Cyber ​​Security Report - Velge tredjepartsleverandører ved å bruke Cyber ​​Essentials (og utover)

Jeg har fordøyd Kultur-, media- og idrettsutvalget anbefalinger etter utgivelsen av rapporten om cybersikkerhet tidligere denne uken.

En viktig anbefaling har vært om valg av tredjepartsleverandører. Det har ennå ikke blitt fremhevet av den populære pressen som har valgt å fokusere på de andre anbefalingene som å slå CEO-lønnspakker (som vi skal se på igjen en annen dag).

Rapporten anbefalte blant annet:

Alle telekommunikasjonsselskaper og nettforhandlere og andre nettsårbare organisasjoner bør ta skritt for å sikre at overholdelse av databeskyttelse regler og Cyber ​​Essentials er nøkkelkriterier ved valg av tredjepartsleverandører.

Vi er enige i den anbefalingen, og den er nok en forsterkning av hvorfor vi har oppnådd det selv, i tillegg til vår UKAS akkreditert ISO 27001: 2013 sertifisering.

Vår nye Cyber ​​Essentials-tjeneste er ute akkurat til rett tid for å hjelpe andre også. Vi forbereder og forbereder oss på Cyber ​​Essentials sertifisering til en lav kostnad, i noen tilfeller gratis tjeneste, i vår nye ISMS.Online-virksomhet.

Men er Cyber ​​Essentials, eller faktisk ti trinn til Cyber ​​Security nok når du tenker på tredjepartsvalg for områder med høy informasjonssikkerhetsrisiko? Selv om en leverandør har et lavt forbruk for deg, men har tilgang til eller tilbyr tjenester som påvirker informasjonssikkerhet, må du vurdere denne utvelgelsesprosessen mer nøye.

Gitt min arv innen forsyningskjede og partnervirksomhet (og tiårsjubileet for boken min Alliansens merke), tenkte jeg at det kunne være nyttig å dele noen andre tips rundt utvalgskriterier som vil hjelpe deg med å håndtere risiko og få bedre resultater.

I boken min utviklet jeg en enkel mnemonikk for å støtte tredjepartsvalg kalt TOPSCORER. Det er fokusert på utvelgelseskriterier for virkelig viktige relasjoner, det noen kaller partnere, allianser osv., ikke din aktivitet med lav verdi. Så invester kun i denne typen utvalg der du har større risiko og virkelig anerkjenner viktigheten av forsyningsområdet.

Cyber ​​Essential

 

Teknisk: Dette er teknisk grunnen til at du vil ha forholdet. Det er hva leverandøren eller partnerprospektet kommer med i form av kjernekompetanse og andre eiendeler du ønsker å få tilgang til. Det kan inkludere produkter, tjenester, nøkkelressurser, IPR, utstyr, kunder, merkevare, distribusjonskanal, innenlands/lokal kunnskap, kapital eller andre eiendeler.

operasjonell: Dette tar hensyn til leverandørens evne til å utføre i forhold til hvordan den fungerer i praksis på bakken med sine leveranseressurser, inkludert sine systemer, teknologi og forretningsprosesser som kan trenge å integreres med organisasjonen. Det inkluderer også sin tilnærming til styring, risikostyring og kontroller, et nøkkelspørsmål for de som ser på informasjonssikkerhetsaspekter.

Portfolio: Det er to aspekter ved denne egenskapen; en er leverandørens/partnerens innpass i din eksisterende portefølje. Den andre er å se på porteføljen deres og hvordan organisasjonen din vil utfylle eller konkurrere med den og dens partnere/kunder/andre leverandører.

Strategisk: En sterk strategisk tilpasning og komplementære mål i løpet av forholdets levetid er avgjørende hvis du vurderer forretningskritisk levering eller seriøse verdiskapende forhold. Andre faktorer å vurdere under denne karakteristikken inkluderer å vurdere komplementariteten til alliansedrivere som vanlige konkurrenter, lignende kundekrav samt et tvingende gjensidig behov. Faktorer som kan ødelegge verdier bør også vurderes her, som hyppighet av retningsendringer i prospektet som kan signalisere fremtidig konkurransetrussel. Et tilleggshensyn er verdien og betydningen organisasjonen har i form av bidrag til hverandres strategiske mål. Et godt spørsmål å vurdere er hvilken innvirkning forholdet ville ha på virksomheten hvis det ble avsluttet plutselig på et fremtidig tidspunkt.

