4 steg för att bättre hantera leverantörsrisker

Många organisationer använder leverantörstjänster som en del av sin dagliga verksamhet. Det kan handla om allt från leverans av kontorsmaterial till outsourcing av hel verksamhetsdel. Orsakerna till att organisationer beslutar att använda leverantörer är många; kostnad, effektivitet, skalbarhet, kvalitet och kunskap, för att nämna några. Men att outsourca delar av sin verksamhet medför också risker.

De risker som införs beror på leverantörens tjänst och organisationens verksamhet - en städtjänst på ett servicecenter introducerar risker relaterade till fysisk säkerhet medan inköp av ett lönesystem introducerar risker relaterade till personuppgifters sekretess.

Organisationer brukar sällan säkerställa att leverantören vidtar lämpliga åtgärder för att hantera riskerna eftersom ansvaret ligger hos leverantören. Men det är inte sant. Leverantörer ansvarar för att följa avtalen, men ansvarsskyldigheten är fortfarande organisationens eget. En organisation kan inte outsourca ägarskapet eller risker till en leverantör. Detta leder oss till frågan: hur hanterar vi leverantörsrisker?

För att hantera risker effektivt måste en organisation identifiera relevanta risker genom att förstå deras verksamhet och miljön de verkar i. En organisation måste också förstå vilka deras leverantörer är och hur tjänsterna interagerar med organisationens verksamhet och hur leverantören bidrar till konfidentialitet, integritet och tillgänglighet av information som ägs av organisationen. När organisationen har fått den nödvändiga kunskapen måste de bestämma riskaptiten, det vill säga risknivån som bedöms som acceptabel. Med de förutsättningar som fastställts är nästa steg att börja hantera de identifierade riskerna.

1. Skapa en policy för leverantörsrelationer

Policyn ska beskriva kraven för urval, onboarding, hantering och terminering av leverantörstjänster utifrån ett informationssäkerhetsperspektiv. Målet är att sätta arbetssättet för hur organisationen interagerar med leverantörer för att skydda sina tillgångar och minimera riskerna. Policyn fungerar som ett styrdokument gällande organisationens leverantörssäkerhet och möjliggör konsensus bland anställda och skapar grunden för en strömlinjeformad leverantörsprocess.

2. Hantera säkerhetsrisker i leverantörskontrakt och leveranskedjan

Krav på informationssäkerhet ska definieras och avtalas med leverantören. Kraven kan variera mellan leverantörer eftersom riskerna beror på vilka tjänster som tillhandahålls. Det är här du har möjligheten att kontraktuellt specificera riskreducerande åtgärder gentemot dina data som hanteras av leverantören.

3. Övervaka och granska leverantörens tjänsteleverans

En organisation ska övervaka och granska leverantörens leverans i den utsträckning som är rimlig och möjlig, utifrån organisationens risker och deras betydelse. Organisationen kan inkludera en ”right to audit”-klausul i leverantörskontraktet samt informera leverantörerna när de är med i urvalet för revision. Detta ger leverantörerna en chans att förbereda sig och håller uppmärksamhet på sina säkerhetskontroller. Utöver detta kan man granska SOC 2-rapporter och / eller övervaka avtalade Service Level Agreements (SLA). Potentiella risker ska bedömas och mildras på ett lämpligt sätt.

4. Hantera ändringar av leverantörstjänster

Organisationen ska hantera både interna eller externa förändringar som påverkar leverantörens tjänsteleverans. Som tidigare nämnts introducerar förändringar nya uppsättningar av risker och de måste utvärderas och hanteras fortlöpande.

Det kan kännas som en väldigt stor och omfattande uppgift att utvärdera leverantörer och deras respektive risker, men det är en iterativ process. Börja med de leverantörer som exempelvis innebär störst risk eller värde för din organisation och förbättra samt utöka processen över tid. Om du väljer leverantörer med ISO-certifiering av ett ackrediterat organ har en opartisk extern revisor verifierat att leverantören tillämpar en strukturerad strategi för riskhantering. Detta ger emellertid inga garantier men säger att leverantören har en medvetenhet och metod för att hantera sin informationssäkerhet.