När digitaliseringstakten ökar i en organisation så tillkommer ofta nya tekniksamarbeten och outsourcing av verksamhet. De positiva effekterna är många gånger tydliga, men vid sidan av vinsterna så finns även en baksida i form av ökade cyberrisker och andra operativa risker.
Det är vanligt att samarbetspartners använder sig av underkonsulter och system, vilket skapar ytterligare riskmoment, så kallade tredjepartsrisker. Ju fler leverantörer, desto större risk för att någon av dessa drabbas av intrång, attacker eller andra allvarliga incidenter.
I stort sett alla organisationer går mot ökad outsourcing av verksamhet och där stora delar av IT-miljön ligger i molnet. Statistik från vår egen undersökning "Cyberhoten mot Sverige" visar samtidigt att allt fler svenska bolag oroas över tredjepartsrisker. Inom 100 av Sveriges största bolags IT-organisationer, så svarade hälften att de här riskerna hade ökat bara under det senaste året.
Dessutom visar PwC:s "Digital Trust Insights" att hela 65 procent av de medverkande företagen ser oförmågan att förstå och planera för tredjepartsrisker som den största bristen när det gäller säkerhetsarbetet.
Så frågan är: hur väl förberedda är er organisation?
Tyvärr glöms säkerhetsaspekterna allt för ofta bort vid tecknandet av leverantörssamarbeten och outsourcing av verksamhet. Ofta saknas till exempel en samlad bild av den ibland långa riskkedja som följer vid samarbeten. När en organisation använder sig av underleverantörer och outsourcing, så innebär det inte att ansvaret för riskhanteringen förflyttas dit. Tvärtom så måste det noggrant kartläggas vilken information som finns hos tredje part och med fokus på tydlig kravställning.
För att minimera tredjepartsrisker behövs flera steg av konkreta åtgärder.
Utvärdera vilka delar av verksamheten som berörs av tredjepartsrisker och ta fram en riskanalys baserad på samarbeten och avtal.
Ta kontroll över inköpen. Säkerhetsaspekter glöms ofta bort redan i upphandlingar och tyvärr är det vanligt att system och tjänster köps in utan att säkerhetsaspekterna granskats.
Ställ tydliga säkerhetskrav på det företag som verksamheten outsourcas till och säkerställ att de ansvarar för dokumentation och kontroll av tredjepartsleverantörer.
Syna hela leverantörsledet och de risker som kan finnas där. Sök igenom hela kedjan och ta reda på om en tredjepart i sin tur kanske använder sig av ytterligare underleverantörer.
Nöj er inte med avtal som säkerhet. Även om ni har ett avtal med krav på säkerhetsdelar, så måste ni återkommande följa upp hur era leverantörer arbetar med säkerheten genom enkäter, riskanalyser, revisioner och övningar.
Se till att den löpande övervakningen av tredjepartsrisker är en del av det övergripande riskarbetet. Här kan företagsledning och styrelse spela en viktig roll som pådrivare.
Skapa beredskap för allvarliga haverier, intrång och andra händelser hos en leverantör och öva även på olika scenarier tillsammans med leverantörerna.
Planera för en situation då ni kan behöva avsluta ett samarbete och skifta leverantör, eller kanske till och med ta över drift på egen hand.
Utvärdera ert arbete med inköp och med kravställning utifrån ett säkerhetsarbete
Utvärdera och granska leverantörers säkerhetsarbete, till exempel genom due diligence och supplier audit
Ta fram en plan för och integrera tredjepartsrisk i den övergripande riskhanteringen samt inköp och upphandling
Upprätta och testa planer för avbrott och exit