Cybersäkerhetsrapport – Välja tredjepartsleverantörer med Cyber ​​Essentials (och mer)

Jag har smält Kultur-, media- och idrottsnämnden rekommendationer efter lanseringen av sin rapport om cybersäkerhet tidigare i veckan.

En viktig rekommendation har handlat om valet av tredjepartsleverantörer. Det har ännu inte lyfts fram av den populära pressen som valt att fokusera på de andra rekommendationerna som att slå VD-lönepaket (som vi kommer att titta på igen en annan dag).

Rapporten rekommenderade bland annat:

Alla telekommunikationsföretag och online-återförsäljare och andra cybersårbara organisationer bör vidta åtgärder för att säkerställa att efterlevnaden av dataskydd regler och Cyber ​​Essentials är nyckelkriterier vid val av tredjepartsleverantörer.

Vi håller med om den rekommendationen och det är ytterligare en förstärkning av varför vi har uppnått det själva, förutom vår UKAS ackrediterad ISO 27001 : 2013 certifiering.

Vår nya Cyber ​​Essentials-tjänst är ute i rätt tid för att hjälpa andra också. Vi förbereder och gör oss redo för Cyber ​​Essentials certifiering till en låg kostnad, i vissa fall gratistjänst, inom vår nya ISMS.Online-verksamhet.

Men är Cyber ​​Essentials, eller faktiskt tio steg till Cybersäkerhet tillräckligt när du tänker på tredjepartsval för områden med hög informationssäkerhetsrisk? Även om en leverantör har låga utgifter för dig, men har tillgång till eller tillhandahåller tjänster som påverkar informationssäkerhetmåste du överväga den urvalsprocessen mer noggrant.

Med tanke på mitt arv inom försörjningskedjan och partnerverksamhet (och tioårsjubileet för min bok Alliance Brand), tänkte jag att det kunde vara användbart att dela med sig av några andra tips kring urvalskriterier som hjälper dig att hantera risker och få bättre resultat.

I min bok utvecklade jag ett enkelt minnesmärke för att stödja tredje parts val som heter TOPSCORER. Det är fokuserat på urvalskriterier för riktigt viktiga relationer, vad vissa människor kallar partners, allianser etc, inte din lågvärdiga aktivitet. Så investera bara i den här typen av urval där du har större risker och verkligen inser vikten av utbudsområdet.

Cyber ​​Essential

 

Teknisk: Det är tekniskt sett därför du vill ha relationen. Det är vad leverantören eller partnern tillför i form av kärnkompetenser och andra tillgångar du vill ha tillgång till. Det kan inkludera produkter, tjänster, nyckelresurser, IPR, utrustning, kunder, varumärke, distributionskanal, kunskap inom landet/lokal, kapital eller andra tillgångar.

Operativt: Detta tar hänsyn till leverantörens förmåga att utföra i termer av hur den fungerar i praktiken på plats med sina leveransresurser, inklusive dess system, teknologi och affärsprocesser som kan behöva integreras med organisationen. Det inkluderar också dess syn på styrning, riskhantering och kontroller, en nyckelfråga för dem som tittar på informationssäkerhetsaspekter.

Portfölj: Det finns två aspekter på denna egenskap; en är leverantörens/partnerns passform inom din befintliga portfölj. Den andra är att titta på deras portfölj och hur din organisation kommer att komplettera eller konkurrera med den och dess partners/kunder/andra leverantörer.

Strategisk: En stark strategisk passform och kompletterande mål under relationens liv är avgörande om du överväger affärskritisk leverans eller seriösa värdeskapande relationer. Andra faktorer att ta hänsyn till under denna egenskap inkluderar att bedöma komplementariteten hos alliansdrivare, såsom gemensamma konkurrenter, liknande kundkrav samt ett övertygande ömsesidigt behov. Faktorer som kan förstöra värde bör också beaktas här, såsom frekvensen av förändringar i riktningen i prospektet som kan signalera framtida konkurrenshot. En ytterligare hänsyn är värdet och betydelsen som organisationen har när det gäller bidrag till varandras strategiska mål. En bra fråga att fundera över är vilken inverkan relationen skulle ha på verksamheten om den plötsligt avslutas vid någon framtida tidpunkt.

