Cyber Security Report – Selectie van externe leveranciers die Cyber Essentials (en meer) gebruiken
Ik ben aan het verteren Het Comité Cultuur, Media en Sport aanbevelingen naar aanleiding van de publicatie van het rapport over cyberveiligheid eerder deze week.
Een belangrijke aanbeveling betreft de selectie van externe leveranciers. Het is nog niet onder de aandacht gebracht door de populaire pers, die ervoor heeft gekozen zich te concentreren op de andere aanbevelingen, zoals het verhogen van de salarispakketten voor CEO's (waar we later nog eens naar zullen kijken).
Het rapport beveelt onder meer het volgende aan:
Alle telecommunicatiebedrijven, online detailhandelaren en andere cyberkwetsbare organisaties moeten stappen ondernemen om ervoor te zorgen dat de naleving van de gegevensbescherming regels en Cyber Essentials zijn belangrijke criteria bij het selecteren van externe leveranciers.
Wij zijn het met die aanbeveling eens en het is wederom een bevestiging van de reden waarom wij deze aanbeveling zelf hebben verwezenlijkt, naast onze aanbevelingen UKAS-geaccrediteerd ISO 27001 : certificering 2013.
Onze nieuwe Cyber Essentials-service is precies op het juiste moment uit om ook anderen te helpen. We zijn bezig met de voorbereiding en gereedheid voor Cyber Essentials certificering tegen lage kosten, in sommige gevallen gratis service, binnen onze nieuwe ISMS.Online business.
Maar is Cyber Essentials, of inderdaad de tien stappen naar cyberbeveiliging genoeg als je denkt aan selectie door derden voor gebieden met een hoog informatiebeveiligingsrisico? Zelfs als een leverancier weinig voor u uitgeeft, maar wel toegang heeft tot of diensten levert die wel impact hebben informatiebeveiliging, moet u dat selectieproces zorgvuldiger overwegen.
Gezien mijn achtergrond in supply chain- en partneractiviteiten (en het tienjarig jubileum van mijn boek Alliantie merk), dacht ik dat het misschien nuttig zou zijn om enkele andere tips over selectiecriteria te delen die u zullen helpen risico's te beheersen en betere resultaten te behalen.
In mijn boek heb ik een eenvoudig geheugensteuntje ontwikkeld om selectie door derden te ondersteunen, genaamd TOPSCORER. Het is gericht op selectiecriteria voor echt belangrijke relaties, wat sommige mensen partners, allianties enz. noemen, en niet op uw laagwaardige activiteiten. Investeer dus alleen in dit soort selectie als u een groter risico loopt en het belang van het aanbodgebied echt onderkent.
Technische: Dit is technisch gezien waarom je de relatie wilt. Het is wat de potentiële leverancier of partner meebrengt in termen van kerncompetenties en andere troeven waartoe u toegang wilt hebben. Het kan hierbij gaan om producten, diensten, belangrijke hulpbronnen, intellectuele-eigendomsrechten, apparatuur, klanten, merken, distributiekanalen, kennis in het land/lokaal, kapitaal of andere activa.
Operationele: Hierbij wordt rekening gehouden met het vermogen van de leverancier om uitvoering te geven aan de manier waarop hij in de praktijk in de praktijk werkt met zijn leveringsmiddelen, inclusief zijn systemen, technologie en bedrijfsprocessen die mogelijk met de organisatie moeten worden geïntegreerd. Het omvat ook haar benadering van bestuur, risicobeheer en controles, een belangrijk onderwerp voor degenen die zich bezighouden met informatiebeveiligingsaspecten.
Portefeuille: Er zijn twee aspecten aan dit kenmerk; één daarvan is de fit van de leverancier/partner binnen uw bestaande portfolio. De tweede is kijken naar hun portfolio en hoe uw organisatie deze en die van haar partners/klanten/andere leveranciers zal aanvullen of ermee concurreren.
strategisch: Een sterke strategische match en complementaire doelstellingen gedurende de looptijd van de relatie zijn essentieel als u bedrijfskritische levering of serieuze waardetoevoegende relaties overweegt. Andere factoren waarmee rekening moet worden gehouden in het kader van dit kenmerk zijn onder meer het beoordelen van de complementariteit van alliantie-drijfveren, zoals gemeenschappelijke concurrenten, vergelijkbare klanteneisen en een dwingende wederzijdse behoefte. Hierbij moeten ook factoren in aanmerking worden genomen die de waarde kunnen vernietigen, zoals de frequentie van richtingsveranderingen in de prospect, die een signaal kunnen zijn voor een toekomstige concurrentiedreiging. Een aanvullende overweging is de waarde en het belang dat de organisatie heeft in termen van bijdrage aan elkaars strategische doelen. Een goede vraag om over na te denken is welke impact de relatie zou hebben op het bedrijfsleven als deze op een bepaald moment in de toekomst plotseling zou worden beëindigd.
