Cyber ​​​​Security Report - Kies derdepartyverskaffers wat Cyber ​​Essentials (en verder) gebruik

Ek het verteer Die Kultuur-, Media- en Sportkomitee aanbevelings na die vrystelling van sy verslag oor kuberveiligheid vroeër hierdie week.

'n Belangrike aanbeveling was oor die keuse van derdeparty-verskaffers. Dit is nog nie uitgelig deur die gewilde pers wat gekies het om te fokus op die ander aanbevelings soos om uitvoerende hoof-betaalpakkette te slaan (waarna ons 'n ander dag weer sal kyk).

Die verslag het onder meer aanbeveel:

Alle telekommunikasiemaatskappye en aanlynkleinhandelaars, en ander kuber-kwesbare organisasies, moet stappe doen om te verseker dat voldoening aan die beskerming van data reëls en Cyber ​​Essentials is sleutelkriteria wanneer derdepartyverskaffers gekies word.

Ons stem saam met daardie aanbeveling en dit is nog 'n versterking van hoekom ons dit self bereik het, benewens ons UKAS geakkrediteer ISO 27001: 2013 sertifisering.

Ons nuwe Cyber ​​Essentials diens is net op die regte tyd uit om ander ook te help. Ons maak die voorbereiding en gereedheid vir Cyber ​​Essentials sertifisering 'n lae koste, in sommige gevalle gratis diens, binne ons nuwe ISMS.Aanlyn besigheid.

Maar is Cyber ​​Essentials, of inderdaad die tien stappe na kuberveiligheid genoeg as jy dink aan derdeparty-seleksie vir gebiede met hoë inligtingsekuriteitsrisiko? Selfs as 'n verskaffer 'n lae besteding vir jou het, maar toegang verkry tot of dienste verskaf wat 'n impak het inligting-sekuriteit, moet jy daardie keuringsproses noukeuriger oorweeg.

Gegewe my erfenis in voorsieningsketting en vennootskapaktiwiteite (en die tien jaar herdenking van my boek Alliance Brand), Ek het gedink dit kan nuttig wees om 'n paar ander wenke oor seleksiekriteria te deel wat jou sal help om risiko te bestuur en beter resultate te kry.

In my boek het ek 'n eenvoudige mnemonic ontwikkel om derdepartykeuse te ondersteun, genaamd TOPSCORER. Dit is gefokus op seleksiekriteria vir werklik belangrike verhoudings, wat sommige mense noem vennote, alliansies ens, nie jou lae waarde aktiwiteit nie. Belê dus net in hierdie tipe seleksie waar jy meer beduidende risiko het en werklik die belangrikheid van die verskaffingsgebied erken.

Kuber noodsaaklik

 

Tegnies: Dit is tegnies hoekom jy die verhouding wil hê. Dit is wat die verskaffer of vennootvooruitsig bring in terme van kernbevoegdhede en ander bates waartoe jy toegang wil hê. Dit kan produkte, dienste, sleutelhulpbronne, IPR, toerusting, kliënte, handelsmerk, verspreidingskanaal, land-/plaaslike kennis, kapitaal of ander bates insluit.

Bedryfs: Dit neem die verskaffer se vermoë in ag om uit te voer in terme van hoe dit in die praktyk op die grond werk met sy afleweringshulpbronne, insluitend sy stelsels, tegnologie en besigheidsprosesse wat moontlik met die organisasie moet integreer. Dit sluit ook sy benadering tot bestuur in, risikobestuur en beheermaatreëls, 'n sleutelkwessie vir diegene wat na inligtingsekuriteitaspekte kyk.

portefeulje: Daar is twee aspekte aan hierdie eienskap; een is die pas van die verskaffer/vennoot binne jou bestaande portefeulje. Die tweede is om na hul portefeulje te kyk en hoe jou organisasie dit en dié van sy vennote/kliënte/ander verskaffers sal aanvul of meeding.

Strategies: 'n Sterk strategiese passing en aanvullende doelwitte gedurende die lewe van die verhouding is noodsaaklik as jy besigheidskritiese lewering of ernstige waardetoevoegende verhoudings oorweeg. Ander faktore wat onder hierdie kenmerk oorweeg moet word, sluit in die beoordeling van die komplementariteit van alliansiedrywers soos algemene mededingers, soortgelyke klante-eise sowel as 'n dwingende wedersydse behoefte. Faktore wat waarde kan vernietig, moet ook hier oorweeg word, soos die frekwensie van rigtingveranderings in die vooruitsig wat toekomstige mededingende bedreiging kan aandui. 'n Bykomende oorweging is die waarde en belangrikheid wat die organisasie het in terme van bydrae tot mekaar se strategiese doelwitte. 'n Goeie vraag om te oorweeg is watter impak die verhouding op besigheid sou hê as dit skielik op 'n sekere toekomstige punt beëindig word.

kommersiële: Tradisionele finansiële aantreklikheid vanuit 'n koste/voordeel-perspektief moet onder hierdie aspek en enige vooraf 'vel in die spel' oorweeg word vir meer intieme samewerking, aangesien dit help om verbintenis aan te dui. Die relatiewe verdeling van voordele en tyd tot voordeel vir elke party moet ook in ag geneem word. Die finansiële gesondheid en kommersiële welstand van die party moet ook in ag geneem word.

Buite druk: Organisasies staar groot uitdagings in die gesig deur ander prioriteite of druk van buite te hê wat meeding om bestuurstyd. Oorweeg potensiële eksterne afleidings soos M&A-aktiwiteite, leierskap-uitdagings, ander belangrike vennote of kliënte, swak algehele vennoot-kommersiële prestasie sowel as gereelde verandering van personeel wat kan dui op dieper probleme binne die vooruitsig. Op 'n persoonlike vlak kan gesondheids- of gesinskwessies sleutelspelers se tyd en aandag ernstig ontspoor, so om die mense en die organisasie te leer ken is die sleutel.

verhouding: Kyk na die vermoë om sowel organisatories as individueel saam te werk. Ek handel baie hieroor in my boek, insluitend die aanbied van 'n vertrouensraamwerk. Wat die vermoë om saam te werk, hoef die kulture en praktyke nie noodwendig dieselfde te wees vir beide organisasies nie, maar 'n sterk verhoudingspassing is noodsaaklik vir sukses. Inderdaad, soms is 'n merkbaar ander prestasiekultuur nodig vir sukses. Byvoorbeeld, deur 'n swak presterende besigheidseenheid op te skud, kan 'n selfgeldende uitkontrakteringsvennoot produktiwiteit positief verbeter. Ander aspekte wat oorweeg moet word, sluit in die vergelyking van leierskapstyle, waardes en oortuigings, organisasiestruktuur en besluitneming, die manier waarop mense bestuur en gemotiveer word, houding tot risiko asook benadering tot beleid en praktyk vanuit 'n wetlike en nakomingsperspektief. As jou organisasie 'n lae aptyt het vir inligtingsekuriteitsrisiko, Cyber ​​Essentials is dalk nie genoeg nie. Jy soek dalk ook organisasiekulture wat jou aptyt aanvul, byvoorbeeld waar hulle reeds UKAS Accredited behaal het ISO 27001: 2013. Dit sal versterk dat die ander party die onderwerp ook baie ernstig opneem.

omgewing: Beteken om die impak van die verhouding op die spesifieke mark te verstaan ​​in terme van hoe kliënte en mededingers waarskynlik sal reageer, sowel as ander belanghebbende partye byvoorbeeld markkommentators en aandeelhouers. Dit omsluit ook enige relevante aspekte rondom korporatiewe sosiale verantwoordelikheid en volhoubare besigheidsimpak. Dit is interessant om te sien kuber-sekuriteit word toenemend deel van 'n viervoudige winspunt naas sosiale, omgewings- en finansiële oorwegings.

Regulerende: Sluit breër assessering van makrofaktore in die regulatoriese omgewing in wat die gebied in die omvang in die gesig staar, sowel as enige wetlike nakoming uiteengesit, byvoorbeeld rondom bedryfsregulasies, teenmededingende praktyke, TUPE en ander faktore wat dalk met wetlike voorsorgmaatreëls aangespreek moet word. data Protection is 'n sleutelaspek hier en dit sal aansienlik groei met EUGDPR. Mens kan redeneer dat mense soos TalkTalk dalk nou gelukkig was met relatief lae koste blootstelling. Die firma kan met 4% van hul globale omset beboet word as dit ná 2018 gebeur het!

As jy meer wil leer oor derdepartyverskaffers en slimmer wil word oor seleksie en bestuur om die Cyber ​​Essentials-sertifisering aan te vul, kan ons jou help. Ons ISMS.Aanlyn wolksagteware het 'n reeks verskaffer-gefokusde vermoëns ingebou, insluitend die TOPSCORER-seleksie-instrument saam met 'n eenvoudige maar doeltreffende kontrak- en verhoudingsbestuur-werkspasie.

Leer meer

Laas geredigeer: 18 April 2023
skrywer

Julia Heron

Julia is die ISMS.online Solutions Specialist vir ondernemingskliënte en werk saam met organisasies om hulle te help met hul voldoeningsdoelwitte.

Sien alle plasings deur Julia Heron

Verwante poste

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind