Hur hanterar ni tredjepartsrisker?

man i serverrum

När digitaliseringstakten ökar i en organisation så tillkommer ofta nya tekniksamarbeten och outsourcing av verksamhet. De positiva effekterna är många gånger tydliga, men vid sidan av vinsterna så finns även en baksida i form av ökade cyberrisker och andra operativa risker.

Det är vanligt att samarbetspartners använder sig av underkonsulter och system, vilket skapar ytterligare riskmoment, så kallade tredjepartsrisker. Ju fler leverantörer, desto större risk för att någon av dessa drabbas av intrång, attacker eller andra allvarliga incidenter. 

Hur är nuläget när det gäller tredjepartsrisker?

I stort sett alla organisationer går mot ökad outsourcing av verksamhet och  där stora delar av IT-miljön ligger i molnet. Statistik från vår egen undersökning "Cyberhoten mot Sverige" visar samtidigt att allt fler svenska bolag oroas över tredjepartsrisker. Inom 100 av Sveriges största bolags IT-organisationer, så svarade hälften att de här riskerna hade ökat bara under det senaste året. 

Dessutom visar PwC:s "Digital Trust Insights" att hela 65 procent av de medverkande företagen ser oförmågan att förstå och planera för tredjepartsrisker som den största bristen när det gäller säkerhetsarbetet.

Så frågan är: hur väl förberedda är er organisation?

Tyvärr glöms säkerhetsaspekterna allt för ofta bort vid tecknandet av leverantörssamarbeten och outsourcing av verksamhet. Ofta saknas till exempel en samlad bild av den ibland långa riskkedja som följer vid samarbeten. När en organisation använder sig av underleverantörer och outsourcing, så innebär det inte att ansvaret för riskhanteringen förflyttas dit. Tvärtom så måste det noggrant kartläggas vilken information som finns hos tredje part och med fokus på tydlig kravställning.

Vad behöver ni göra?

För att minimera tredjepartsrisker behövs flera steg av konkreta åtgärder.

  • Utvärdera vilka delar av verksamheten som berörs av tredjepartsrisker och ta fram en riskanalys baserad på samarbeten och avtal. 

  • Ta kontroll över inköpen. Säkerhetsaspekter glöms ofta bort redan i upphandlingar och tyvärr är det vanligt att system och tjänster köps in utan att säkerhetsaspekterna granskats. 

  • Ställ tydliga säkerhetskrav på det företag som verksamheten outsourcas till och säkerställ att de ansvarar för dokumentation och kontroll av tredjepartsleverantörer. 

  • Syna hela leverantörsledet och de risker som kan finnas där. Sök igenom hela kedjan och ta reda på om en tredjepart i sin tur kanske använder sig av ytterligare underleverantörer.

  • Nöj er inte med avtal som säkerhet. Även om ni har ett avtal med krav på säkerhetsdelar, så måste ni återkommande följa upp hur era leverantörer arbetar med säkerheten genom enkäter, riskanalyser, revisioner och övningar. 

  • Se till att den löpande övervakningen av tredjepartsrisker är en del av det övergripande riskarbetet. Här kan företagsledning och styrelse spela en viktig roll som pådrivare.

  • Skapa beredskap för allvarliga haverier, intrång och andra händelser hos en leverantör och öva även på olika scenarier tillsammans med leverantörerna. 

  • Planera för en situation då ni kan behöva avsluta ett samarbete och skifta leverantör, eller kanske till och med ta över drift på egen hand.
     

Vad kan vi hjälpa er med?

  • Utvärdera ert arbete med inköp och med kravställning utifrån ett säkerhetsarbete

  • Utvärdera och granska leverantörers säkerhetsarbete, till exempel genom due diligence och supplier audit

  • Ta fram en plan för och integrera tredjepartsrisk i den övergripande riskhanteringen samt inköp och upphandling

  • Upprätta och testa planer för avbrott och exit
     

Kontakta oss

Sam Wallentin

Ansvarig FS Cyber Security, PwC Sverige

Tel 0727-33 16 64

Följ oss i sociala medier

Vill du ha hjälp med din cyberstrategi?

Fyll i nedanstående formulär så återkommer vi till dig.

Tjänster mot stora företag och myndigheter

Cybertjänster mot små och medelstora företag

By submitting your email address, you acknowledge that you have read the Privacy Statement and that you consent to our processing data in accordance with the Privacy Statement (including international transfers). If you change your mind at any time about wishing to receive the information from us, you can send us an email message using the Contact Us page.

Hide