…

 

Leverandøraudit

Jeres leverandørers sikkerhed er jeres problem

I kan have styr på jeres egen sikkerhed. Men hvad med dem, der har adgang til jeres systemer? Jeres IT-leverandør, jeres hostingudbyder, jeres softwareleverandører?

Hvis de bliver ramt, bliver I ramt.

En leverandøraudit giver jer overblik over risikoen i jeres leverandørkæde og dokumentation til at stille de rigtige krav.

Hvorfor er leverandørsikkerhed kritisk?

De fleste virksomheder er dybt afhængige af eksterne leverandører. IT-drift, cloud-tjenester, økonomi- og lønsystemer, kundedata i tredjepartssystemer.

Hver leverandør med adgang til jeres data eller systemer er en potentiel indgang for angribere. Og I bærer ansvaret, uanset om bruddet sker hos jer eller hos dem.

Nogle af de største cyberangreb i de seneste år er sket gennem leverandører. Angriberne går ikke efter den sværeste vej ind. De går efter det svageste led.

To perspektiver på leverandøraudit

En leverandøraudit kan ses fra to sider, afhængigt af hvor I står:

I køber IT-ydelser og vil kende risikoen

I har leverandører med adgang til jeres systemer og data. Men ved I, hvordan de beskytter jer?

En leverandøraudit hjælper jer med at:

• Vurdere sikkerheden hos jeres kritiske leverandører
• Identificere leverandører, der udgør en risiko
• Stille konkrete sikkerhedskrav i kontrakter
• Dokumentere jeres leverandørstyring over for ledelse eller tilsyn

I leverer IT-ydelser og vil vise jeres kunder, at I er sikre

Jeres kunder stiller krav. De vil vide, om de kan stole på jer med deres data og systemer.

En leverandøraudit giver jer:

• Dokumentation for jeres sikkerhedsniveau
• Grundlag for at svare på kunders sikkerhedsspørgsmål
• Konkurrencefordel i salgsprocesser
• Overblik over huller, I bør lukke, før kunderne spørger

NIS2 skærper kravene til leverandørstyring

Med NIS2-direktivet er leverandørstyring ikke længere valgfrit. Virksomheder omfattet af NIS2 skal:

• Vurdere risikoen ved deres leverandører
• Stille sikkerhedskrav til leverandører
• Dokumentere, at de har gjort det

Det betyder, at NIS2-virksomheder kommer til at stille krav til jer, hvis I er deres leverandør. Og det betyder, at I selv skal stille krav til jeres leverandører, hvis I er omfattet.

En leverandøraudit giver jer dokumentationen til begge dele.

Læs mere om NIS2-audit.

Hvad kigger vi på i en leverandøraudit?

En leverandøraudit tilpasses jeres situation. Men typisk vurderer vi:

Adgangsstyring: Hvordan styrer leverandøren adgang til jeres data? Hvem hos leverandøren kan se hvad? Hvordan håndteres det, når medarbejdere stopper?

Databeskyttelse: Hvor ligger jeres data? Hvordan er de beskyttet? Hvem har adgang, og hvordan logges det?

Incident response: Hvad sker der, hvis leverandøren bliver ramt? Hvordan bliver I informeret? Hvad er deres plan?

Backup og kontinuitet: Har leverandøren backup af jeres data? Kan de gendanne? Hvad sker der, hvis leverandøren går ned?

Underleverandører: Bruger leverandøren selv underleverandører? Hvem har de givet adgang til jeres data?

Kontraktuelle forhold: Hvad står der egentlig i kontrakten? Er sikkerhedskravene tilstrækkelige? Hvad sker der ved brud?

Forskellige niveauer af leverandøraudit

Ikke alle leverandører kræver samme niveau af granskning. Vi tilpasser indsatsen til risikoen:

Dokumentgennemgang

Gennemgang af leverandørens sikkerhedsdokumentation, politikker og eventuelle attestationer. Velegnet til leverandører med begrænset adgang.

Spørgeskema og interview

Struktureret vurdering baseret på spørgeskema og dialog med leverandøren. Giver et dybere billede end dokumenter alene.

Teknisk gennemgang

Faktisk gennemgang af leverandørens tekniske sikkerhed. Relevant for kritiske leverandører med dyb adgang til jeres systemer.

Vi hjælper jer med at vurdere, hvilke leverandører der kræver hvilken indsats.

Erfaring fra miljøer med høje leverandørkrav

Leverandørstyring har altid været en del af hverdagen i de sektorer, jeg kommer fra.

Finanssektoren: Danske Bank og EDC, hvor kravene til leverandørers sikkerhed er omfattende og regulerede.

Offentlige myndigheder: Styrelser med ansvar for borgernes data, hvor leverandører skal leve op til strenge krav. Miljøstyrelsen er blandt mine referencer.

Kritisk infrastruktur og forsyning: Organisationer, hvor en kompromitteret leverandør kan have konsekvenser for tusindvis af mennesker.

Den erfaring bruger jeg til at hjælpe jer med at stille de rigtige krav og vurdere, om jeres leverandører lever op til dem.

Sådan foregår en leverandøraudit

1. Kortlægning
   Vi starter med at identificere jeres leverandører og vurdere, hvilke der er kritiske. Ikke alle leverandører kræver samme opmærksomhed.
2. Risikovurdering
   For hver kritisk leverandør vurderer vi risikoen: Hvilken adgang har de? Hvilke data håndterer de? Hvad er konsekvensen, hvis de svigter?
3. Gennemgang
   Vi gennemgår leverandørens sikkerhed på det niveau, der passer til risikoen. Det kan være dokumenter, interviews eller teknisk gennemgang.
4. Rapport og anbefalinger
   I får en rapport med vurdering af hver leverandør, identificerede risici og konkrete anbefalinger til handling.

Det får I med en leverandøraudit hos Nielco IT

• Overblik over risikoen i jeres leverandørkæde
• Vurdering af kritiske leverandørers sikkerhedsniveau
• Konkrete anbefalinger til krav I bør stille
• Dokumentation til ledelse, bestyrelse eller tilsyn
• Grundlag for bedre leverandørkontrakter
• Sparring med en specialist, der kender leverandørkrav fra finanssektoren og kritisk infrastruktur

Få overblik over jeres leverandørrisiko

Ring på 70 13 63 23 eller udfyld formularen.

Så tager vi en snak om jeres leverandørsituation og finder ud af, hvor I bør sætte ind.