Cyber-Sicherheitsbericht – Auswahl von Drittanbietern mithilfe von Cyber ​​Essentials (und darüber hinaus)

Ich habe verdaut Der Ausschuss für Kultur, Medien und Sport Empfehlungen nach der Veröffentlichung seines Berichts zur Cybersicherheit Anfang dieser Woche.

Eine wichtige Empfehlung betraf die Auswahl von Drittanbietern. Die breite Presse hat dies noch nicht thematisiert und sich stattdessen auf die anderen Empfehlungen konzentriert, wie z. B. die Höhe der CEO-Gehaltspakete (die wir uns an einem anderen Tag noch einmal ansehen werden).

Der Bericht empfahl unter anderem:

Alle Telekommunikationsunternehmen und Online-Händler sowie andere durch Cyberangriffe gefährdete Organisationen sollten Maßnahmen ergreifen, um die Einhaltung sicherzustellen Datenschutz Regeln und Cyber ​​Essentials sind wichtige Kriterien bei der Auswahl von Drittanbietern.

Wir stimmen dieser Empfehlung zu und sie ist eine weitere Bestätigung dafür, warum wir es neben unserem eigenen Ziel auch selbst erreicht haben UKAS-akkreditiert ISO 27001 : Zertifizierung 2013.

Unsere neue Cyber ​​Essentials-Dienst kommt gerade zum richtigen Zeitpunkt, um auch anderen zu helfen. Wir bereiten uns auf Cyber ​​Essentials vor Zertifizierung zu geringen Kosten, teilweise kostenloser Service, im Rahmen unseres neuen ISMS.Online-Geschäfts.

Aber ist Cyber ​​Essentials, oder tatsächlich das? Zehn Schritte zur Cybersicherheit Genug, wenn Sie über die Auswahl Dritter für Bereiche mit hohem Informationssicherheitsrisiko nachdenken? Auch wenn ein Lieferant nur geringe Ausgaben für Sie tätigt, aber auf Dienstleistungen mit Auswirkungen zugreift oder diese bereitstellt Informationssicherheit, müssen Sie diesen Auswahlprozess sorgfältiger prüfen.

Angesichts meiner Erfahrung in der Lieferkette und im Bereich Partnering (und des zehnjährigen Jubiläums meines Buches). Alliance-Marke), dachte ich, es könnte nützlich sein, einige weitere Tipps zu Auswahlkriterien zu geben, die Ihnen helfen, Risiken zu verwalten und bessere Ergebnisse zu erzielen.

In meinem Buch habe ich eine einfache Mnemonik namens TOPSCORER entwickelt, um die Auswahl durch Dritte zu unterstützen. Es konzentriert sich auf Auswahlkriterien für wirklich wichtige Beziehungen, die manche als Partner, Allianzen usw. bezeichnen, und nicht auf Ihre geringwertige Aktivität. Investieren Sie also nur dann in diese Art der Auswahl, wenn Sie ein größeres Risiko haben und die Bedeutung des Versorgungsgebiets wirklich erkennen.

Cyber ​​Essential

 

Technik: Das ist technisch gesehen der Grund, warum Sie die Beziehung wollen. Es geht darum, was der Lieferant oder potenzielle Partner in Bezug auf Kernkompetenzen und andere Vermögenswerte mitbringt, auf die Sie zugreifen möchten. Dazu können Produkte, Dienstleistungen, Schlüsselressourcen, geistige Eigentumsrechte, Ausrüstung, Kunden, Marke, Vertriebskanal, landesspezifisches/lokales Wissen, Kapital oder andere Vermögenswerte gehören.

Operational: Dabei wird die Umsetzungsfähigkeit des Lieferanten im Hinblick darauf berücksichtigt, wie er mit seinen Lieferressourcen in der Praxis vor Ort arbeitet, einschließlich seiner Systeme, Technologien und Geschäftsprozesse, die möglicherweise in die Organisation integriert werden müssen. Dazu gehört auch der Governance-Ansatz, Risikomanagement und -kontrollen, ein zentrales Thema für diejenigen, die sich mit Aspekten der Informationssicherheit befassen.

Portfolio: Dieses Merkmal hat zwei Aspekte; Einer davon ist die Passung des Lieferanten/Partners in Ihr bestehendes Portfolio. Zweitens betrachten Sie ihr Portfolio und wie Ihr Unternehmen dieses und das seiner Partner/Kunden/anderen Lieferanten ergänzen oder mit ihnen konkurrieren wird.

Strategisch: Eine starke strategische Passung und komplementäre Ziele während der Dauer der Beziehung sind unerlässlich, wenn Sie eine geschäftskritische Lieferung oder ernsthafte wertschöpfende Beziehungen in Betracht ziehen. Weitere Faktoren, die bei diesem Merkmal berücksichtigt werden müssen, umfassen die Bewertung der Komplementarität von Bündnistreibern wie etwa gemeinsame Wettbewerber, ähnliche Kundenanforderungen sowie ein zwingendes gegenseitiges Bedürfnis. Auch Faktoren, die den Wert vernichten könnten, sollten hier berücksichtigt werden, wie etwa die Häufigkeit von Richtungsänderungen in der Zukunft, die auf eine zukünftige Wettbewerbsbedrohung hinweisen könnten. Eine weitere Überlegung ist der Wert und die Bedeutung, die die Organisation im Hinblick auf den Beitrag zu den strategischen Zielen der anderen Organisation hat. Eine gute Frage ist, welche Auswirkungen die Beziehung auf das Geschäft hätte, wenn sie zu einem späteren Zeitpunkt plötzlich beendet würde.