Commercial: Tradisjonell økonomisk attraktivitet fra et kostnads-/nytte-perspektiv bør vurderes under dette aspektet og ethvert "skin in the game" på forhånd for mer intime samarbeid, da det bidrar til å signalisere engasjement. Den relative fordelingen av ytelser og tid til ytelse for hver part bør også tas i betraktning. Partiets økonomiske helse og kommersielle velvære bør også vurderes.

Ytre press: Organisasjoner møter store utfordringer ved å ha andre prioriteringer eller ytre press som konkurrerer om ledelsestid. Vurder potensielle eksterne distraksjoner som M&A-aktivitet, lederutfordringer, andre viktige partnere eller kunder, dårlig generell partner kommersiell ytelse samt hyppig skiftende stab som kan indikere dypere problemer inne i prospektet. På et personlig nivå kan helse- eller familieproblemer alvorlig avspore nøkkelaktørers tid og oppmerksomhet, så å bli kjent med menneskene og organisasjonen er nøkkelen.

Forhold: Se på evnen til å samarbeide både organisatorisk og individuelt. Jeg handler mye i boken min rundt dette, inkludert å tilby et tillitsrammeverk. Når det gjelder evne til å samarbeide, trenger ikke nødvendigvis kulturene og praksisene å være de samme for begge organisasjoner, men en sterk relasjonstilpasning er avgjørende for suksess. Noen ganger kreves det faktisk en markant annerledes prestasjonskultur for å lykkes. For eksempel ved å riste opp en forretningsenhet med dårlige resultater, kan en selvsikker outsourcingpartner forbedre produktiviteten positivt. Andre aspekter å vurdere inkluderer sammenligning av lederstiler, verdier og overbevisninger, organisasjonsstruktur og beslutningstaking, måten folk ledes og motiveres på, holdning til risiko samt tilnærming til politikk og praksis fra et juridisk og etterlevelsesperspektiv. Hvis organisasjonen din har lav appetitt på informasjonssikkerhetsrisiko, Cyber ​​Essentials er kanskje ikke nok. Du kan også lete etter organisasjonskulturer som utfyller appetitten din, for eksempel der de allerede har oppnådd UKAS Accredited ISO 27001: 2013. Det vil forsterke at den andre parten også tar emnet veldig alvorlig.

Miljø: Betyr å forstå virkningen av forholdet på den spesifikke markedsplassen i form av hvordan kunder og konkurrenter sannsynligvis vil reagere, så vel som andre interesserte parter for eksempel markedskommentatorer og aksjonærer. Den innkapsler også alle relevante aspekter rundt bedriftens samfunnsansvar og bærekraftig forretningseffekt. Det er interessant å se cybersikkerhet i økende grad blir en del av en firedobbel bunnlinje sammen med sosiale, miljømessige og økonomiske hensyn.

Forskrifter: Inkluderer en bredere vurdering av makrofaktorer i det regulatoriske miljøet som området står overfor i omfang, så vel som enhver lovlig overholdelse som er angitt for eksempel rundt bransjeforskrifter, konkurransebegrensende praksis, TUPE og andre faktorer som kanskje må håndteres med juridiske sikkerhetstiltak. Data Protection er et nøkkelaspekt her, og som vil vokse betydelig med EUGDPR. Man kan hevde at slike som TalkTalk kanskje har vært heldige nå med relativt lav kostnadseksponering nå. Firmaet kan bli bøtelagt med 4 % av sin globale omsetning dersom dette hadde skjedd etter 2018!

Hvis du ønsker å lære mer om tredjepartsleverandører og bli smartere om valg og administrasjon for å utfylle Cyber ​​Essentials-sertifiseringen, kan vi hjelpe deg. Vår ISMS.Online skyprogramvare har en pakke med leverandørfokusert funksjon innebygd, inkludert TOPSCORER-utvalgsverktøyet sammen med et enkelt, men effektivt arbeidsområde for kontrakts- og relasjonsadministrasjon.

lær MER

Sist redigert: 18. april 2023
Forfatter

Julia Heron

Julia er ISMS.online Solutions Specialist for bedriftskunder og jobber med organisasjoner for å hjelpe dem med deres overholdelsesmål.

Se alle innlegg av Julia Heron

Relaterte innlegg

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer