Bakgrunden till fokus på tredjepartsaktörer är att attackerna blir allt mer sofistikerade och ofta kommer angreppen via en källa som företaget litar på. Organisationer är således sårbara för intrång hos någon av dess leverantörer eller återförsäljare. I takt med att företag får allt mer omfattande och komplexa ekosystem av samarbetspartners, blir det också allt svårare att ha kontroll på den typen av säkerhetsrisker.
Fick omfattande erfarenhet av att hjälpa företag hantera den här typen av risker, inte minst genom företagets Cyber Risk Score, som etablerat sig som ett effektivt verktyg för att bevaka organisationers sårbarhet för dataintrång. Därför har FICO nu formulerat fyra steg som kan hjälpa svenska företag att hantera cyberrisker hos tredje part, från leverantörer till partners.
Steg 1:Bygg ett ramverk för att kartlägga och kategorisera tredjepartsaktörer
Effektiv riskhantering i leveranskedjan kräver att man kartlägger och kategoriserar alla affärsrelationer och relaterade riskfaktorer. Ramverket beskriver vilken relation organisationen har till tredje part samt en genomgång av faktorer i tredjepartsorganisationen.
Målet är klargöra vilka leverantörer som kräver en djupare granskning, utifrån relevans, roll och storlek. Exempelvis kan en cateringleverantör till en kontorsfest vara mindre viktig än en nära affärspartner vars lösningar påverkar alla företagets kunder.
Ramverket bör, enligt Fico, inkludera frågor som: Är det en ny eller etablerad relation? Vilka tjänster handlar det om? Vilka regioner är aktören aktiv? Vilken data delas med aktören? Finns det alternativa leverantörer? Vilka försäkringar har aktören?
Steg 2: Utveckla arbetsflöden för att hantera kopplingen mellan risk och påverkan
I det första steget handlar det om att bestämma kriterier för när ytterligare information behöver hämtas in för att bedöma en organisations cyberrisk. I detta steg för man samman en bedömning av cyberrisk med en bedömning av potentiell påverkan/genomslag, för att ha de två faktorerna sammankopplade när man utvecklar en strategi för att hantera aktören.
Ett viktigt element i detta steg är, enligt Fico, att sätta en gräns för när organisationen behöver mer data om leverantören eller förändra/avsluta relationen. Ett sätt att sätta en sådan gräns är att använda sig av en extern, och objektiv, Cyber Risk Score. Ett sätt att skapa sig mer data om en leverantör i riskzonen kan inkludera:
- Regelbundna granskningar på plats hos aktören
- Insamling av data via utskickade frågeformulär till aktören
- Insamling av bevis på regelefterlevnad
Utifrån detta kan organisationen sedan göra bedömningar om aktörer har för hög risk och undersöka alternativa leverantörer eller partners. Den här processen hjälper också dessa att bli mer medvetna om sitt cybersäkerhetsarbete och hur detta kan granskas.
Steg 3: Kontinuerlig monitorering av viktiga leverantörer
Utifrån bedömningen av risk och potentiell påverkan, bör organisationen etablera rutiner för att kontinuerligt granska viktiga leverantörer regelbundet. Här kan exempelvis externa aktörers cybersäkerhetsbetyg vara ett värdefullt stöd.
Steg 4: Säkerställ rimlig risköverföring kopplad till försäkringsskydd
Genom att utvärdera risk och relevans/potentiell påverkan från tredje part, kan man urskilja de aktörer som kan göra att extra försäkringsskydd behövs. Därför är det viktigt att säkerställa att försäkringen täcker de risker som organisationen exponeras för. Cyberförsäkringar är en snabbväxande marknad och försäkringsbolagen utvärderar ständigt nya sätt att bedöma risk och premier för företagen.
En väl utvärderad översikt över sina tredjepartsaktörer skapar, enligt FICO, bästa möjliga förutsättningar för goda försäkringsvillkor. Men, i slutändan menar företaget att det också handlar om organisationers överlevnad, det räcker inte längre att fokusera på att motverka dataintrång i den egna organisationen, man måste också ha en god koll på alla aktörer i ekosystemet.
Sverige
