Fem it-strategier som bør indgå i valg af leverandører

Med udbredelsen af SaaS-løsninger, API integrationer og cloud computing er stort set alt i den moderne virksomhed tilsluttet et uoverskueligt antal eksterne enheder. Faktisk er mange forretningsprocesser afhængige af disse forbindelser, som i sagens natur også udvider trussellandskabet og udsætter organisationerne for en langt større risiko.

Denne sammenkobling betyder, at eventuelle sårbarheder hos leverandører bliver dine sårbarheder. Til at understøtte denne påstand behøver vi blot at se på det massive NotPetya-angreb, der ramte et stort antal af virksomheder i sommeren 2017. Hvad der begyndte som et cyberwarfare-angreb på Ukraine, lammede alt fra den globale skibsgigant Mærsk, til et hospital i Pennsylvania og forårsagede kæmpe milliardtab. Hændelsen skabte fokus på leverandørsikkerhed, da ransomwaren spredte sig som løbeild, ikke kun mod Ukraine, for den ramte også organisationer, der absolut ikke havde nogen forbindelse til det oprindelige mål for angrebet.

Skab sikkerhed i forsyningskæden
Efter røgen har lagt sig, er der ikke meget, der har ændret sig, når det gælder implementering af bedre risikostyring i forsyningskæden. En Gartner-undersøgelse belyste, at 83% af organisationerne afdækker tredjepartsrisici efter at have udført due diligence. 70% af forretnings- og IT-ledere indrømmer, at de ikke har nogen idé om, hvor omhyggelige deres tredjepartspartnere er, når det kommer til sikkerhed. Overraskende siger over halvdelen, at de baserer det på tillid alene.

Der er meget på spil, hvilket gør det yderst bekymrende, at så mange organisationer undlader at fokusere på leverandørsikkerheden. Oftest skyldes problemet, at it først kommer ind i leverandørevalueringsprocessen, efter der allerede er foretaget et valg. Forretningsenheder er bemyndiget til at foretage alle de indledende vurderinger, og due diligence, og først involvere it til en vurdering, når kontrakten ligger klar til underskrift. Det betyder, at it bliver ”skurken”, når de kommer med indvendinger og rejser deres bekymringer.

For at løse denne udfordring må der indføres en mere strategisk tilgang til sikring af sikkerhed i forsyningskæden. Dette gøres ved at skabe forståelse for vigtigheden af at evaluere leverandørsikkerheden tidligt i processen.

Nedenfor beskrives fem områder, der bør være i fokus, når man vurderer et fremtidigt samarbejde med en ekstern leverandør, samt tiltag som kan forebygge, at it bliver nødt til at trække i nødbremsen.

    1. Træn medarbejderne i cybersikkerhed.
      Arbejder du med it, er sikkerhed det mest naturlige for dig, da du dagligt beskæftiger dig med det, og derved har viden herom. Men dine kollegaer uden for it, har det ikke nødvendigvis på samme måde. De er slet ikke bevidste om alle de nådesløse risici, der er derude, og for de fleste ville det være chokerende, hvis de vidste, hvor stort et trusselslandskab organisationer står overfor. Derfor er træning afgørende og meget vigtigt. Gør cybersecurity-uddannelse til et rutinemæssigt krav, så de, der træffer beslutninger i forhold til leverandører – samt almindelige brugere – forstår, hvor risikoen ligger, og hvordan de kan reducere den. Ved at skabe opmærksomhed bygger du et mere årvågent forsvar blandt medarbejderne.
    2. Implementér en grundlæggende sikkerhedspolitik.
      Skab klare retningslinjer, politikker og kontrolkrav, som leverandører skal opfylde og bestå for at kunne handle med jer. Dette bør omfatte ting som sikkerhedstræning for medarbejdere, tofaktorgodkendelse, sikre udviklingspolitikker, penetrationstests, sikkerhed på mobilenheder, ændring og adgangskontrol og endda fysiske/miljømæssige krav m.v. Ved at formulere dine leverandørkrav skriftligt og gøre dem obligatoriske kan forretningen nemmere udføre en ordentlig og grundig due dilligence, inden leverandøren skal dokumentere, at de lever op til sikkerhedskravene.
    3. Kræv dokumentation.
      Sørg for, at organisationen forstår betydningen af at overholde eventuelle krav, der styrer din virksomhed eller branche. Man bør forstå, at man i dag er ansvarlig for både sin egen og sine leverandørers overholdelse af compliance krav. Det betyder bl.a., at din virksomhed kan holdes ansvarlig for en leverandørs databreach. Insistér på at få fyldestgørende dokumentation for overholdelse af bl.a. GDPR, og andre krav der måtte være. Husk, at forskellige markeder kan have forskellige krav, og derfor kan der være forskellige forhold, man skal være opmærksom på.
    4. Bed om at se datastrømme.
      I dag er de fleste virksomheder afhængige af cloud-ressourcer til opbevaring eller behandling af data. Det betyder, at al din virksomheds data, der er forbundet til deres systemer via API, flyder uden for deres netværk og er potentielt udsat for adskillige andre leverandører, samarbejdspartnere og andre tredjeparter, som de driver forretning med. Du har en ret – og et ansvar – til at vide, hvordan datastrømmene ser ud, og hvem der potentielt har adgang til dine data.
    5. Indfør en kontinuerlig, iterativ tilgang til leverandørsikkerhed.
      Alt for mange organisationer beror sig alene på en erklæring, der kun giver et øjebliksbillede og på ingen måde giver et overblik over den løbende sikkerhed. Gartner foreslår en iterativ tilgang til at reducere risiko ved at identificere og udbedre tredjepartsrisici, før de har indvirkning.

At udarbejde en drejebog til leverandørsikkerhedsscreening, inden eller som en del af kontraktforhandlingerne, gør det meget nemmere at gennemføre en grundig due diligence. At sikre at så mange sikkerheds- og compliancetjek som muligt er gennemført inden et decideret sikkerhedsreveiw, sikrer, at it ikke må trække stikket på en kontrakt i sidste øjeblik. Dette beskytter ikke kun organisationen, men eliminerer også det modstridende forhold mellem it og resten af ​​virksomheden og erstatter den med et langt bedre samarbejde og forståelse.