Husk altid at kontrollere sikkerhedsniveauet hos dine leverandører: Her har du mine gode råd til hvordan du gør

KlummeHvis it-leverandøren ikke har styr på sikkerheden, kan det gå ud over kunderne. Tæt samarbejde er vejen frem.

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Da Mærsk blev ramt af det skadelige program NotPetya sidste sommer, skyldtes det en sikkerhedsbrist hos en af koncernens leverandører.

Et ukrainsk softwarehus leverede et program til skatteindberetning til Mærsk. Programmet blev automatisk opdateret, når nye versioner blev udviklet.

Angribere hackede sig ind på softwarehusets systemer og inficerede den nyeste version af programmet. Da den blev distribueret, blev alle kunder inficeret med NotPetya via den automatiske opdatering.

Sikkerhedsbristen lå altså ikke hos Mærsk og de andre kunder, men hos softwarehuset.

Historien viser, at en kæde aldrig er stærkere end det svageste led. I dette tilfælde var det svage led en softwareleverandør.

De fleste organisationer har mindst en leverandør af it-tjenester. Derfor er det ikke nok, at organisationen har styr på sin interne sikkerhed. Den skal også kontrollere sikkerhedsniveauet hos leverandørerne.

Til at hjælpe med den opgave har jeg deltaget i en arbejdsgruppe i Rådet for Digital Sikkerhed, hvor vi har udarbejdet et holdningspapir om leverandørsikkerhed.

Vurder risikoen for hver leverandør
I papiret anbefaler vi, at I begynder med at få et overblik over jeres leverandører.

Det lyder måske enkelt. Men for en større virksomhed kan det være en stor opgave. Det kan vise sig, at den har hundredvis, måske flere tusinde leverandører.

Mængden gør, at det ikke er realistisk at sætte ind over for dem alle. Derfor er næste punkt en risikovurdering.

Her vurderer I, hvilken risiko et brud på sikkerheden hos en leverandør indebærer for jeres organisation.

Når alle jeres leverandører er risikovurderet, er det enkelt at udvælge dem, der udgør den højeste risiko: Her skal I begrænse risikoen.

Skriv sikkerhedskrav i kontrakten
Forholdet til en leverandør er et aftaleforhold. I sidste ende kan parterne altid gå tilbage til kontrakten, hvis de er uenige om noget.

Derfor skal I skrive krav til sikkerheden ind i kontrakten.

Formuler dem så præcist, at de ikke kan misforstås.

Det er en god ide at supplere kravene med en oversigt over, hvad der er jeres ansvar, og hvad leverandøren står for. Her kan I med fordel anvende såkaldte RACI-skemaer (Responsible, Accountable, Consulted, Informed).

Fordelen ved RACI-skemaer er, at de giver et entydigt overblik over roller og ansvar. Dermed ved både kunde og leverandør, hvad der forventes af dem.

GDPR (persondataforordningen) stiller også krav, som kontrakten skal tage højde for. I skal fx bestemme, hvem der er dataansvarlig og databehandler for de behandlinger, kontrakten omfatter.

Opbyg et rammeværk
En kontrakt er uundværlig, men den er ikke et dagligt arbejdsredskab. Så hvordan får man sikkerhed ind i samarbejdet med leverandøren?
Vi foreslår, at I opbygger et rammeværk.

Her skriver I ind, hvordan samarbejdet foregår: Hvem rapporterer hvad til hvem hvornår? Hvor ofte mødes I, og hvordan følger I op på aftaler fra møderne?

Som sikkerhedsansvarlig skal du være opmærksom på, at du ikke er den eneste, der har en dialog med leverandøren. Sørg derfor for at inddrage kontraktafdelingen og dem, der anvender leverandørens it-ydelser.

I skal i fællesskab udvikle en intern strategi for leverandørstyring. Den skal inkludere en strategi for sikkerhed.

Strategien skal være forankret på både det operationelle, det taktiske og det strategiske plan.

Det operationelle plan fokuserer på mål og rapportering – det daglige arbejde.

Det taktiske niveau lægger planer for, hvad det operationelle plan skal udføre. Her kan du og de øvrige ledere udvikle planer for samarbejdet og samle op på elementer fra det operationelle plan.

Det omfatter også sager, som det operationelle plan eskalerer til jer, fordi de ikke kan blive enige med leverandøren.

På det strategiske niveau ser topledelsen på de store linjer i aftalerne – herunder økonomien og visionen for det fremtidige samarbejde.

Topledelsen kommer også på banen, når det taktiske niveau eskalerer sager, det ikke selv kan løse.

Mål og overvåg
For at sikre at leverandøren overholder kontrakten, er det en god ide at måle og overvåge præstationen. Det kan fx ske ved hjælp af målbare indikatorer i form af KPI’er (Key Performance Indicator).

Et eksempel på en KPI kan være, hvor lang tid der går, fra en sårbarhed bliver opdaget, til leverandøren har lukket sikkerhedshullet. Eller om der er foretaget det antal sårbarhedsscanninger, I har aftalt med leverandøren.

Kommuniker løbende
En løbende kommunikation med jeres leverandører er vigtig. Og det stiller krav til begge sider.

Måske har I aftalt, at leverandøren sender jer en rapport om sikkerhedshændelser hver måned.

Men hvis ingen hos jer læser den rapport og reagerer på de punkter, der kræver, at I tager stilling, er den intet værd.

Det er et eksempel på noget helt grundlæggende i samarbejdet om sikkerhed: Det kræver en indsats fra begge sider.

Nogle gange får jeg det indtryk, at kunder tænker: Vi har outsourcet driften, så nu er det ikke længere vores ansvar. Leverandøren må have styr på sikkerheden, det betaler vi dem jo for.

Men den går ikke.

Man kan outsource sin drift, men man kan ikke outsource ansvaret for sikkerheden.

Hvis begge parter er indstillet på at yde noget i samarbejdet, kan resultatet blive en øget sikkerhed.

For leverandøren indebærer det desuden den fordel, at der opbygges en erfaring, som kan udnyttes i samarbejdet med andre kunder.

Tag et kig på holdningspapiret fra Rådet for Digital Sikkerhed – måske kan det inspirere jer til at forbedre sikkerheden i samarbejde med jeres leverandører.

Har vi glemt noget? Så hører jeg gerne fra dig.



Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.






Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
IBM kommer med kortfattet kommentar: "Vi påtænker at nedlægge cirka 90 stillinger"
IBM bekræfter nu, at selskabet internt har annonceret, at det vil nedlægge omkring 90 stillinger. Den amerikanske virksomhed forsøger at nedbringe antallet af stillinger, lyder det.
Computerworld
Danske tech-topfolk blæst bagover efter besøg i Kina: Danmark er nødt til at gøre noget
Danmark skal i den grad op i gear, hvis ikke vi skal køres helt bag ad dansen af Kina, lyder det fra bekymrede danske techfolk efter besøg i Kina.
CIO
Forleden reparerede en mekaniker min bil: Det kostede 4.200 kroner, som min hjerne snød mig til at betale med et smil
De rationelle it-beslutninger du træffer er måske en illusion. Det lærte jeg da min bil gik i stykker og min hjerne snød mig til at tro, at alt var fint. Til gengæld fandt jeg tre fælder dine it-beslutninger kan falde i.
Job & Karriere
Manden bag Stack Overflow til softwareudviklere og folk i it-branchen: Disse ting skal du lære, hvis du vil undgå at blive tromlet totalt
Interview: Manden bag Stack Overflow og Trello har en opsang til folk i it-branchen. Her er de kompetencer, som du bare skal tilegne dig nu.
White paper
Sådan vælger du det bedste intranet
At vælge den bedste, eller skal vi kalde det, den rette intranetplatform til din virksomhed eller organisation, er ikke nødvendigvis nogen let opgave. Sammenlignet med andre stykker software eller værktøjer til udførelse af specifikke behov, ja så er et intranet typisk en platform, der skal implementeres på tværs af hele virksomheden. Det med det faktum, at det også vil berøre mere eller mindre samtlige ansatte og funktionsområder, hvorfor man alt andet lige skal gøre sig ekstra umage – både mht. valg af hvilken platform, men også mht. udarbejdelse af business case, implementering, udrulning samt adoption og uddannelse. Dette er en 40 siders udførlig guide til dig som skal i gang med at vælge intranetplatform til din virksomhed, og mangler inspiration til, hvordan hele processen bør køre fra start til slut.