Så säkerställer du din leverantörs säkerhetsarbete
De senaste åren har vi sett en eskalering av cyberattacker mot svenska företag. Det har gjort att allt fler diskuterar detta på ledningsnivå, som ett reellt hot mot verksamheten.
Känner du till att de allra flesta framgångsrika attacker sker i applikationslagret (t ex webbplatser) enligt en undersökning gjord av Forrester? Att det är genom att utnyttja sårbarheter i din organisations applikationer – ofta med webbgränssnitt mot omvärlden – som obehöriga tar sig in. Och att det kan vara startskottet på en mycket mer omfattande attack, där angriparen nästlar sig djupare in i din infrastruktur.
ISO 27001
Men den insikten har vi på Digitalist valt att certifiera oss i Informationssäkerhet, ISO 27001. Dels för att skydda vår egen verksamhet och vår data, dels för att kunna vara en insatt och proaktiv partner för våra kunder i detta. ISO 27001 är ett oerhört potent ledningssystem för att systematiskt och metodiskt öka informationssäkerheten i hela din verksamhet. Informationssäkerhet kräver ett långsiktigt åtagande från bolagets högsta ledning, där man inte ser det som en engångsinvestering och sedan är det klart.
På Digitalis Open Tech är långsiktigt engagerade; från styrelse- och ledningsnivå hela vägen ut till alla våra leveransteam, partners och underleverantörer. Vi har kartlagt och klassificerat alla våra informationstillgångar så att vi är säkra på att vi hanterar dem som sig bör. Vi har kontinuerliga awareness-träningar med våra anställda. Vi har policys och rutiner för allt vi gör där informationssäkerhet är ett av perspektiven. Vi genomför regelbundet risk- och sårbarhetsanalyser, tar fram handlingsplaner för att adressera dessa, och ledningen har kvartalsvisa genomgångar av dessa för att säkerställa att vi når den risknivå vi känner oss bekväma med.
Secure Development Lifecycle Process
I vår design- och utvecklingsprocess har vi implementerat konceptet Secure Development Lifecycle Process (inklusive SBOM) för att säkerställa att de applikationer vi bygger möter våra kunders krav på säkerhet. För alla kunder är inte lika. Vi har myndighetskunder som omfattar skyddsobjekt, medan andra kunder har enkla informationssajter utan integrationer, där det enda kravet är att kunna återställa sajten inom en viss tid vid händelse av en attack.
Vi gör kontinuerliga risk- och sårbarhetsanalyser och lägger stor vikt vid att skapa redundans, alltid ha möjlighet att återställa och att sprida och avgränsa våra risker. Det man till varje pris vill undvika är ett scenario där en stor del av verksamheten blir utslagen utan möjlighet att snabbt ha förmåga och resurser att återskapa sina applikationer någon annanstans. Den analysen har vi gjort i vår kontinuitetsplanering. Och det har gett resultat.
- Vi har under 2023 inte haft en enda avvikelse vad gäller våra avtalade SLA:er.
- Vi kan se att vi får in fler säkerhetsincidenter, men att allt färre orsakas av oss. Vi är mer uppmärksamma på förekomsten, och skickligare på att förhindra att de uppstår.
Kontrollfrågor att ställa till din leverantör
Osäker på om din leverantör verkligen håller godkänd säkerhetsnivå? Här är en checklista. Vi hjälper dig gärna.
Förslag på kontroller
- Teckna ett NDA. Ställ konkreta frågor kring vilka risker leverantören jobbar på - och vilka strategier man har för att minska dem. Alla leverantörer har risker. En mogen leverantör är medvetna om sina risker och arbetar aktivt med att hantera dessa.
- Be att få titta på de policydokument som beskriver till exempel rättighetsstyrning, hur man hanterar lösenord, hur man delar information säkert med varandra osv. Vill du få en riktigt bra uppfattning ska du be att få intervjua en valfri anställd.
- Be leverantören att beskriva hur de kartlägger och dokumenterar era säkerhetskrav, och hur de säkerställer att man under produktlivscykeln möter dessa krav.
- Om leverantören är ISO 27001 certifierad:
- Be om att få läsa deras SOA (“Statement of Applicability”), som beskriver hur företaget levererar på de 114 kontrollpunkterna av verksamheten. Om den är svår att förstå, säg att du vill träffa deras informationssäkerhetschef och få dokumentet förklarat.
- Om leverantören inte är ISO 27001 certifierad:
- Be att få veta mer om deras incidenthantering, kontinuitetsplaner, säkerhetsträning för alla anställda, pågående handlingsplaner för att höja informationssäkerheten och hur mycket de investerar i informationssäkerhet.