od kompanija koje im obezbeđuju sirovine i proizvode, do onih koji pružaju usluge. U sklopu takve poslovne saradnje kupac, usled vanrednih okolnosti, može pretrpeti fizičku štetu ili biti nezadovoljan uslugom koja mu je pružena. Zbog takvih slučajeva koristi se osiguranje za vendore / dobavljače. Evo kako ono može da pomogne.

Dobavljači fizičkih proizvoda, i usluga: odgovornosti i rizici

Pri manipulaciji fizičkim proizvodima, građevinama, ali i pri pružanju usluga, može doći do raznih gubitaka, propuštenih prilika za zaradu, ili pak razne štete, na račun kupca / klijenta.

Vi kao finansijer projekta, korisnik usluge ili kupac proizvoda, nastojite da minimizirate rizik koji se može javiti u radu sa dobavljačima. Postoje razna rešenja u osiguranju koja vas mogu zaštititi od nepredviđenih troškova i gubitaka, samo ukoliko njima pristupite na vreme.

Da biste postavili zdrave temelje saradnje, ali i razvoja vašeg biznisa, možete tražiti da vaš dobavljač već poseduje određene polise pre nego što započnete rad sa njima. Koji su to najčešći tipovi osiguranja koje možete zahtevati? Evo nekih:

1. Osiguranje od odgovornosti za proizvode, ukoliko se barata fizičkim proizvodima – rešenje u osiguranju koje je specijalno formulisano da se aktivira u slučaju isporuke proizvoda sa greškom.
2. Osiguranje objekata u izgradnji i montaži (CAR / EAR), ukoliko ste vi investitor, i tražite izvođače – za kompanije koje posluju u okviru građevinske industrije. Preporučuje se kao obavezan je deo ugovora o izgradnji. Štiti kompaniju od materijalne štete i potencijalnog gubitka profita, a dobaljvače navodi da se ponašaju odgovorno. 
3. Osiguranje od profesionalne odgovornosti, na tenderima za konsultante – štiti vašu kompaniju u slučaju da dobavljač isporuči tehnološki proizvod ili uslugu koja ne zadovoljava potrebe vašeg poslovanja, odnosno nije u skladu sa ugovorom. Ova polisa osiguranja će omogućiti kompaniji da nadoknadi štetu, nakon greške dobavljača koja je dovela do finansijskog gubitka. Takođe, osigurane su i štete izazvane nenamernim kršenjem ugovorne obaveze od strane dobavljača.
4. Osiguranje od opšte odgovornosti, ukoliko ste zakupci u poslovnim zgradama ili zakupci lokala – štiti treća lica ukoliko dođe do povrede, smrtnog slučaja ili oštećenja njihove imovine, a u vezi sa vašim poslovanjem ili u vašim poslovnim prostorijama.

IT kompanije kao dobavljači – šta kada rizik nije opipljiv?

Za razliku od dobavljača sirovina i gotovoih proizoda, gde je moguće lako izvesti računicu i odrediti troškove ukoliko dođe do štete, postoje i vendori koji raspolažu najvećim bogatstvom vaše organizacije – vašim podacima. 

Čak i ukoliko ste uradili sve da dostignete visok nivo sajber bezbednosti u vašoj kompaniji, i poslušali sve preporuke stručnjaka iz ove oblasti, moguće je da vaš sistem i dalje ima neku slabost.

Poznato je da je zaštita vaših podataka jaka onoliko koliko i njena “najslabija karika”, a to je često vendor. U ovom kontekstu, vendori mogu biti različite firme, od provajdera cloud usluga, pa sve do IT inženjera

Imajući u vidu rizik koji nosi saradnja sa vendorima, u smislu da oni raspolažu vašim (poverljivim) infomracijama, vi kao kompanija možete preduzeti i nekoliko dodatnih koraka kako biste osigurali maksimalnu zaštitu podataka vaše kompanije. Uradite sledeće:

• Izvršite popis vendora sa kojma sarađujete – iznenadićete se koliko je ovaj korak ponekad težak kod kompanija koje ne vode računa o ovom aspektu. Preispitajte mogućnost zaposlenih da angažuju nove vendore, kao i boljoj proveri istih.
• Razumite rizike sa kojima se suočava vendor, ali i kako se oni prenose na vaše poslovanje – razmotrite kakav efekat može imati određeni sajber incident, kao što je hakerski napad, ransomware napad, ili curenje poverljivih poslovnih informacija, na sposobnost vendora da vam pruži kvalitetnu uslugu. Ključne poslovne funkcije se često outsource-uju. Ukoliko ste kod neke svoje poslovne funkcije uočili pojačani izvor sajber rizika, zamislite koliko će se taj rizik uvećati ukoliko tu funkciju obavlja treće lice.
• Raspitajte se o merama zaštite koje sprovodi vaš vendor i obezbedite dobru praksu u saradnji – postarajte se da u ugovoru zatražite pristup čitavoj bezbednosnoj arhitekturi vašeg vendora, kao i načinu sprovođenja najvažnijih procesa iz sajber domena. Zatražite od saradnika da poseduje određene bezbednosne sertifikate i tako ćete biti sigurniji u pogledu toga kako on barata vašim poverljivim podacima.

Kada govorimo o obezbeđenju dobre prakse kod vendora, to se postiže ugovornim klauzulama, u obliku određenih polisa osiguranja koje postavljate kao uslov sklapanja posla. Rešenja u osiguranju koja se najčešće koriste u ovu svrhu su:

1. Osiguranje od profesionalne odgovornosti za greške i propuste za IT industriju (Tech E&O) – štiti vas od mogućih gubitaka i poptune obustave poslovanja koji mogu nastati ukoliko vendor načini profesionalnu grešku.
2. Sajber osiguranje – štiti vaše poslovanje u slučaju štete i gubitaka povodom narušene sajber bezbednosti podataka, a konkretno: sajber i ransomware napada (sajber iznuda), curenja informacija i sličnih incidenata.

4 pitanja koja možete postaviti sebi kada procenjujete dobavljača

Ukoliko tek započinjete poslovnu saradnju, ili se trudite da održite postojeću, od velikog značaja je da razumete sa kojim rizicima se suočavate kada neko za vas upravlja vašim resursima. To je naročito važno ukoliko sarađujete sa nekim ko ima pristup informacijama vašeg biznisa.

Potrudite se da pronađete poslovnog saradnika, u ovom slučaju IT kompaniju kao dobavljača, koji održava isti ili viši nivo bezbednosti informacija u odnosu na onaj koji ima vaša organizacija. Kako da odredite da li neki dobavljač ispunjava potrebne standarde i kakav je uopšte njegov stav prema bezbednosti? To može pokazati sveobuhvatna procena njihovog poslovanja i tehnologije. 

Budući da ovakve procene mogu biti teške i dugotrajne, postavljanjem ova 4 pitanja pokazaće da li je kompanija sa kojojm pregovarate, ili već radite, pravi izbor za vaš biznis.

#1 Kojim vrstama podataka raspolaže vaš IT dobavljač (vendor)?

Ovo je prvo i najkritičnije pitanje na koje morate dati odgovor, jer će vam on pomoći da kasnije utvrditi da li vaš dobavljač štiti vaše informacije na pravi način. 

Na primer, ukoliko razmišljate o saradnji sa vendorom koji ne upravlja vašim poverljivim podacima, ili podacima od najvećeg značaja za vaše poslovanje, i nema pristup njima, možete ga smatrati vendorom niskog rizika. U tom slučaju, nećete se previše brinuti oko odnosa sa njim.

Ukoliko je reč o podacima koji su strogo poverljivi, dobavljača koji njima upravlja morate smatrati prioritetnim, i sprovesti sve sigurnosne kontrole.

#2 Kakva je online reputacija kompanije?

Zaštita online reputacije vaše organizacije od velikog značaja. Ukoliko će neki od vendora manipulisati vašim kritičnim podacima, ono što biste želeli da znate je kakva je reputacija tog vašeg dobavljača. 

Kao prvi korak, sprovedite brzu proveru poslovanja te firme. Nekad to podrazumeva pretragu na Google-u, gde možete dobiti sledeće informacije:

• podaci o odnosu prema bezbednosti informacija,
• da li iko izražava nezadovoljstvo u radu sa tom firmom na forumima ili društvenim mrežama,
• da li je ta firma javno iznela neke probleme u bezbednosti informacija kojima ona raspolaže, ili je imala neke napade na svoje sisteme, i koje su bile okolnosti u kojima je do toga došlo.

Ukoliko kompanija jeste pretrpela neke napade, to ne mora nužno biti razlog da odmah prekinete saradnju sa njom. Ukoliko izdvojite malo vremena za istraživanje všaeg vendora možete naići na brojen informacije koje će odrediti sudbinu vaše dalje saradnje.

#3 Da li ova kompanija ima izveštaje o bezbednosti raspoložive na uvid?

Sada kada ste podelili vaše dobavljače na nekritične i kritične, možete od vaših kritičnih vendora tražiti izveštaje o tome da li ispunjavaju određene bezbednosne strandarde.

SOC 2 i ISO 27001 su najpoznatiji standardi ovog tipa i koriste se u čitavoj industriji. U zavisnosti od vrste podataka kojom raspolažu vaši dobavljači, može se primeniti i neka regulativa usmerena na taj tip informacija.

#4 Da li ova kompanija redovno sprovodi bezbednosne procene i testove?

Redovne provere bezbednosti tehnologije koju dobavljač koristi, kao što su test penetracije, testovi ranjivosti, analiza bezbednosti web aplikacija i slično, ne samo što utvrđuju da li sistemi zaštite rade kako treba, već takođe pokazuju i da je kompanija odgovorna kada je reč o zaštiti podataka.

Ukoliko je odgovor na ovo pitanje pozitivan, pitajte da li možete da dobijete ikakve dokaze ili potvrde da se ovakve analize i aktivnosti redovno sprovode.

Saradnja sa dobavljačima i vendorima je često neophodna za glatko funkcionisanje vašeg biznisa, samo je važno da imate na umu rizike koje ta saradnja novi. I dalje niste sigurni koje rešenje u osiguranju je neophodno vašem biznisu? To može zavisiti od više faktora. Kontaktirajte naš stručni tim i posavetujte se o najboljim opcijama.