Så här får du jurister, inköp och affärsägare med på IT-säkerhet.

Jurister, inköpare och affärsägare är ofta fokuserade på sina egna mål när onboarding av nya leverantörer ska tas med och man kanske inte prioriterar behovet av IT-säkerhet. Med nya verktyg som är både enkla att installera och använda kan anställda engagera en tredje part utan att involvera IT-säkerhetsteamet alls eller möjligen i slutet av processen. Att utföra säkerhetsbedömningar innan du kontrakterar en ny tredje part är dock nyckeln till att minimera risken på vägen.

Här är några tips på hur du ökar medvetenheten och hjälper dina kollegor att bli engagerade i en säkerhetsbedömning.

Vilken roll spelar säkerheten i urvalsprocessen av en leverantör?

IT-säkerhetsteamet har den tekniska expertisen för att upptäcka potentiella säkerhetshot vid en ny relation. De måste ha en god förståelse för vilka system, vilken åtkomstnivå och data leverantören eller tredje part kommer att ha tillgång till. De måste också se till att tredje part har rätt försiktighetsåtgärder på plats, till exempel systemkonfigurationer eller policyer för att säkerställa att dina data eller dina kunders data hanteras korrekt.

Enligt nya regler har datamappning blivit en viktig kontrollfunktion för att få företag att förstå var datan finns och vem man delar den med.  Finns det tillräckligt med förtroende från båda sidor för att skapa en relation?

Därför är det viktigt att säkerheten går före alla kontraktssigneringar för att se till att tredje part vidtar nödvändiga åtgärder för att säkerställa att data är säkra. Områden som kryptering, databaskonfiguration, korrigering av kadenser är delar som experterna ansvarar för att se till att de finns på plats.

Vad händer om säkerheten inte är involverad i förväg?

Om affärsägaren eller någon annan i företaget undertecknar ett kontrakt innan säkerhetsteamet har utfört sin granskning utsätter de organisationen för risk.

Tredje part kommer i ett sånt läge att ha tillgång till känsliga uppgifter helt utan nödvändiga kontroller. Om tredjepart råkar ut för ett framgångsrikt intrång och känsliga data läcker, vilket IT-säkerhetsteamet kunde ha undvikitär det en mycket stor risk för företaget.

En gemensam onboardingprocess för leverantörer

När jurister, inköp- och affärsägare arbetar tillsammans med IT_säkerhet från början ser processen ut ungefär så här:

Ny process för att borda tredje part 

Intressenter: IT-säkerhet, jurister., inköp, affärsägare.

  1. Affärsägaren beslutar att ta in ett nytt verktyg för att underlätta processen.
  2. Affärsägaren mottar kontrakt från tredja part och vidarebefordrar till samtliga intressenter.
  3. Jurister granskar avtalstexten, IT-säk gör säkerhetsbedömning, och inköp bedömmer eventuella affärsrisker.
  4. IT-säkerhet identifierar tänkbara risker och föreslår åtgärder.
  5. Juristerna adderar nödvändiga tillägg i kontraktet baserat på säkerhetsmässiga- och upphandlingsmässiga bedömningar.
  6. Förhandling sker mellan företag och tredje part.
  7. Kontraktet blir undertecknat.

Hur kommunicerar jag värdet av säkerhetsprocessen till varje grupp?

Juristen

Juristens roll i TPRM är att addera skrivningar i kontraktet för att se till att standarder och kontroller upprätthålls under relationens hela livscykel. Detta inkluderar rätt till revision, efterlevnad, affärskontinuitet, sanering och andra skrivningar som skyddar organisationen och förhindrar cyber, juridiska, och finansiella risker.

Att involvera Legal är fördelaktigt eftersom de strävar efter större effektivitet, en bedömning av risker i avtalet och betydelsefulla kontrollmetoder.

Tips: Du bör meddela Legal att en inneboende riskmodell kommer att användas för att bedöma risken för relationen, för att tillhandahålla en risknivå som kommer att vara lämplig säkerhetsnivå. Resurserna kommer sedan att anslås effektivt för att tillämpa lämplig granskningsnivå.

Inköp

Upphandling fokuserar på att få viktiga resurser för organisationen enligt affärsmålen och förbättra deras kvalitet och villkoren kring den. Om företagsägaren är intresserad av ett nytt TPRM-verktyghjälper upphandling dem att få det bästa tillgängliga verktyget enligt de affärsspecifika kraven.

Tips: Kommunicera till Procurement att det potentiella nya TPRM-verktyget kommer att vara en viktig resurs för att uppfylla affärsmålen kring cybersäkerhet och efterlevnad.

Affärsägaren

Affärsägaren är den som definierar behovet inom sitt team och vill köpa ett nytt verktyg för att underlätta möjliggörandet av processen. Det är i deras intresse att produkten eller tjänsten levererar högsta möjliga säkerheten med tanke på att känsligt data hanteras. Om det görs försök att extrahera data från tredje part vill affärsägaren vara säker på att de har vidtagit nödvändiga försiktighetsåtgärder för att skydda datat.

Tips: Kommunicera till affärsägaren att hela operationen kan äventyras om det medför en ny risk för organisationen. Desto större anledning att inkludera säkerhet i förväg för att göra bedömningen av den nya tredje parten.

 

 

Kategorier:

CyberriskOkategoriserade

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *