Site Search

Menu

Event

Visar resultat

Hur hanterar ni tredjepartsrisker?

man i serverrum

När digitaliseringstakten ökar i en organisation så tillkommer ofta nya tekniksamarbeten och outsourcing av verksamhet. De positiva effekterna är många gånger tydliga, men vid sidan av vinsterna så finns även en baksida i form av ökade cyberrisker och andra operativa risker.

Det är vanligt att samarbetspartners använder sig av underkonsulter och system, vilket skapar ytterligare riskmoment, så kallade tredjepartsrisker. Ju fler leverantörer, desto större risk för att någon av dessa drabbas av intrång, attacker eller andra allvarliga incidenter. 

Hur är nuläget när det gäller tredjepartsrisker?

I stort sett alla organisationer går mot ökad outsourcing av verksamhet och  där stora delar av IT-miljön ligger i molnet. Statistik från vår egen undersökning "Cyberhoten mot Sverige" visar samtidigt att allt fler svenska bolag oroas över tredjepartsrisker. Inom 100 av Sveriges största bolags IT-organisationer, så svarade hälften att de här riskerna hade ökat bara under det senaste året. 

Dessutom visar PwC:s "Digital Trust Insights" att hela 65 procent av de medverkande företagen ser oförmågan att förstå och planera för tredjepartsrisker som den största bristen när det gäller säkerhetsarbetet.

Så frågan är: hur väl förberedda är er organisation?

Tyvärr glöms säkerhetsaspekterna allt för ofta bort vid tecknandet av leverantörssamarbeten och outsourcing av verksamhet. Ofta saknas till exempel en samlad bild av den ibland långa riskkedja som följer vid samarbeten. När en organisation använder sig av underleverantörer och outsourcing, så innebär det inte att ansvaret för riskhanteringen förflyttas dit. Tvärtom så måste det noggrant kartläggas vilken information som finns hos tredje part och med fokus på tydlig kravställning.

Relaterade sidor

Vad behöver ni göra?

För att minimera tredjepartsrisker behövs flera steg av konkreta åtgärder.

  • Utvärdera vilka delar av verksamheten som berörs av tredjepartsrisker och ta fram en riskanalys baserad på samarbeten och avtal. 

  • Ta kontroll över inköpen. Säkerhetsaspekter glöms ofta bort redan i upphandlingar och tyvärr är det vanligt att system och tjänster köps in utan att säkerhetsaspekterna granskats. 

  • Ställ tydliga säkerhetskrav på det företag som verksamheten outsourcas till och säkerställ att de ansvarar för dokumentation och kontroll av tredjepartsleverantörer. 

  • Syna hela leverantörsledet och de risker som kan finnas där. Sök igenom hela kedjan och ta reda på om en tredjepart i sin tur kanske använder sig av ytterligare underleverantörer.

  • Nöj er inte med avtal som säkerhet. Även om ni har ett avtal med krav på säkerhetsdelar, så måste ni återkommande följa upp hur era leverantörer arbetar med säkerheten genom enkäter, riskanalyser, revisioner och övningar. 

  • Se till att den löpande övervakningen av tredjepartsrisker är en del av det övergripande riskarbetet. Här kan företagsledning och styrelse spela en viktig roll som pådrivare.

  • Skapa beredskap för allvarliga haverier, intrång och andra händelser hos en leverantör och öva även på olika scenarier tillsammans med leverantörerna. 

  • Planera för en situation då ni kan behöva avsluta ett samarbete och skifta leverantör, eller kanske till och med ta över drift på egen hand.
     

Vad kan vi hjälpa er med?

  • Utvärdera ert arbete med inköp och med kravställning utifrån ett säkerhetsarbete

  • Utvärdera och granska leverantörers säkerhetsarbete, till exempel genom due diligence och supplier audit

  • Ta fram en plan för och integrera tredjepartsrisk i den övergripande riskhanteringen samt inköp och upphandling

  • Upprätta och testa planer för avbrott och exit
     

Kontakta oss

Magnus Lindkvist

Magnus Lindkvist

Partner, Cyber Security, PwC Sverige

Tel 0709-29 14 72

Linkedin Follow Email
Följ oss i sociala medier