Kommersiell: Traditionell ekonomisk attraktionskraft ur ett kostnads-/nyttoperspektiv bör övervägas under denna aspekt och eventuella "skin in the game" i förväg för mer intima samarbeten, eftersom det hjälper till att signalera engagemang. Den relativa fördelningen av förmåner och tid till förmån för varje part bör också beaktas. Partiets ekonomiska hälsa och kommersiella välbefinnande bör också beaktas.

Yttre tryck: Organisationer står inför stora utmaningar genom att ha andra prioriteringar eller externa påtryckningar som konkurrerar om ledningstiden. Tänk på potentiella externa distraktioner såsom M&A-aktiviteter, ledarskapsutmaningar, andra viktiga partners eller kunder, dåliga övergripande kommersiella partnerprestationer samt ofta byte av personal, vilket kan tyda på djupare problem i prospekten. På en personlig nivå kan hälso- eller familjefrågor allvarligt få nyckelspelares tid och uppmärksamhet ur spel, så att lära känna människorna och organisationen är nyckeln.

Relation: Se på förmågan att samarbeta både organisatoriskt och individuellt. Jag handlar mycket om detta i min bok, inklusive att erbjuda ett ramverk för förtroende. När det gäller förmågan att samarbeta behöver kulturerna och praktikerna inte nödvändigtvis vara desamma för båda organisationerna, men en stark relationsanpassning är avgörande för framgång. Ibland krävs faktiskt en markant annorlunda prestationskultur för att lyckas. Till exempel kan en självsäker outsourcingpartner förbättra produktiviteten på ett positivt sätt för att skaka om en dålig presterande affärsenhet. Andra aspekter att överväga inkluderar att jämföra ledarskapsstilar, värderingar och övertygelser, organisationsstruktur och beslutsfattande, hur människor hanteras och motiveras, attityd till risk samt förhållningssätt till policy och praxis ur ett juridiskt och efterlevnadsperspektiv. Om din organisation har låg aptit på informationssäkerhetsrisk, Cyber ​​Essentials kanske inte räcker. Du kanske också letar efter organisationskulturer som kompletterar din aptit, till exempel där de redan har uppnått UKAS Accredited ISO 27001: 2013. Det skulle förstärka att den andra parten också tar ämnet på största allvar.

Miljö: Innebär att förstå relationens inverkan på den specifika marknadsplatsen i termer av hur kunder och konkurrenter sannolikt kommer att reagera, såväl som andra intressenter till exempel marknadskommentatorer och aktieägare. Den kapslar också in alla relevanta aspekter kring företagens sociala ansvar och hållbar affärseffekt. Det är intressant att se Cybersäkerhet blir alltmer en del av en fyrdubblad resultatlinje vid sidan av sociala, miljömässiga och ekonomiska hänsyn.

Reglerande: Inkluderar en bredare bedömning av makrofaktorer i den reglerande miljön som området står inför samt eventuell laglig efterlevnad som anges till exempel kring branschföreskrifter, konkurrenshämmande metoder, TUPE och andra faktorer som kan behöva åtgärdas med rättsliga skyddsåtgärder. Dataskydd är en nyckelaspekt här och som kommer att växa avsevärt med EUGDPR. Man skulle kunna hävda att sådana som TalkTalk kanske har haft tur nu med relativt låg kostnadsexponering nu. Företaget skulle kunna få böter på 4 % av sin globala omsättning om detta hade hänt efter 2018!

Om du vill lära dig mer om tredjepartsleverantörer och bli smartare om urval och hantering för att komplettera Cyber ​​Essentials-certifieringen kan vi hjälpa dig. Vår ISMS.Online molnprogramvaran har en svit av leverantörsfokuserad kapacitet inbyggd, inklusive urvalsverktyget TOPSCORER tillsammans med en enkel men effektiv arbetsyta för kontrakts- och relationshantering.

Läs mer

Senast redigerad: 18 april 2023
Författare

Julia Heron

Julia är ISMS.online Solutions Specialist för företagskunder och arbetar med organisationer för att hjälpa dem med deras efterlevnadsmål.

Visa alla inlägg av Julia Heron

relaterade inlägg

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer