בחירת ספקי צד שלישי באמצעות Cyber Essentials

דוח אבטחת סייבר - בחירת ספקי צד שלישי באמצעות Cyber Essentials (ומעבר לכך)

מאת ג'וליה הרון • 22 יוני 2016

אני כבר מעכל ועדת התרבות, התקשורת והספורט המלצות בעקבות פרסום הדו"ח שלה על אבטחת סייבר בתחילת השבוע.

המלצה חשובה הייתה לגבי בחירת ספקי צד שלישי. זה עדיין לא הודגש על ידי העיתונות הפופולרית שבחרה להתמקד בהמלצות האחרות כמו פגיעה במנות שכר למנכ"ל (שנסקור עליהן שוב ביום אחר).

בין היתר המליץ הדו"ח:

כל חברות התקשורת והקמעונאים המקוונים, וארגונים אחרים הפגיעים בסייבר, צריכים לנקוט בצעדים כדי להבטיח עמידה ב- הגנה על נתונים כללים ומרכיבי סייבר הם קריטריונים מרכזיים בבחירת ספקי צד שלישי.

אנחנו מסכימים עם ההמלצה הזו וזה עוד חיזוק למה שהשגנו אותה בעצמנו, בנוסף לזה שלנו מוסמכת UKAS ISO 27001: הסמכה 2013.

חדש שלנו שירות Cyber Essentials יוצא בדיוק בזמן הנכון לעזור גם לאחרים. אנחנו עושים את ההכנה וההיערכות לקראת Cyber Essentials הסמכה בעלות נמוכה, בחלק מהמקרים שירות חינם, במסגרת העסק החדש שלנו ISMS.Online.

אבל האם Cyber Essentials, או בעצם עשרה צעדים לאבטחת סייבר מספיק כשאתה חושב על בחירת צד שלישי לאזורים עם סיכון אבטחת מידע גבוה? גם אם לספק יש הוצאה נמוכה עבורך, אבל הוא ניגש או מספק שירותים שמשפיעים אבטחת מידע, עליך להתייחס יותר לתהליך הבחירה הזה.

לאור המורשת שלי בשרשרת האספקה ובפעילות השותפות (וביום השנה לעשר השנים לספר שלי מותג אליאנס), חשבתי שזה עשוי להיות שימושי לשתף כמה טיפים אחרים לגבי קריטריוני בחירה שיעזרו לך לנהל סיכונים ולהשיג תוצאות טובות יותר.

בספר שלי, פיתחתי מנמוניקה פשוטה לתמיכה בבחירת צד שלישי בשם TOPSCORER. הוא מתמקד בקריטריונים לבחירה עבור מערכות יחסים חשובות באמת, מה שאנשים מסוימים מכנים שותפים, בריתות וכו', לא הפעילות שלך בעלת ערך נמוך. אז השקיעו רק בסוג זה של מבחר שבו יש לכם סיכון משמעותי יותר ובאמת מכירים בחשיבות אזור האספקה.

סייבר חיוני

טֶכנִי: זו טכנית הסיבה שאתה רוצה את הקשר. זה מה שהספק או השותף הפוטנציאלי מביא במונחים של כישורי ליבה ונכסים אחרים שאליהם אתה רוצה לגשת. זה יכול לכלול מוצרים, שירותים, משאבי מפתח, IPR, ציוד, לקוחות, מותג, ערוץ הפצה, ידע בארץ/מקומי, הון או נכסים אחרים.

מִבצָעִי: זה לוקח בחשבון את יכולתו של הספק לבצע במונחים של האופן שבו הוא פועל בפועל בשטח עם משאבי האספקה שלו, לרבות המערכות, הטכנולוגיה והתהליכים העסקיים שלו שאולי יצטרכו להשתלב עם הארגון. זה כולל גם את הגישה שלו לממשל, ניהול סיכונים ובקרות, נושא מרכזי למי שמסתכל על היבטי אבטחת מידע.

תיק עבודות: ישנם שני היבטים למאפיין זה; האחד הוא ההתאמה של הספק/שותף לתיק ההשקעות הקיים שלך. השני הוא הסתכלות על הפורטפוליו שלהם וכיצד הארגון שלך ישלים או יתחרה בו ובאלה של השותפים/לקוחות/ספקים אחרים שלו.

אסטרטגי: התאמה אסטרטגית חזקה ויעדים משלימים במהלך חיי מערכת היחסים חיוניים אם אתה שוקל מסירה קריטית לעסק או קשרים רציניים עם ערך מוסף. גורמים נוספים שיש לקחת בחשבון במסגרת מאפיין זה כוללים הערכת ההשלמה של נהגי ברית כגון מתחרים נפוצים, דרישות דומות של לקוחות וכן צורך הדדי משכנע. יש לשקול כאן גם גורמים שעלולים להרוס ערך, כגון תדירות שינויי כיוון בפרוספקט שעלולים לאותת על איום תחרותי עתידי. שיקול נוסף הוא הערך והחשיבות שיש לארגון מבחינת תרומה למטרות האסטרטגיות של זה. שאלה טובה שכדאי לשקול היא איזו השפעה תהיה למערכת היחסים על העסק אם היא תסתיים באופן פתאומי בשלב עתידי כלשהו.

מסח you אטרקטיביות פיננסית מסורתית מנקודת מבט של עלות/תועלת צריכה להילקח בחשבון בהיבט זה וכל 'עור במשחק' מראש עבור שיתופי פעולה אינטימיים יותר, מכיוון שהיא עוזרת לאותת מחויבות. יש לקחת בחשבון גם את החלוקה היחסית של ההטבות והזמן להטבה עבור כל צד. יש לקחת בחשבון גם את הבריאות הפיננסית והרווחה המסחרית של המפלגה.

לחצים מבחוץ: ארגונים מתמודדים עם אתגרים גדולים על ידי סדרי עדיפויות אחרים או לחצים חיצוניים המתחרים על זמן הניהול. שקול הסחות דעת חיצוניות פוטנציאליות כגון פעילות מיזוגים ורכישות, אתגרי מנהיגות, שותפים או לקוחות חשובים אחרים, ביצועים מסחריים ירודים של שותפים, כמו גם צוות שמשתנה לעתים קרובות, מה שעלול להצביע על בעיות עמוקות יותר בתוך הלקוח הפוטנציאלי. ברמה האישית, בעיות בריאות או משפחה עלולות לפגוע ברצינות בזמן ותשומת הלב של שחקני מפתח ולכן היכרות עם האנשים והארגון היא המפתח.

מערכת יחסים: הסתכלו על היכולת לשתף פעולה הן ארגונית והן פרטנית. אני עוסק הרבה בספר שלי סביב זה כולל הצעת מסגרת אמון. מבחינת היכולת לשתף פעולה, התרבויות והפרקטיקות לא בהכרח חייבות להיות זהות עבור שני הארגונים, אבל התאמה חזקה של מערכת יחסים חיונית להצלחה. ואכן, לפעמים נדרשת תרבות ביצועים שונה באופן ניכר להצלחה. לדוגמה, בשינוי יחידה עסקית עם ביצועים גרועים, שותף מיקור חוץ אסרטיבי עשוי לשפר באופן חיובי את הפרודוקטיביות. היבטים נוספים שיש לקחת בחשבון כוללים השוואת סגנונות מנהיגות, ערכים ואמונות, מבנה ארגוני וקבלת החלטות, האופן שבו אנשים מנוהלים ומוטיבציה, יחס לסיכון וכן גישה למדיניות ולפרקטיקה מנקודת מבט משפטית וציות. אם לארגון שלך יש תיאבון נמוך ל סיכון לאבטחת מידע, ייתכן שהסייבר Essentials לא יספיקו. אולי אתה גם מחפש תרבויות ארגוניות המשלימות את התיאבון שלך, למשל היכן שהם כבר השיגו את UKAS Accredited ISO 27001: 2013. זה יחזק שגם הצד השני מתייחס לנושא ברצינות רבה.

סביבה: פירושו הבנת ההשפעה של מערכת היחסים על השוק הספציפי במונחים של האופן שבו לקוחות ומתחרים צפויים להגיב, כמו גם אחרים בעלי עניין למשל פרשני שוק ובעלי מניות. זה גם כולל בתוכו כל היבט רלוונטי סביב אחריות חברתית תאגידית והשפעה עסקית בת קיימא. זה מעניין לראות אבטחת סייבר הופך יותר ויותר לחלק משורה תחתונה מרובעת לצד שיקולים חברתיים, סביבתיים ופיננסיים.

רגולטורים: כולל הערכה רחבה יותר של גורמי מאקרו בסביבה הרגולטורית העומדת בפני התחום בהיקפו, כמו גם כל תאימות משפטית שנקבעה למשל סביב תקנות התעשייה, שיטות אנטי תחרותיות, TUPE וגורמים אחרים שאולי צריך לטפל בהם באמצעות אמצעי הגנה משפטיים. הגנה על נתונים הוא היבט מפתח כאן וזה יגדל באופן משמעותי עם EUGDPR. אפשר לטעון שאנשים כמו TalkTalk היו אולי ברי מזל עכשיו עם חשיפה בעלות נמוכה יחסית עכשיו. החברה עלולה להיקנס ב-4% מהמחזור הגלובלי שלה אם זה היה קורה אחרי 2018!