Kyberturvallisuusraportti – Kolmannen osapuolen toimittajien valitseminen käyttämällä Cyber Essentialsia (ja muita)
Olen sulattanut Kulttuuri-, media- ja urheilutoimikunta suosituksia aiemmin tällä viikolla julkaistun kyberturvallisuusraportin jälkeen.
Tärkeä suositus on ollut kolmannen osapuolen tavarantoimittajien valinta. Suosittu lehdistö ei ole vielä korostanut sitä, sillä ne ovat päättäneet keskittyä muihin suosituksiin, kuten toimitusjohtajan palkkapakettien osumiseen (jota tarkastelemme vielä joku päivä).
Raportissa suositeltiin muun muassa:
Kaikkien televiestintäyritysten ja verkkokauppiaiden ja muiden kyberhaavoittuvien organisaatioiden tulee ryhtyä toimiin varmistaakseen, että tietosuoja säännöt ja Cyber Essentials ovat keskeisiä kriteerejä valittaessa kolmannen osapuolen toimittajia.
Olemme samaa mieltä tämän suosituksen kanssa, ja se on toinen vahvistus sille, miksi olemme saavuttaneet sen itse, meidän lisäksi UKAS-akkreditoitu ISO 27001: 2013 sertifikaatti.
Uusi Cyber Essentials -palvelu on juuri oikeaan aikaan auttamaan muita. Valmistelemme ja valmistaudumme Cyber Essentialsiin sertifiointi edulliseen hintaan, joissakin tapauksissa ilmainen palvelu uudessa ISMS.Online-liiketoiminnassamme.
Mutta onko Cyber Essentials, tai todellakin kymmenen askelta kyberturvallisuuteen tarpeeksi, kun ajattelet kolmannen osapuolen valintaa alueille, joilla on korkea tietoturvariski? Vaikka toimittajan kulut ovat alhaiset, mutta hän käyttää tai tarjoaa palveluita, jotka vaikuttavat tietoturva, sinun on harkittava tarkemmin tätä valintaprosessia.
Ottaen huomioon perintööni toimitusketjussa ja kumppanuustoiminnassa (ja kirjani kymmenen vuoden vuosipäivä Alliancen merkki), ajattelin, että voisi olla hyödyllistä jakaa muita vinkkejä valintakriteereistä, jotka auttavat sinua hallitsemaan riskejä ja saavuttamaan parempia tuloksia.
Kirjassani kehitin yksinkertaisen muistomerkin tukemaan kolmannen osapuolen valintaa nimeltä TOPSCORER. Se keskittyy valintakriteereihin todella tärkeille suhteille, joita jotkut ihmiset kutsuvat kumppaneiksi, liittoumiksi jne., ei sinun vähäarvoiseen toimintaasi. Joten sijoita tämäntyyppiseen valikoimaan vain, jos sinulla on suurempi riski ja todella ymmärrät toimitusalueen tärkeyden.
Tekniset: Tämä on teknisesti syy, miksi haluat suhteen. Se on se, mitä toimittaja tai potentiaalinen kumppani tuo mukanaan ydinosaamisen ja muiden hyödykkeiden osalta, joita haluat käyttää. Se voi sisältää tuotteita, palveluita, avainresursseja, immateriaalioikeuksia, laitteita, asiakkaita, brändiä, jakelukanavaa, maan sisäistä/paikallista tietämystä, pääomaa tai muuta omaisuutta.
operatiiviset: Tämä ottaa huomioon toimittajan suorituskyvyn sen suhteen, miten se toimii käytännössä kentällä toimitusresursseillaan, mukaan lukien sen järjestelmät, teknologia ja liiketoimintaprosessit, jotka saattavat joutua integroitumaan organisaatioon. Se sisältää myös lähestymistapansa hallintoon, riskienhallinta ja valvonta, avainkysymys niille, jotka tarkastelevat tietoturvanäkökohtia.
Portfolio: Tällä ominaisuudella on kaksi näkökohtaa; yksi on toimittajan/kumppanin sopivuus olemassa olevaan portfolioosi. Toinen tarkastelee heidän portfoliotaan ja sitä, kuinka organisaatiosi täydentää tai kilpailee sen ja sen kumppaneiden/asiakkaiden/muiden toimittajien kanssa.
Strateginen: Vahva strateginen sopivuus ja toisiaan täydentävät tavoitteet suhteen elinkaaren aikana ovat välttämättömiä, jos harkitset liiketoimintakriittistä toimitusta tai vakavaa lisäarvoa tuovia suhteita. Muita tämän ominaisuuden yhteydessä huomioitavia tekijöitä ovat liittoutumien tekijöiden, kuten yhteisten kilpailijoiden, samanlaisten asiakkaiden vaatimusten sekä pakottavan molemminpuolisen tarpeen, täydentävyyden arviointi. Tässä tulee ottaa huomioon myös arvoa tuhoavat tekijät, kuten tulevaisuuden kilpailuuhan merkkinä mahdollisesti tapahtuvien suuntamuutosten tiheys. Lisäksi otetaan huomioon organisaation arvo ja merkitys toistensa strategisten tavoitteiden saavuttamisessa. Hyvä kysymys on pohtia, mitä vaikutusta suhteella olisi liiketoimintaan, jos se päättyisi äkillisesti jossain tulevassa vaiheessa.
kaupallinen: Perinteistä taloudellista houkuttelevuutta kustannus-hyöty-näkökulmasta tulisi harkita tässä näkökohdassa ja mitä tahansa etukäteen "skin in the game" intiimimpää yhteistyötä varten, koska se auttaa osoittamaan sitoutumista. Myös etujen ja hyötymisajan suhteellinen jakaminen kummallekin osapuolelle tulee ottaa huomioon. Myös puolueen taloudellinen ja kaupallinen hyvinvointi on otettava huomioon.
Ulkopuoliset paineet: Organisaatiot kohtaavat suuria haasteita, koska niillä on muita prioriteetteja tai ulkopuoliset paineet kilpailevat johdon ajasta. Harkitse mahdollisia ulkoisia häiriötekijöitä, kuten yritysjärjestelyt, johtajuuden haasteet, muut tärkeät kumppanit tai asiakkaat, kumppanin huono yleinen kaupallinen suorituskyky sekä usein vaihtuva henkilöstö, jotka voivat viitata syvemmälle mahdollisten ongelmiin. Henkilökohtaisella tasolla terveyteen tai perheeseen liittyvät ongelmat voivat vakavasti suistaa avaintoimijoiden ajan ja huomion, joten ihmisiin ja organisaatioon tutustuminen on avainasemassa.
suhde: Tarkastele kykyä tehdä yhteistyötä sekä organisatorisesti että yksilöllisesti. Käsittelen kirjassani paljon tätä, mukaan lukien luottamuskehyksen tarjoaminen. Yhteistyökyvyn kannalta kulttuurien ja käytäntöjen ei välttämättä tarvitse olla samoja molemmissa organisaatioissa, mutta vahva suhdesovitus on menestymisen edellytys. Joskus menestyminen vaatiikin selvästi erilaisen suorituskulttuurin. Esimerkiksi huonosti toimivaa liiketoimintayksikköä ravisteleva itsevarma ulkoistuskumppani saattaa parantaa tuottavuutta positiivisesti. Muita huomioitavia näkökohtia ovat johtamistyylien, arvojen ja uskomusten, organisaatiorakenteen ja päätöksenteon, ihmisten johtamis- ja motivaatiotapa, riskiasenne sekä lähestymistapa politiikkaan ja käytäntöihin lain ja noudattamisen näkökulmasta. Jos organisaatiollasi on alhainen ruokahalu tietoturvariski, Cyber Essentials ei ehkä riitä. Saatat myös etsiä organisaatiokulttuureja, jotka täydentävät ruokahaluasi, esimerkiksi silloin, kun he ovat jo saavuttaneet UKAS-akkreditoinnin ISO 27001:2013. Se vahvistaisi, että myös toinen osapuoli ottaa aiheen erittäin vakavasti.
ympäristö: Tarkoittaa suhteen vaikutuksen ymmärtämistä tietyllä markkinapaikalla sen perusteella, miten asiakkaat ja kilpailijat todennäköisesti reagoivat, sekä muita kiinnostuneet osapuolet esimerkiksi markkinakommentoijat ja osakkeenomistajat. Se kiteyttää myös kaikki asiaankuuluvat näkökohdat, jotka liittyvät yritysten sosiaaliseen vastuuseen ja kestävään liiketoimintaan. Se on mielenkiintoista nähdä tietoverkkoturvallisuus siitä tulee yhä enemmän osa nelinkertaista tulosta sosiaalisten, ympäristöllisten ja taloudellisten näkökohtien ohella.
sääntelyn: Sisältää laajemman arvioinnin makrotekijöistä sääntely-ympäristössä, joka kohdistuu alueen soveltamisalaan, sekä kaikki lainmukaisuus, joka on määritelty esimerkiksi alan säännösten, kilpailunvastaisten käytäntöjen, TUPE:n ja muiden tekijöiden suhteen, joihin saattaa olla tarpeen puuttua oikeudellisin suojatoimin. Tietosuojaseloste on tässä keskeinen näkökohta, ja se kasvaa merkittävästi EUGDPR:n myötä. Voidaan väittää, että TalkTalkin kaltaisilla ihmisillä on ehkä nyt ollut onnea suhteellisen alhaisilla kustannuksilla. Yritykselle voidaan määrätä sakko 4 % maailmanlaajuisesta liikevaihdostaan, jos tämä olisi tapahtunut vuoden 2018 jälkeen!
Jos haluat oppia lisää kolmansien osapuolien toimittajista ja saada älykkäämpiä valintoja ja hallintaa täydentämään Cyber Essentials -sertifikaattia, voimme auttaa sinua. Meidän ISMS.Online pilviohjelmistossa on sisäänrakennettu valikoima toimittajakeskeisiä ominaisuuksia, mukaan lukien TOPSCORER-valintatyökalu sekä yksinkertainen mutta tehokas sopimusten ja suhteiden hallintatyötila.