Commercial: Traditionele financiële aantrekkelijkheid vanuit een kosten-batenperspectief moet in dit aspect en bij elke voorafgaande 'skin in the game' voor meer intieme samenwerkingen in overweging worden genomen, omdat dit helpt om betrokkenheid te signaleren. Er moet ook rekening worden gehouden met de relatieve verdeling van de voordelen en de tijd om er voordeel uit te halen voor elke partij. Er moet ook rekening worden gehouden met de financiële gezondheid en het commerciële welzijn van de partij.
Druk van buitenaf: Organisaties worden geconfronteerd met grote uitdagingen doordat andere prioriteiten of druk van buitenaf strijden om managementtijd. Houd rekening met mogelijke externe afleidingen, zoals fusies en overnames, uitdagingen op het gebied van leiderschap, andere belangrijke partners of klanten, slechte algemene commerciële prestaties van partners en vaak wisselend personeel, wat kan wijzen op diepere problemen binnen de prospect. Op persoonlijk vlak kunnen gezondheids- of familieproblemen de tijd en aandacht van belangrijke spelers ernstig doen ontsporen, dus het leren kennen van de mensen en de organisatie is van cruciaal belang.
relatie: Kijk naar het vermogen om zowel organisatorisch als individueel samen te werken. In mijn boek behandel ik hier veel over, waaronder het aanbieden van een vertrouwenskader. Als het gaat om het vermogen om samen te werken, hoeven de culturen en praktijken niet noodzakelijkerwijs hetzelfde te zijn voor beide organisaties, maar een sterke aansluiting op de relatie is essentieel voor succes. Soms is er voor succes zelfs een duidelijk andere prestatiecultuur nodig. Door bijvoorbeeld een slecht presterende bedrijfseenheid op te schudden, kan een assertieve outsourcingpartner de productiviteit positief verbeteren. Andere aspecten waarmee rekening moet worden gehouden, zijn onder meer het vergelijken van leiderschapsstijlen, waarden en overtuigingen, de organisatiestructuur en besluitvorming, de manier waarop mensen worden aangestuurd en gemotiveerd, de houding ten opzichte van risico's en de benadering van beleid en praktijk vanuit een juridisch en compliance-perspectief. Als uw organisatie weinig zin heeft in informatiebeveiligingsrisico, Cyber Essentials is misschien niet genoeg. Mogelijk bent u ook op zoek naar organisatieculturen die aansluiten bij uw wensen, bijvoorbeeld waar zij al UKAS Accredited zijn ISO 27001: 2013. Dat zou versterken dat de andere partij het onderwerp ook heel serieus neemt.
Milieu: Betekent het begrijpen van de impact van de relatie op de specifieke markt in termen van hoe klanten en concurrenten waarschijnlijk zullen reageren, evenals andere geïnteresseerde partijen bijvoorbeeld marktcommentatoren en aandeelhouders. Het omvat ook alle relevante aspecten rond maatschappelijk verantwoord ondernemen en de impact van duurzaam ondernemen. Het is interessant om te zien internetveiligheid steeds meer onderdeel gaan uitmaken van een viervoudig bedrijfsresultaat, naast sociale, ecologische en financiële overwegingen.
Regulatory: Omvat een bredere beoordeling van macrofactoren in het regelgevingsklimaat waarmee het reikwijdtegebied wordt geconfronteerd, evenals eventuele wettelijke naleving, bijvoorbeeld op het gebied van sectorregelgeving, concurrentiebeperkende praktijken, TUPE en andere factoren die mogelijk moeten worden aangepakt met juridische waarborgen. Data Protection is hier een belangrijk aspect en dat zal aanzienlijk toenemen met EUGDPR. Je zou kunnen stellen dat mensen als TalkTalk nu misschien geluk hebben gehad met relatief lage kosten. Het bedrijf zou een boete van 4% van zijn wereldwijde omzet kunnen krijgen als dit na 2018 was gebeurd!
Als u meer wilt weten over externe leveranciers en slimmer wilt worden over selectie en beheer als aanvulling op de Cyber Essentials-certificering, kunnen wij u helpen. Ons ISMS.Online In cloudsoftware is een reeks leveranciersgerichte mogelijkheden ingebouwd, waaronder de TOPSCORER-selectietool naast een eenvoudige maar effectieve werkruimte voor contract- en relatiebeheer.
