Cybersikkerhedsrapport – Valg af tredjepartsleverandører ved hjælp af Cyber ​​Essentials (og videre)

Jeg har fordøjet Kultur-, Medie- og Idrætsudvalget anbefalinger efter udgivelsen af ​​sin rapport om cybersikkerhed tidligere på ugen.

En vigtig anbefaling har handlet om udvælgelsen af ​​tredjepartsleverandører. Det er endnu ikke blevet fremhævet af den populære presse, som har valgt at fokusere på de andre anbefalinger, såsom at ramme CEO-lønpakker (som vi vil se på igen en anden dag).

Rapporten anbefalede blandt andet:

Alle teleselskaber og onlineforhandlere og andre cybersårbare organisationer bør tage skridt til at sikre, at overholdelse af databeskyttelse regler og Cyber ​​Essentials er nøglekriterier ved valg af tredjepartsleverandører.

Vi er enige i den anbefaling, og det er endnu en forstærkning af, hvorfor vi selv har opnået det, udover vores UKAS akkrediteret ISO 27001: 2013 certificering.

Vores nye Cyber ​​Essentials-tjeneste er ude på det rigtige tidspunkt for også at hjælpe andre. Vi forbereder og gør klar til Cyber ​​Essentials certificering til en lav pris, i nogle tilfælde gratis service, inden for vores nye ISMS.Online-forretning.

Men er Cyber ​​Essentials, eller faktisk ti trin til Cybersikkerhed nok, når du tænker på tredjepartsvalg til områder med høj informationssikkerhedsrisiko? Selv hvis en leverandør har et lavt forbrug for dig, men har adgang til eller leverer tjenester, der påvirker informationssikkerhed, skal du overveje denne udvælgelsesproces mere omhyggeligt.

I betragtning af min arv inden for forsyningskæde og partnerskabsaktivitet (og ti års jubilæet for min bog Alliance Brand), tænkte jeg, at det kunne være nyttigt at dele nogle andre tips omkring udvælgelseskriterier, der vil hjælpe dig med at styre risici og få bedre resultater.

I min bog udviklede jeg en simpel mnemonic til støtte for tredjepartsvalg kaldet TOPSCORER. Det er fokuseret på udvælgelseskriterier for virkelig vigtige relationer, hvad nogle mennesker kalder partnere, alliancer osv., ikke din lavværdiaktivitet. Så invester kun i denne type udvalg, hvor du har større risiko og virkelig anerkender vigtigheden af ​​forsyningsområdet.

Cyber ​​Essential

 

Teknisk: Det er teknisk grunden til, at du ønsker forholdet. Det er, hvad leverandøren eller partnerudsigten bringer i form af kernekompetencer og andre aktiver, du ønsker at få adgang til. Det kan omfatte produkter, tjenester, nøgleressourcer, IPR, udstyr, kunder, brand, distributionskanal, viden i landet/lokalt, kapital eller andre aktiver.

Operationel: Dette tager højde for leverandørens evne til at eksekvere i forhold til, hvordan den fungerer i praksis på jorden med sine leveringsressourcer, herunder dens systemer, teknologi og forretningsprocesser, der muligvis skal integreres med organisationen. Det inkluderer også sin tilgang til styring, risikostyring og kontrol, et nøglespørgsmål for dem, der ser på informationssikkerhedsaspekter.

Portefølje: Der er to aspekter ved denne egenskab; den ene er leverandørens/partnerens pasform inden for din eksisterende portefølje. Den anden er at se på deres portefølje og hvordan din organisation vil supplere eller konkurrere med den og dens partnere/kunder/andre leverandører.

Strategisk: En stærk strategisk pasform og komplementære mål i løbet af forholdets levetid er afgørende, hvis du overvejer forretningskritisk levering eller seriøse værdiskabende relationer. Andre faktorer, der skal tages i betragtning under denne karakteristik, omfatter vurdering af komplementariteten af ​​alliancedrivere såsom fælles konkurrenter, lignende kundekrav samt et tvingende gensidigt behov. Faktorer, der kan ødelægge værdi, bør også overvejes her, såsom hyppigheden af ​​ændringer i retning i udsigten, som kan signalere fremtidig konkurrencemæssig trussel. Et yderligere hensyn er den værdi og betydning, som organisationen har i forhold til bidrag til hinandens strategiske mål. Et godt spørgsmål at overveje er, hvilken indflydelse forholdet ville have på forretningen, hvis det pludselig blev afsluttet på et fremtidigt tidspunkt.

Kommerciel: Traditionel økonomisk tiltrækningskraft ud fra et cost/benefit-perspektiv bør overvejes under dette aspekt og enhver på forhånd "skin in the game" for mere intime samarbejder, da det er med til at signalere engagement. Den relative deling af fordele og tid til fordel for hver part bør også tages i betragtning. Partiets økonomiske sundhed og kommercielle velfærd bør også tages i betragtning.

Udefrakommende tryk: Organisationer står over for store udfordringer ved at have andre prioriteter eller udefrakommende pres, der konkurrerer om ledelsestiden. Overvej potentielle eksterne distraktioner såsom M&A-aktivitet, ledelsesudfordringer, andre vigtige partnere eller kunder, dårlige overordnede partneres kommercielle præstationer samt hyppigt skiftende personale, hvilket kan indikere dybere problemer i kundeemnet. På et personligt plan kan sundheds- eller familieproblemer alvorligt afspore nøgleaktørers tid og opmærksomhed, så det er nøglen at lære menneskene og organisationen at kende.

forholdet: Se på evnen til at samarbejde både organisatorisk og individuelt. Jeg beskæftiger mig meget i min bog omkring dette, herunder at tilbyde en tillidsramme. Med hensyn til evnen til at samarbejde behøver kulturerne og praksisserne ikke nødvendigvis at være ens for begge organisationer, men en stærk relationspasning er afgørende for succes. Nogle gange kræves der faktisk en markant anderledes præstationskultur for at få succes. For eksempel ved at ryste en dårligt præsterende forretningsenhed, kan en assertiv outsourcing-partner positivt forbedre produktiviteten. Andre aspekter at overveje omfatter sammenligning af ledelsesstile, værdier og overbevisninger, organisationsstruktur og beslutningstagning, måden mennesker ledes og motiveres på, holdning til risiko samt tilgang til politik og praksis fra et juridisk og compliance-perspektiv. Hvis din organisation har en lav appetit på informationssikkerhedsrisiko, Cyber ​​Essentials er måske ikke nok. Du leder måske også efter organisationskulturer, der komplementerer din appetit, for eksempel hvor de allerede har opnået UKAS Accredited ISO 27001: 2013. Det ville forstærke, at den anden part også tager emnet meget alvorligt.

Miljø: Betyder forståelse af forholdets indvirkning på den specifikke markedsplads i forhold til, hvordan kunder og konkurrenter sandsynligvis vil reagere, samt andre interesserede parter for eksempel markedskommentatorer og aktionærer. Den indkapsler også alle relevante aspekter omkring virksomhedernes sociale ansvar og bæredygtig forretningspåvirkning. Det er interessant at se cybersikkerhed i stigende grad bliver en del af en firedobbelt bundlinje sammen med sociale, miljømæssige og økonomiske hensyn.

regulering: Inkluderer en bredere vurdering af makrofaktorer i det lovgivningsmæssige miljø, der står over for området i omfang, såvel som enhver lovlig overholdelse, der er fastsat for eksempel omkring industriforskrifter, konkurrencebegrænsende praksis, TUPE og andre faktorer, der muligvis skal løses med juridiske garantier. Databeskyttelse er et nøgleaspekt her, og det vil vokse betydeligt med EUGDPR. Man kan argumentere for, at folk som TalkTalk måske har været heldige nu med relativt lav omkostningseksponering nu. Virksomheden kunne få en bøde på 4 % af deres globale omsætning, hvis dette var sket efter 2018!

Hvis du gerne vil lære mere om tredjepartsleverandører og blive klogere på udvælgelse og administration for at supplere Cyber ​​Essentials-certificeringen, kan vi hjælpe dig. Vores ISMS.Online cloud-software har en pakke af leverandørfokuserede funktioner indbygget, herunder TOPSCORER-udvælgelsesværktøjet sammen med et simpelt, men effektivt kontrakt- og relationsstyringsarbejdsområde.

Lær mere

Sidst redigeret: 18. april 2023
Forfatter

Julia Heron

Julia er ISMS.online Solutions Specialist for virksomhedskunder og arbejder sammen med organisationer for at hjælpe dem med deres overholdelsesmål.

Se alle indlæg af Julia Heron

Relaterede indlæg

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere