close
Share with your friends

Allt fler är beroende av tredjeparter för att kunna underhålla den digitala infrastrukturen. Har du koll på vilka som har tillgång till dina IT-system och data, och om det hanteras på ett tryggt och säkert sätt? Här svarar vi på hur du som företag kan få bäst koll på dina leverantörer.

Tredjeparter, även så kallade underleverantörer, är företag som du köper tjänster av eller samarbetar med. De kan också vara IT-driftsleverantörer, företag som hanterar molntjänster eller byråer av olika slag. I många fall underhåller de ditt data på ett eller annat sätt, eller har tillgång till delar av ditt data för att kunna leverera sina tjänster. Otäckt nog har över hälften av alla svenska bolag upplevt någon form av cyberattack under det senaste året. Det innebär att alla externa företag vars anställda eller system har åtkomst till dina system utgör alltså någon risk som du behöver ha koll på.

Många organisationer lägger ut viktiga delar av sin affärsverksamhet till tredjepartsleverantörer. Detta är en självklarhet eftersom outsourcing skapar synergier och effektivitet som är nästintill omöjligt att uppnå på annat vis. Marknaden utvecklas på så sätt att det finns tredjepartstjänster för nästan alla delar av verksamheten. Vilket i sin tur skapar förutsättningar för att kunna fokusera på sin kärnprocess och låta organisationen huvudsakligen göra det den är bäst på.

Ponemon Institute genomförde 2020 en undersökning som avslöjade att över hälften av organisationerna som har upplevt ett eller flera dataintrång under året kunde härleda cyberattacken till en sårbarhet hos en leverantör som hade tillgång till organisationens IT-system. När du upplever ett dataintrång, har det alltså med störst sannolikhet orsakats av brister i datahanteringen hos en eller flera av dina externa tredjeparter. Därför har vi listat vad du ska göra för att ha koll på dina underleverantörers datahantering för att ligga steget före.

Ta reda på vem som har tillgång till dina IT-system

Börja med att lära känna dina leverantörer och tredjeparter. Nedan följer fyra enkla steg som visar hur du kan komma igång:

  1. Lista alla leverantörer
    Sammanställ en lista över alla företag som har tillgång till dina IT-system och i vilken omfattning. Detta kan exempelvis göras i ett Excelark eller i ett Word-dokument.

  2. Gör en analys av dina leverantörer
    Analysera riskerna kopplade till ditt bolags relation till tredjeparter för att förstå i vilken utsträckning du förlitar dig på respektive leverantör. En sådan analys hjälper dig få bättre grepp om vilka typer av cyberangrepp du som företag kan utsättas för.

  3. Sätt upp rutiner och kontroller
    Bedöm sannolikhet och påverkan för händelser som berör konfidentialitet, integritet och tillgänglighet samt etablera kontroller och rutiner tillsammans med din leverantör. Rutiner och kontroller skapar bättre förutsättningar för att förhindra cyberattacker, såsom dataintrång och ransomware.

  4. Regelbundna uppföljningar
    Följ upp periodiskt genom exempelvis avstämningsmöten. Upprätta ett mötesprotokoll för att följa upp de etablerade kontrollerna och rutinerna. Är de hållbara, och behöver de förbättras? Det är viktigt att vara medveten om vad som pågår och ha en öppen dialog med dina leverantörer.

Vi lever i en tid där tredjeparter har privilegierad tillgång till ditt företags IT-system. Ju mer du förlitar dig på leverantörer, desto högre åtkomstprivilegier har de. Utgå ifrån att företaget förr eller senare kommer att drabbas av en cyberattack, och då måste du ha koll på vilka som har tillgång till dina IT-system och data samt säkerställa att det hanteras på ett tryggt och säkert sätt.

Kontaktpersoner

Hör av dig till oss om du vill veta mer:

Paige Moore, Manager, IRM, KPMG Sverige, +46 70 914 40 12, paige.moore@kpmg.se

Daniel Gräntz, Head of Cyber Security, KPMG Sverige, +46 70 865 68 49, daniel.grantz@kpmg.se