Informe de seguridad cibernética: selección de proveedores externos que utilizan Cyber Essentials (y más)
he estado digiriendo La Comisión de Cultura, Medios de Comunicación y Deporte recomendaciones tras la publicación de su informe sobre seguridad cibernética a principios de esta semana.
Una recomendación importante ha sido la selección de terceros proveedores. Aún no ha sido destacado por la prensa popular, que ha optado por centrarse en otras recomendaciones, como alcanzar los paquetes salariales de los directores ejecutivos (que veremos de nuevo otro día).
Entre otras cosas, el informe recomendaba:
Todas las empresas de telecomunicaciones, minoristas en línea y otras organizaciones cibervulnerables deben tomar medidas para garantizar que el cumplimiento de las normas protección de datos Las reglas y Cyber Essentials son criterios clave al seleccionar proveedores externos.
Estamos de acuerdo con esa recomendación y es un refuerzo más de por qué lo hemos logrado nosotros mismos, además de nuestro Acreditado por UKAS ISO 27001: certificación 2013.
Nuestro nuevo Servicio Cyber Essentials sale justo en el momento adecuado para ayudar a los demás también. Estamos preparándonos y preparándonos para Cyber Essentials certificación a bajo costo, en algunos casos servicio gratuito, dentro de nuestro nuevo negocio ISMS.Online.
¿Pero es Cyber Essentials, o incluso el Diez pasos para la ciberseguridad ¿Es suficiente cuando se piensa en la selección de terceros para áreas con alto riesgo de seguridad de la información? Incluso si un proveedor tiene un gasto bajo para usted, pero accede o brinda servicios que impactan seguridad de la información, es necesario prestar más atención a ese proceso de selección.
Dada mi herencia en la cadena de suministro y la actividad de asociación (y el décimo aniversario de mi libro Marca de la Alianza), pensé que podría ser útil compartir algunos otros consejos sobre los criterios de selección que le ayudarán a gestionar el riesgo y obtener mejores resultados.
En mi libro, desarrollé una mnemónica simple para respaldar la selección de terceros llamada TOPSCORER. Se centra en criterios de selección para relaciones realmente importantes, lo que algunas personas llaman socios, alianzas, etc., no en su actividad de bajo valor. Por lo tanto, invierta únicamente en este tipo de selección donde tenga un riesgo más significativo y realmente reconozca la importancia del área de suministro.
técnica: Técnicamente, esta es la razón por la que quieres la relación. Es lo que aporta el proveedor o socio potencial en términos de competencias básicas y otros activos a los que desea acceder. Podría incluir productos, servicios, recursos clave, derechos de propiedad intelectual, equipos, clientes, marcas, canales de distribución, conocimientos locales o del país, capital u otros activos.
Operacional: Esto tiene en cuenta la capacidad de ejecución del proveedor en términos de cómo funciona en la práctica en el terreno con sus recursos de entrega, incluidos sus sistemas, tecnología y procesos comerciales que podrían necesitar integrarse con la organización. También incluye su enfoque de la gobernanza, gestión de riesgos y controles, un tema clave para quienes analizan aspectos de seguridad de la información.
cartera: Hay dos aspectos de esta característica; uno es la adecuación del proveedor/socio a su cartera existente. El segundo es observar su cartera y cómo su organización la complementará o competirá con ella y con la de sus socios/clientes/otros proveedores.
Estratégico: Un fuerte ajuste estratégico y objetivos complementarios durante la vida de la relación son esenciales si está considerando una entrega crítica para el negocio o relaciones serias con valor agregado. Otros factores a considerar bajo esta característica incluyen la evaluación de la complementariedad de los impulsores de la alianza, como competidores comunes, demandas similares de los clientes y una necesidad mutua convincente. Aquí también se deben considerar los factores que podrían destruir valor, como la frecuencia de los cambios de dirección en la perspectiva, que podrían indicar una futura amenaza competitiva. Una consideración adicional es el valor y la importancia que tiene la organización en términos de contribución a los objetivos estratégicos de cada uno. Una buena pregunta a considerar es qué impacto tendría la relación en los negocios si se terminara repentinamente en algún momento futuro.
