IT dodavatelský řetězec: Neviditelné riziko, které může ochromit váš byznys
Problémy se týkaly fyzických dodavatelských řetězců. A byly jasně vidět. Chybějící běžné produkty v obchodech, vlastně pozastavení veškerého běžného života.
Jenže tím to neskončilo. Sice už v obchodech máme produkty tak, jak jsme zvyklí, ale problémy dodavatelského řetězce se přesunuly do mnohem záludnější podoby. Nyní se týkají dodavatelů IT infrastruktury, systémů a aplikací a jejich zákazníků. Protože tyto oblasti jsou ve většině případů dnes již „neviditelné“, je mnohem náročnější se s nimi vyrovnat.
Jaké jsou tedy oblasti, na které si musíme dávat pozor, když dáváme dohromady a spravujeme náš IT dodavatelský řetězec? Jak se zorientovat v nástrahách AI a stínového IT? A co to vlastně znamená?
Na všechny tyto oblasti a mnohé další se podíváme v tomto článku. Pojďme na to.
Význam bezpečnosti v dodavatelském řetězci IT 🔒
Všichni to známe — bez IT se ani v osobním, ani ve firemním životě neobejdeme. Už nikdy. Takže logicky je to jedna z oblastí, která má největší vliv na naše fungování. Když IT funguje správně, my fungujeme správně. Když ne, celý náš svět se sesype na malou kopičku slz a vzteku.
Z tohoto faktu vyplývá, že výběr IT dodavatelů přímo ovlivňuje naši schopnost fungovat tak, jak si my přejeme. Jsme to, co jíme, a jaké IT dodavatele si vybíráme. Je proto velmi důležité se zamyslet už u počátečního výběru a návrhu fungování, jaké partnery si vybereme. Pokud si nevybereme pečlivě nebo zanedbáme analýzu, ohrožujeme svým rozhodnutím klíčový a kritický prvek našeho fungování.
Navíc se v dnešní době zvyšuje počet kybernetických útoků a jejich sofistikovanost. Jejich cílem jsou, překvapivě, i dodavatelé IT řešení. EU má tedy pravdu, když si firmy mají ohlídat svůj technologický dodavatelský řetězec. Ano, není to oblíbená věta, ale tady unie boduje.
Případový studie — Capital One
Tato slova ale podložíme činy. Tedy spíše problémy někoho, kdo zažil selhání svého dodavatele. Tou společností je Capital One, bankovní sektor. Její klienti nemohli ovlivnit fungování svých bankovních účtů, dokonce se do nich ani nemohli dostat.
Problémem byl výpadek na straně dodavatele. A důvodem určitě nebylo to, že by dodavatel byla nějaká bezejmenná firma. FIS Global je poskytovatelem technologických služeb pro finanční sektor, mezi jejichž zákazníky patří velké banky. Očividně ví, co dělají.
To ale nezastavilo IT problémy od ochromení jejich zákazníků. Zárukou tedy není pouze velké jméno, ačkoli do této pasti se stále chytají české firmy ve velkém. Zárukou také není specializovaná znalost konkrétního trhu nebo niche trhu. Proto pořád z našich klávesnic zaznívá věta — nepřeskakujte analýzu.
Případ Capital One nám ukazuje, že nejen, že musíte udělat na své straně ekvivalent due diligence při výběru dodavatele, ale zároveň s ním musíte zkoordinovat procesy pro případ výpadku nebo jiného problému.
Pokud chcete ze svého IT dostat maximum, musíte do něj na začátku a v průběhu investovat hlavně čas. Základem je analýza potřeb, na základě které dostanete doporučení pro architekturu celé IT infrastruktury. Pak je ale také potřeba kontrolovat, jestli to pořád vše platí a sedí.
Složitost jako výzva 🧩
Jenže vy se pravděpodobně nacházíte ve stejné situaci jako Capital One — IT infrastrukturu nevybíráte, ale už ji máte plně rozjetou a zaimplementovanou. Jak se tedy vyrovnat se stávajícím stavem a vůbec se v něm zorientovat? Jak naložit se složitostí IT trhu, finančními omezeními a rozporem mezi AI očekáváními a jejich náklady?
Rostoucí náročnost orientace v řešeních
Začínáme s informací, že od doby, kdy jste IT infrastrukturu vybírali, se celý trh změnil. To platí i v případě, že ji máte relativně novou. Technologie jdou kupředu takovým tempem, že se nám všem z toho točí hlava.
Navíc nejde jen o to, že přichází nové generace stávajících produktů a technologií. Díváme se na revoluce v IT, které jsou skoro na denním pořádku. Dříve se například IT infrastruktura vybírala stylem servery, pak přišel cloud, pak byly v módě SaaS služby.
Dnes je ale správně vybrané IT hlavně o přizpůsobení jednotlivým aktivitám, které ve firmě probíhají. Proto je na vzestupu princip hybridního cloudu, multicloudu včetně cloudové repatriace.
Vzhledem k nepřebernému množství možností a zároveň dalšímu nepřebernému množství kombinací, výběr IT se stává procesem, pro který je potřeba najmout odborníka. Co by měl přinést ke stolu?
- Orientaci v IT prostředí (ideálně minimálně dekádu — za takových podmínek měl možnost projít různé typy a pochopit jejich možnosti využití)
- Schopnost přeložit vaše potřeby do správně poskládané IT architektury
- Ochotu přiznat, že změna není nejlepší řešení
- Pochopení finanční stránky věci (vysvětlení v dalším oddíle)
Samostatnou kapitolou celého výběru je kyberbezpečnost. Vzhledem k tomu, že nejsou žádné standardizované procesy a doporučené přístupy, nezapomínejte na přizpůsobené zakomponování bezpečnostních procesů a koordinaci s dodavateli.
Omezené rozpočty vs. potřeba vylepšení
Firmy, které chtějí dát své IT do kupy čelí další složitosti, kromě té čistě technologické. Je to složitost finanční. Jak vybalancovat to, co můžeme investovat, s tím, co potřebujeme?
Jen malý zlomek společností si může dovolit zaplatit všechna opatření, která potřebují. My ostatní musíme dělat kompromisy. Ale jak se vyhnout tomu špatnému?
Do hry přichází opět základní věc — pomoc od odborníka. Nejen, že potřebujete v rámci vašeho rozpočtu najít to nejlepší řešení, ale musí to být takové, které zahrnuje všechno, co potřebujete.
Proto by měl odborník mít ponětí od finanční stránce věci. Spousta lidí dokáže dát dohromady IT architekturu, která padne, jen zlomek to dokáže v rámci vašeho rozpočtu a transparentně.
Spousta práce ale zůstane na vás, protože jsou otázky, na které externí partner odpovědět prostě nemůže:
- Seznam aktivit a jejich priorit pro fungování firmy
- Rozpočet
- Věci, které je potřeba zachovat tak, jak jsou
Očekávání AI funkcionalit zdarma vs. realita rostoucích nákladů
Všichni chtějí používat AI! Na tom nic hrozného není. To, co z toho dělá horor, je nejistota zakomponování do stávajících systémů. Firmy obecně očekávají, že jejich stávající systému dostanou AI upgrade, jenže zároveň to znamená zvyšování cen.
Příkladem je Microsoft, který zvyšuje ceny u svých produktů, protože dostávají Copilot facelift. Jenže ne každá firma tyto funkcionality využívá, takže vlastně jenom zažívají zdražení.
Zároveň tento princip vede k tomu, že firmy používají různorodou sadu AI nástrojů, protože na něco používají samostatný LLM, pak mají aplikace vlastní AI a pak jsou tu generátory obrázků, videií a audia.
Důležitým krokem je udělat si pořádek v tom, co, kdo, kdy, jak, proč používá AI a v jaké formě. Asi zjistíte, že se některé funkcionality překrývají a díky tomu budete mít možnost udělat si v AI nástrojích pořádek, optimalizovat náklady na jejich využívání a také zjistit, kde číhají skrytá kybernetická nebezpečí.
Hrozby od třetích stran a jak je omezit 🛡️
Teď když máme za sebou přehled oblastí, ze kterých problémy můžou plynout a jak s nimi naložit, je na čase se podívat na zoubek hrozbám, které potřebujete podchytnout.
Nedostatečné vzdělání vedení o bezpečnostních požadavcích na dodavatele
Největší nebezpečí číhá uvnitř každé firmy. Nejsou to ani ajťáci zaběhnutí ve svých kolejích, nejsou to ani netechničtí zaměstnanci, je to vedení.
Aby dodavatelský řetězec mohl správně fungovat, musí vedení firmy rozumět základním bezpečnostním principům (které se neustále mění, překvapivě). Díky tomu pak firma může připravit své bezpečnostní standardy a požadavky na dodavatele IT. Díky tomu bude jednodušší nejen spravovat rizika, ale také filtrovat potencionální dodavatele. Bez odborné pomoci to samozřejmě nepůjde.
Pokud si společnost nezachová dostatečný dohled nad bezpečnostními procesy, zadělává si na pořádný průšvih. Jaké jsou související otázky, které by si vedení mělo položit?
- Jak si správně vybrat dodavatele IT služeb?
- Jaká jsou rizika spojená s outsourcingem IT bezpečnosti?
- Jaký je pro nás význam smluvních ujednání a odpovědnosti?
- Kde jsme ochotni udělat kompromis?
- Kde nemůžeme udělat kompromis?
- Jaké máme zákonné povinnosti?
Netransparentní IT dodavatelský řetězec
Kdo by to byl řekl? Dost často tento problém plyne z toho, že firma je zvyklá na nějaký svůj způsob fungování. Tato výmluva už dávno neplatí. Ať už máte své IT zaběhnuté jakkoli dlouho, není to výmluva pro nezájem o jeho stávající stav a potřebnou optimalizaci vzhledem na měnící se světový stav.
Velmi základní oblast této hrozby se týká dat. Dost často nemají firmy přehled o tom, kde jsou jejich data uloženy, kdo k nim má přístup nebo kdo s nimi může nakládat.
Pokud máte například infrastrukturu u amerického poskytovatele, vztahují se na ně i americké zákony. Je tedy otázka, jestli jsou naprosto v bezpečí před federálními agenturami, ačkoli máme platné bilaterální smlouvy o jejich vysoké úrovni ochrany.
A pak přichází na řadu pravidelné audity a vhodné kontrolní mechanismy. A to je prostě velký problém. Firmy naprosto zapomínají na průběžnou kontrolu nejen IT bezpečnosti, ale IT infrastruktury obecně. A to je něco, co je potřeba změnit. Každý ale musí začít u sebe.
Už jsme se také zmínili o AI Eintopfu. To je další separé kapitola netransparentnosti, protože nám do přehlednosti hází vidle zároveň trendy jako B.Y.O.AI, kdy vlastně firma nemá problém s tříštěním vnitřního IT.
Ze všech těchto jednotlivých oblastí ale vyplývá, že obecnými procesy, které by každá firma měla s ohledem na dodavatelský řetězec implementovat, jsou:
- Důkladná analýza
- Jasně daná interní pravidla
- Pravidelné audity
Závěr ✅
Buďte o krok napřed. IT dodavatelský řetězec je složitý organismus, který se neustále mění. Bez důkladné analýzy, jasných pravidel a pravidelných auditů se z něj může stát časovaná bomba. Nečekejte, až problémy vyplynou na povrch – jednejte proaktivně, nastavte si kontrolní mechanismy a spolupracujte s partnery, kteří vás nejen podrží, ale pomohou vám růst.