Kommerziell: Die traditionelle finanzielle Attraktivität aus Kosten-Nutzen-Perspektive sollte unter diesem Aspekt und allen Vorab-„Skin in the Game“ für engere Kooperationen berücksichtigt werden, da sie dabei hilft, Engagement zu signalisieren. Die relative Aufteilung des Nutzens und die Zeit bis zum Nutzen jeder Partei sollten ebenfalls berücksichtigt werden. Auch die finanzielle Gesundheit und das wirtschaftliche Wohlergehen der Partei sollten berücksichtigt werden.

Äußerer Druck: Organisationen stehen vor großen Herausforderungen, weil sie andere Prioritäten haben oder externen Druck ausüben, der um Managementzeit konkurriert. Berücksichtigen Sie potenzielle externe Ablenkungen wie M&A-Aktivitäten, Führungsherausforderungen, andere wichtige Partner oder Kunden, eine insgesamt schlechte Geschäftsleistung der Partner sowie häufig wechselnde Mitarbeiter, die auf tiefere Probleme innerhalb des Interessenten hinweisen könnten. Auf persönlicher Ebene können gesundheitliche oder familiäre Probleme die Zeit und Aufmerksamkeit wichtiger Akteure ernsthaft beeinträchtigen. Daher ist es von entscheidender Bedeutung, die Menschen und die Organisation kennenzulernen.

Beziehung: Schauen Sie sich die Fähigkeit an, sowohl organisatorisch als auch individuell zusammenzuarbeiten. Ich beschäftige mich in meinem Buch viel damit, einschließlich der Bereitstellung eines Vertrauensrahmens. Im Hinblick auf die Fähigkeit zur Zusammenarbeit müssen die Kulturen und Praktiken nicht unbedingt für beide Organisationen gleich sein, aber eine starke Übereinstimmung der Beziehungen ist für den Erfolg von entscheidender Bedeutung. Tatsächlich ist manchmal eine deutlich andere Leistungskultur erforderlich, um erfolgreich zu sein. Wenn beispielsweise ein leistungsschwacher Geschäftsbereich umstrukturiert wird, kann ein durchsetzungsstarker Outsourcing-Partner die Produktivität positiv steigern. Weitere zu berücksichtigende Aspekte sind der Vergleich von Führungsstilen, Werten und Überzeugungen, Organisationsstruktur und Entscheidungsfindung, die Art und Weise, wie Menschen geführt und motiviert werden, die Einstellung zum Risiko sowie die Herangehensweise an Richtlinien und Praxis aus rechtlicher und Compliance-Perspektive. Wenn Ihr Unternehmen wenig Appetit darauf hat Informationssicherheitsrisiko, Cyber ​​Essentials reicht möglicherweise nicht aus. Möglicherweise suchen Sie auch nach Organisationskulturen, die Ihren Wünschen entsprechen, beispielsweise wenn diese bereits die UKAS-Akkreditierung erhalten haben ISO 27001: 2013. Das würde die Gegenpartei darin bestärken, das Thema ebenfalls sehr ernst zu nehmen.

Umwelt: Bedeutet, die Auswirkungen der Beziehung auf den jeweiligen Markt zu verstehen, und zwar im Hinblick darauf, wie Kunden und Wettbewerber voraussichtlich reagieren werden, sowie auf andere Faktoren interessierte Parteien zum Beispiel Marktkommentatoren und Aktionäre. Darüber hinaus werden alle relevanten Aspekte der sozialen Verantwortung von Unternehmen und der nachhaltigen Auswirkungen auf das Unternehmen zusammengefasst. Es ist interessant zu sehen Internet-Sicherheit Neben sozialen, ökologischen und finanziellen Aspekten werden sie zunehmend Teil eines Vierfach-Bottom-Line-Konzepts.

Regulatory: Beinhaltet eine umfassendere Bewertung der Makrofaktoren im regulatorischen Umfeld, mit denen der betroffene Bereich konfrontiert ist, sowie die Einhaltung gesetzlicher Vorschriften, beispielsweise in Bezug auf Branchenvorschriften, wettbewerbswidrige Praktiken, TUPE und andere Faktoren, die möglicherweise mit rechtlichen Schutzmaßnahmen angegangen werden müssen. Datenschutz ist hier ein zentraler Aspekt und wird mit der EU-DSGVO deutlich zunehmen. Man könnte argumentieren, dass Unternehmen wie TalkTalk jetzt vielleicht Glück gehabt haben, da die Kosten jetzt relativ niedrig sind. Das Unternehmen könnte mit einer Geldstrafe von 4 % seines weltweiten Umsatzes belegt werden, wenn dies nach 2018 geschehen wäre!

Wenn Sie mehr über Drittanbieter erfahren und sich bei der Auswahl und Verwaltung als Ergänzung zur Cyber ​​Essentials-Zertifizierung besser informieren möchten, können wir Ihnen helfen. Unser ISMS.Online Cloud-Software verfügt über eine Reihe integrierter lieferantenorientierter Funktionen, darunter das TOPSCORER-Auswahltool sowie einen einfachen, aber effektiven Arbeitsbereich für Vertrags- und Beziehungsmanagement.

Mehr erfahren

Letzte Änderung: 18. April 2023
Autor

Julia Reiher

Julia ist die ISMS.online-Lösungsspezialistin für Unternehmenskunden und arbeitet mit Organisationen zusammen, um sie bei ihren Compliance-Zielen zu unterstützen.

Alle Beiträge von Julia Heron anzeigen

Zusammenhängende Posts

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren