Program för ansvarsfull organisation

Information Security är allas ansvar. Oavsett om du är kund, leverantör eller arbetsgivare har vi alla en roll att spela skydda värdefull information och data.

En ansvarsfull organisation kan komma från många utgångspunkter. Det kan inkludera kunder, leverantörer, partners, investerare, försäkringsgivare eller andra intressenter. Med behov av större kontroll över information och dataskydd i försörjningskedjan tar organisationer som du detta som en möjlighet att sticka ut från mängden. Så vad är det för faktorer som skiljer dessa ansvarsfulla kunder och attraktiva leverantörer från de organisationer som ligger bakom kurvan?

Vad kännetecknar en ansvarig kund?

I termer av leveranskedjan, finns det ett antal egenskaper som skulle göra en kund ansvarig när det gäller informationssäkerhet och integritet.

• De investerar i leverantörskapacitet och delat lärande
• De gör det enklare för mindre leverantörer att få hjälp från deras dataskyddsombud (DPO)
• Ge stöd för relevanta policyer och kontroller, samt dela sina egna certifierade metoder på ett samarbetssätt
• Organiserar sig kring kluster i försörjningskedjan och använder metoder som förbättrar resultaten och minskar risken för konfidentialitet, integritet och tillgänglighet (CIA) för alla, inte bara dem själva
• Sätt förväntningar och är tydlig med mål internt och externt t.ex för efterlevnad av EU:s GDPR före deadline
• Effektiv onboarding i livet ledning och exitmetoder för att säkerställa CIA
• De integrerar mindre leverantörer i delar av sina eget Information Security Management System (ISMS) snarare än att diktera kostsamma eller oöverkomliga metoder

En ansvarig kund går längre än "följ eller dö"-meddelanden och enkla rättigheter (eller hot) till revision, och istället väljer Educate and Encourage-metoden.

Vad kännetecknar en attraktiv leverantör?

Vad vi egentligen frågar här, är vad som skulle göra leverantörer mer attraktiva för de kunder de söker, när det gäller informationssäkerhet?

• En attraktiv leverantör kommer att ha ett ISMS som är certifierat och erkänt genom att uppnå ISO 27001:2013
• De skulle vara öppna för att dela med sig av sina ISMS med kunder som använder dynamisk "alltid på" demonstration
• De kan visa sitt positiva rykte och resultat med andra kunder
• De kommer antingen inte ha drabbats av reklam för negativa incidenter (eller har återhämtat sig väl från det)
• Deras kundinriktade personal (försäljning, drift, tjänster) tar ämnet information och datasäkerhet på allvar och de främjar gott beteende i sitt arbete med kunder och potentiella kunder
• De har en plan för EU GDPR före deadline
• Kan visa att den egna försörjningskedjan är engagerad och säker också

Vad har de båda gemensamt?

Det är ingen mening med att bara läsa av informationssäkerhetspolicyer och tror att detta kommer att räcka för din organisation. Dessa principer måste finnas i själen och DNA hos dig, din arbetsstyrka och varje enhet som du gör affärer med.

Ansvarsfulla kunder och attraktiva leverantörer säkerställer att strategin de tar för informations- och datasäkerhet är i linje med organisationens etik. Detta gör det inte bara enkelt att leva från dag till dag, utan det ökar också din personal och dina intressenters inköp.

• Engagerande och meningsfull personalkommunikation/medvetenhet
• Kan beskriva och visa att deras ISMS fungerar
• Integritet och säkerhet genom design inklusive PIA
• Belöningar & konsekvenser