Husk altid at kontrollere sikkerhedsniveauet hos dine leverandører: Her har du mine gode råd til hvordan du gør

KlummeHvis it-leverandøren ikke har styr på sikkerheden, kan det gå ud over kunderne. Tæt samarbejde er vejen frem.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Da Mærsk blev ramt af det skadelige program NotPetya sidste sommer, skyldtes det en sikkerhedsbrist hos en af koncernens leverandører.

Et ukrainsk softwarehus leverede et program til skatteindberetning til Mærsk. Programmet blev automatisk opdateret, når nye versioner blev udviklet.

Angribere hackede sig ind på softwarehusets systemer og inficerede den nyeste version af programmet. Da den blev distribueret, blev alle kunder inficeret med NotPetya via den automatiske opdatering.

Sikkerhedsbristen lå altså ikke hos Mærsk og de andre kunder, men hos softwarehuset.

Historien viser, at en kæde aldrig er stærkere end det svageste led. I dette tilfælde var det svage led en softwareleverandør.

De fleste organisationer har mindst en leverandør af it-tjenester. Derfor er det ikke nok, at organisationen har styr på sin interne sikkerhed. Den skal også kontrollere sikkerhedsniveauet hos leverandørerne.

Til at hjælpe med den opgave har jeg deltaget i en arbejdsgruppe i Rådet for Digital Sikkerhed, hvor vi har udarbejdet et holdningspapir om leverandørsikkerhed.

Vurder risikoen for hver leverandør
I papiret anbefaler vi, at I begynder med at få et overblik over jeres leverandører.

Det lyder måske enkelt. Men for en større virksomhed kan det være en stor opgave. Det kan vise sig, at den har hundredvis, måske flere tusinde leverandører.

Mængden gør, at det ikke er realistisk at sætte ind over for dem alle. Derfor er næste punkt en risikovurdering.

Her vurderer I, hvilken risiko et brud på sikkerheden hos en leverandør indebærer for jeres organisation.

Når alle jeres leverandører er risikovurderet, er det enkelt at udvælge dem, der udgør den højeste risiko: Her skal I begrænse risikoen.

Skriv sikkerhedskrav i kontrakten
Forholdet til en leverandør er et aftaleforhold. I sidste ende kan parterne altid gå tilbage til kontrakten, hvis de er uenige om noget.

Derfor skal I skrive krav til sikkerheden ind i kontrakten.

Formuler dem så præcist, at de ikke kan misforstås.

Det er en god ide at supplere kravene med en oversigt over, hvad der er jeres ansvar, og hvad leverandøren står for. Her kan I med fordel anvende såkaldte RACI-skemaer (Responsible, Accountable, Consulted, Informed).

Fordelen ved RACI-skemaer er, at de giver et entydigt overblik over roller og ansvar. Dermed ved både kunde og leverandør, hvad der forventes af dem.

GDPR (persondataforordningen) stiller også krav, som kontrakten skal tage højde for. I skal fx bestemme, hvem der er dataansvarlig og databehandler for de behandlinger, kontrakten omfatter.

Opbyg et rammeværk
En kontrakt er uundværlig, men den er ikke et dagligt arbejdsredskab. Så hvordan får man sikkerhed ind i samarbejdet med leverandøren?
Vi foreslår, at I opbygger et rammeværk.

Her skriver I ind, hvordan samarbejdet foregår: Hvem rapporterer hvad til hvem hvornår? Hvor ofte mødes I, og hvordan følger I op på aftaler fra møderne?

Som sikkerhedsansvarlig skal du være opmærksom på, at du ikke er den eneste, der har en dialog med leverandøren. Sørg derfor for at inddrage kontraktafdelingen og dem, der anvender leverandørens it-ydelser.

I skal i fællesskab udvikle en intern strategi for leverandørstyring. Den skal inkludere en strategi for sikkerhed.

Strategien skal være forankret på både det operationelle, det taktiske og det strategiske plan.

Det operationelle plan fokuserer på mål og rapportering – det daglige arbejde.

Det taktiske niveau lægger planer for, hvad det operationelle plan skal udføre. Her kan du og de øvrige ledere udvikle planer for samarbejdet og samle op på elementer fra det operationelle plan.

Det omfatter også sager, som det operationelle plan eskalerer til jer, fordi de ikke kan blive enige med leverandøren.

På det strategiske niveau ser topledelsen på de store linjer i aftalerne – herunder økonomien og visionen for det fremtidige samarbejde.

Topledelsen kommer også på banen, når det taktiske niveau eskalerer sager, det ikke selv kan løse.

Mål og overvåg
For at sikre at leverandøren overholder kontrakten, er det en god ide at måle og overvåge præstationen. Det kan fx ske ved hjælp af målbare indikatorer i form af KPI’er (Key Performance Indicator).

Et eksempel på en KPI kan være, hvor lang tid der går, fra en sårbarhed bliver opdaget, til leverandøren har lukket sikkerhedshullet. Eller om der er foretaget det antal sårbarhedsscanninger, I har aftalt med leverandøren.

Kommuniker løbende
En løbende kommunikation med jeres leverandører er vigtig. Og det stiller krav til begge sider.

Måske har I aftalt, at leverandøren sender jer en rapport om sikkerhedshændelser hver måned.

Men hvis ingen hos jer læser den rapport og reagerer på de punkter, der kræver, at I tager stilling, er den intet værd.

Det er et eksempel på noget helt grundlæggende i samarbejdet om sikkerhed: Det kræver en indsats fra begge sider.

Nogle gange får jeg det indtryk, at kunder tænker: Vi har outsourcet driften, så nu er det ikke længere vores ansvar. Leverandøren må have styr på sikkerheden, det betaler vi dem jo for.

Men den går ikke.

Man kan outsource sin drift, men man kan ikke outsource ansvaret for sikkerheden.

Hvis begge parter er indstillet på at yde noget i samarbejdet, kan resultatet blive en øget sikkerhed.

For leverandøren indebærer det desuden den fordel, at der opbygges en erfaring, som kan udnyttes i samarbejdet med andre kunder.

Tag et kig på holdningspapiret fra Rådet for Digital Sikkerhed – måske kan det inspirere jer til at forbedre sikkerheden i samarbejde med jeres leverandører.

Har vi glemt noget? Så hører jeg gerne fra dig.



Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.






Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Banker investerer massivt i AI: Her er de løsninger, der bliver brugt flest penge på
På verdensplan er banksektoren en af de industrier, der investerer mest i AI-teknologi. Det mærker også Bankdata, der melder om stor efterspørgsel efter særlige typer af løsninger.
CIO
Forleden reparerede en mekaniker min bil: Det kostede 4.200 kroner, som min hjerne snød mig til at betale med et smil
De rationelle it-beslutninger du træffer er måske en illusion. Det lærte jeg da min bil gik i stykker og min hjerne snød mig til at tro, at alt var fint. Til gengæld fandt jeg tre fælder dine it-beslutninger kan falde i.
Job & Karriere
Her er syv job-annoncer der overrasker med helt usædvanlige overskrifter
Der er mange ledige it-job i øjeblikket. It-jobbank har her fundet syv spændende stillinger, der har det til fælles, at annoncen har en utraditionel overskrift.
White paper
Millennials – Kommuniker med den nye generation
Mange virksomheder har en stor udfordring når det gælder Millennials. De er online hele tiden, har sociale medier som omdrejningspunktet i deres hverdag, og har meget høje forventninger til god service. De vægter værdier som tilgængelighed, hurtighed og kontinuitet meget højt, og det skal afspejle sig i den service I som virksomhed yder dem. Det er en del virksomheder slet ikke forberedte på. I dette whitepaper gennemgår vi, hvordan du skal gøre for at kommunikere med den nye generation.