Les fournisseurs tiers, en particulier ceux qui fournissent des services liés à l'information, sont souvent le point le plus faible dans le système de défense d'une entreprise contre les cyber-attaques. Il est mal avisé de contracter un tiers sans une enquête approfondie de fond. Cet article vous donnera des conseils sur la façon de procéder à une vérification des antécédents et de négocier un accord qui réduira le risque.
Évaluation
Lors du choix d'un fournisseur tiers, vous devez tenir compte de nombreux problèmes de sécurité. La rigueur d'une vérification des antécédents dépendra du service du vendeur fournira à votre entreprise - être particulièrement méticuleux si le tiers aura accès à des informations sensibles. Voici quelques aspects que vous pourriez envisager:
- Vérifications et d'autres documents financiers
- L'expérience et la capacité
- réputation d'entreprise
- Span des opérations commerciales
- Qualifications et compétences des directeurs d'école de l'entreprise
- Stratégies et objectifs
- L'existence de plaintes ou de litiges
- L'utilisation d'autres parties ou entrepreneurs
- Périmètre du contrôle interne
- la sécurité des systèmes et des données
- Connaissance de la protection des consommateurs et les droits civils lois
- L'adéquation de la gestion des systèmes d'information
- La couverture d'assurance
- Sites Internet
- Portée des responsabilités du fournisseur
- Pays où le vendeur est basé
Au cours de l'enquête sur les questions suivantes avec le vendeur:
- Comment l'entreprise peut présenter un risque en termes d'accès à l'information
- Demandez formulaires vérification des antécédents
- Demandez des références liées au service vendeur va effectuer dans votre entreprise
- Vérifiez leur histoire des violations. S'il y en avait, qui était en faute?
- En cas de violations ont eu lieu, quelles leçons ont été tirées par le vendeur?
- Les employés ont toujours une nouvelle enquête?
Rappelez-vous de faire un fait vous-même vérifier si le vendeur ne divulgue pas tous les détails. Demandez la documentation pour vous assurer qu'ils sont conformes aux règlements.
Malheureusement, la vérification des antécédents sont coûteux et prend du temps. De plus, le vendeur peut simplement laisser si vous appuyez trop fort. Rappelez-vous que tous les fournisseurs tiers exigent le même niveau de vetting - tout dépend de quel type d'information ils auront accès. Malgré les inconvénients de vetting proprement dit, il est crucial pour la sécurité de votre entreprise; vous ne voulez pas finir par contracter frauduleuses ou même tiers inexistants parties. Viser à équilibrer les coûts et les considérations de sécurité.
Service Level Agreements renforcé risque-
Un accord de niveau de service renforcé risque vous donnera un plus grand niveau de sécurité en matière de contrats des fournisseurs tiers. Voici quelques suggestions quant à ce qui devrait être inclus dans l'accord:
- Sécurité de l' information. Assurez - vous que le vendeur comprend l'importance de la sécurité de l' information, qui prend en compte la sécurité technique, physique et administratif. Vous pouvez demander des rapports écrits réguliers sur les politiques de sécurité de l' information interne du fournisseur.
- La protection des renseignements. La protection des renseignements a trait à la façon dont l' information réglementée peut être utilisé et par qui. Les principes de confidentialité généralement reconnus (GAPP) peuvent vous donner des directives de base pour le développement de ce point. Information réglementée comprend: des informations sur les conditions médicales ou de santé, l' information financière, l' origine raciale ou ethnique, les opinions politiques, croyances religieuses ou philosophiques, l' appartenance syndicale, les préférences sexuelles, les informations relatives aux infractions de condamnations pénales. GAPP stipule également que certaines données non réglementées, comme les secrets de propriété intellectuelle et le commerce, doivent rester confidentielles. Assurez - vous que le vendeur comprend vos politiques de confidentialité de l' information et est obligé de les suivre.
- Analyse des menaces et des risques. Obliger le vendeur pour effectuer des évaluations des risques, ce qui devrait inclure une sélection rigoureuse des employés et à la recherche dans l'histoire des failles de sécurité. Le vendeur doit communiquer à votre entreprise toute violation déclarés et non déclarés.
- Conformité à la réglementation et de l' industrie. Le respect des règles est le plus bas niveau possible de sécurité du fournisseur doit répondre.
- Audit interne. Négocier autant l' accès à l'audit du fournisseur possible.
- La gestion étrangère des pratiques de corruption. Mesurer le niveau de corruption dans le pays où le vendeur est basé. Assurez - vous que le fournisseur dispose d' un programme de lutte contre la corruption en place et évaluer son efficacité - la corruption peut entraîner des dommages à la réputation.
- Mise en vigueur. Si le vendeur ne se conforme pas à l' une des conditions convenues par les deux parties, les conséquences proportionnées à l'événement devrait suivre. Une grave violation de la sécurité devrait vous donner le droit de résilier l'accord.
Sources:
Ulsch, N MacDonnell, « cybermenace! Comment gérer le risque croissant de cyberattaques », Wiley, 2014
No comments:
Post a Comment