Comercial: El atractivo financiero tradicional desde una perspectiva de costo/beneficio debe considerarse bajo este aspecto y cualquier "aspecto en el juego" inicial para colaboraciones más íntimas, ya que ayuda a señalar el compromiso. También se debe tener en cuenta la distribución relativa de los beneficios y el tiempo para obtener beneficios para cada parte. También se debe considerar la salud financiera y el bienestar comercial del partido.
Presiones exteriores: Las organizaciones enfrentan grandes desafíos al tener otras prioridades o presiones externas que compiten por el tiempo de gestión. Considere posibles distracciones externas, como actividades de fusiones y adquisiciones, desafíos de liderazgo, otros socios o clientes importantes, un desempeño comercial deficiente en general de los socios, así como personal que cambia con frecuencia, lo que podría indicar problemas más profundos dentro del cliente potencial. A nivel personal, los problemas de salud o familiares pueden descarrilar seriamente el tiempo y la atención de los actores clave, por lo que conocer a las personas y a la organización es clave.
Relación: Observe la capacidad de colaborar tanto a nivel organizacional como individual. En mi libro trato mucho de esto, incluida la oferta de un marco de confianza. En términos de capacidad de colaboración, las culturas y prácticas no necesariamente tienen que ser las mismas para ambas organizaciones, pero una relación sólida que encaje es esencial para el éxito. De hecho, a veces se requiere una cultura de desempeño marcadamente diferente para tener éxito. Por ejemplo, al reorganizar una unidad de negocios con bajo desempeño, un socio de subcontratación asertivo podría mejorar positivamente la productividad. Otros aspectos a considerar incluyen la comparación de estilos, valores y creencias de liderazgo, la estructura organizacional y la toma de decisiones, la forma en que se gestiona y motiva a las personas, la actitud ante el riesgo y el enfoque de las políticas y prácticas desde una perspectiva legal y de cumplimiento. Si su organización tiene poco apetito por riesgo de seguridad de la información, Cyber Essentials podría no ser suficiente. También podría estar buscando culturas organizacionales que complementen su apetito, por ejemplo, donde ya hayan obtenido la acreditación UKAS. ISO 27001:2013. Eso reforzaría que la otra parte también se toma el tema muy en serio.
Ambiente: Significa comprender el impacto de la relación en el mercado específico en términos de cómo es probable que reaccionen los clientes y competidores, así como otros factores. partes interesadas por ejemplo, comentaristas de mercado y accionistas. También resume cualquier aspecto relevante en torno a la responsabilidad social corporativa y el impacto empresarial sostenible. Es interesante ver seguridad cibernética formando cada vez más parte de un cuádruple resultado final junto con consideraciones sociales, medioambientales y financieras.
Regulador: Incluye una evaluación más amplia de los factores macro en el entorno regulatorio que enfrenta el área en su alcance, así como cualquier cumplimiento legal establecido, por ejemplo, en torno a regulaciones de la industria, prácticas anticompetitivas, TUPE y otros factores que podrían necesitar ser abordados con salvaguardias legales. Protección de Datos Es un aspecto clave aquí y crecerá significativamente con EUGDPR. Se podría argumentar que empresas como TalkTalk quizás hayan tenido suerte ahora con una exposición a costos relativamente bajos. ¡La empresa podría recibir una multa del 4% de su facturación global si esto hubiera sucedido después de 2018!
Si desea conocer más sobre proveedores externos y ser más inteligente en la selección y gestión para complementar la certificación Cyber Essentials, podemos ayudarle. Nuestro SGSI.En línea El software en la nube tiene incorporada un conjunto de capacidades centradas en los proveedores, incluida la herramienta de selección TOPSCORER junto con un espacio de trabajo de gestión de relaciones y contratos simple pero eficaz.
