Samarbeten med tredjepartsleverantörer är i många fall ett nödvändigt tillvägagångssätt för organisationer att bedriva egen verksamhet. Dessa samarbeten gör det möjligt för organisationer att avsätta resurser åt att fokusera på kärnverksamheten, samtidigt som leverantörer med sin expertis bistår organisationen med stöd. I skuggan av tredjepartsarrangemang får man dock inte åsidosätta de tredjepartsrisker ett samarbete medför.
Risker kopplade till tredjepartsleverantörer är ett alltmer aktuellt ämne. Det är föga förvånande sett till de stora säkerhetsincidenterna kopplade till tredjepartsleverantörer som inträffat och som fortsätter att utgöra ett konstant externt hot.
Vad innebär det för organisationer? Hur kan man skydda sig och bli säker? Ett faktum är att det är omöjligt att bli helt säker, men det är definitivt möjligt att vidta åtgärder för att jobba säkrare.
Utökade regulatoriska krav
Vikten av att ha kontroll över sina tredjepartsrisker blir allt tydligare genom allt fler relaterade lagkrav som stiftas. Dataskyddsförordningen (GDPR) trädde i kraft år 2018 och uttryckte då att ”Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder”.
På senare år har denna typ av krav ökat succesivt. Ett exempel är Dora-förordningen (Digital Operational Resilience Act) från EU som är ett regelverk med syfte att stärka finansiella aktörers digitala operativa motståndskraft därmed förmågan att tillhandahålla sina tjänster. I Dora utgör kraven kopplade till hantering av tredjepartsrisker den största delen i regelverket.
Vidare ställer det kommande NIS2-direktivet, som syftar till att uppnå en hög gemensam nivå av cybersäkerhet inom EU, krav på att samhällsviktiga aktörer ska ha översyn över risker inom sin leverantörskedja.
Gemensamt för NIS2 och Dora är deras kravställning på att en organisation som träffas av regelverket har ansvar för att skapa kontroll över hela leverantörskedjan, inklusive underleverantörerna, vilket kan upplevas som svårt för de som träffas av regelverken.
Styrelsemedlemmar kan enligt lagkrav i dessa två regelverk ställas personligt ansvariga vid bristande deltagande i organisationens cybersäkerhetsarbete. Detta har blivit en framgångsfaktor för att ämnet ska få uppmärksamhet hos ledningsorgan i en organisation.
Tredjepartshantering
För att minska tredjepartsrisker är det nödvändigt att skapa organisatoriska förutsättningar. Ett effektivt arbetssätt är att jobba systematiskt med hjälp av införande av ett ledningssystem för informationssäkerhet (LIS).
Systematiskt informationssäkerhetsarbete möjliggör ett strukturerat arbetssätt för organisationer att uppfylla säkerhetskrav. Som en del av ett systematiskt arbetssätt kan följande övergripande steg beaktas för hantering av tredjepartsrisker:
Identifiera organisationens kritiska affärsfunktioner
Identifiera affärsfunktionernas stödjande informationsresurser och it-system
Gör en riskbedömning med hänsyn till sannolikhet och konsekvens för olika hot
Implementera skyddsåtgärder som är lämpliga för att skydda informationen
Säkerställ kontinuerlig övervakning av risk
Följ upp effektiviteten i de implementerade åtgärderna med hänsyn till hotlandskapet
Kopplat till identifieringsarbetet av organisationens affärsfunktioner kan man kartlägga och skapa ett register över de tjänster som levereras av tredjepartsleverantörer. Dessa leverantörer bör därefter prioriteras baserat på tjänsternas kritikalitet.
Kartläggningen utgör i sin tur en grund för vilka säkerhetskrav som är relevanta att ställa på tredjepartsleverantören då en organisation inte kan fråntas ansvar för informationssäkerhet vid utkontraktering (outsourcing) av en tjänst.
Viktigt att tänka på är att tredjepartsleverantörer vanligtvis förknippas med bolag som utgör någon form av it-relaterad stöd i ens organisation. Andra typer av leverantörer som inte levererar it-tjänster men som också kan komma i kontakt med känslig information på organisationen bör beaktas vid bedömning av risker och åtgärder.
Relation med tredjepartsleverantören
För att ha kontroll över sina tredjepartsrisker är en god relation med tredjepartsleverantören en framgångsfaktor. En god relation uppnås i de flesta fall genom tydliga förväntningar och avtalade krav.
En föreslagen startpunkt är att se över de befintliga avtalen och ställa sig följande frågor:
Vilka befintliga avtal med tredjepartsleverantörer har vi på plats?
Vilka säkerhetskrav täcks av de avtalen?
Om vissa krav saknas, kan vi teckna tilläggsavtal eller omförhandla befintliga avtal?
Vi rekommenderar att organisationen utför granskningar av leverantörens säkerhet inför ett samarbete. Därtill bör man avtala om krav på hantering av på eventuellt identifierade brister och överenskomna uppföljningar av dessa. Sådant samarbete skapar kontinuerlig kontroll i organisationens riskhantering.
Vid pågående samarbeten kan det vara svårare att ställa nya krav på leverantören. Det är dock rekommenderat att skapa en avtalsstruktur inför nya samarbeten då det är enklare att ställa krav och förväntningar. Värt att tänka på är att it-leverantörer ofta har flera kunder med liknande krav vilket innebär ett incitament även för leverantörerna att uppfylla kraven.
Slutsats
Outsourcing av en verksamhetsfunktion kan bidra med verksamhetsnytta tack vare nyttjande av teknologiska lösningar i framkant som erbjuds av specialiserade leverantörer. Dock är det viktigt att ta höjd för de risker som samarbeten men tredjepartsleverantörer innebär, som vid en försummelse skulle kunna leda till kritiska verksamhetsstörningar.
Informationssäkerhet och hantering av tredjepartsrisker har vanligtvis förknippats med ett tekniskt område som tillhör organisationens it-avdelning. De senaste regulatoriska kraven innebär ett paradigmskifte då hela organisationen behöver prioritera säkerhetsfrågan för en ökad mognadsgrad.
Läs tidigare inlägg skrivna av Emir Zahirovic här:
Dora-förordningen – status och potentiella utmaningar