10 säkerhetsfrågor som skyddar ditt företag från leverantörsrisker

10 säkerhetsfrågor som skyddar ditt företag från leverantörsrisker

Lucas Rosvall
Publicerad av Lucas Rosvall
den

Var tredje säkerhetsincident kan spåras tillbaka till sårbara leverantörskedjor. Därför är det viktigt att snabbt kunna identifiera om en leverantör också prioriterar din säkerhet eller bara låtsas.

Här presenterar vi tio frågor som kan separera seriösa leverantörer från resten. För varje fråga får du tips på vad du ska leta efter i svaren.

1. "Vilka säkerhetsstandarder följer ni?"

Att följa etablerade säkerhetsstandarder som ISO 27001 eller CIS Controls visar på systematiskt säkerhetsarbete, oavsett om företaget är certifierat eller inte.

Det viktiga är att leverantören kan visa hur de praktiskt implementerar säkerhetsrutiner som motsvarar dessa standarder i sitt dagliga arbete.

Vad du ska leta efter i svaret: Be leverantören beskriva hur de praktiskt implementerar kraven från sina certifieringar. Ett bra svar inkluderar konkreta exempel på förbättringar och regelbundna revisioner, inte bara hänvisningar till certifikat.

2. "Kan ni beskriva er incidenthanteringsprocess i detalj?"

När en incident väl inträffar är det för sent att improvisera. Denna fråga avslöjar därmed om leverantören har en testad och verifierad process för krishantering.

Vad du ska leta efter i svaret: Be om dokumentation från tidigare incidentövningar eller verkliga händelser. Svaret ska helst innehålla tidsramar för upptäckt, eskalering och åtgärd.

3. "Hur implementerar ni datakryptering?"

Bristfällig kryptering är en av de vanligaste orsakerna till allvarliga dataläckor. Genom denna fråga kan därför du snabbt avgöra om leverantören har en genomtänkt strategi för dataskydd eller bara följer grundläggande principer.

Vad du ska leta efter i svaret: Leverantören bör kunna beskriva specifika krypteringsmetoder (som AES-256), nyckelhantering och rutiner för krypteringsrotation. Var särskilt uppmärksam på hur backuper och arkiverad data hanteras.

4. "Hur implementerar ni principen om minsta möjliga behörighet?"

Bristfällig åtkomstkontroll är en av de vanligaste orsakerna till allvarliga dataintrång. Denna fråga avslöjar därmed leverantörens mognad inom identitets- och behörighetshantering, samt deras förmåga att skydda känslig information från obehörig åtkomst.

Vad du ska leta efter i svaret: Leta efter konkreta exempel på rollbaserad åtkomstkontroll, regelbundna behörighetsrevisioner och automatiserad kontoavveckling.

5. "Hur granskar ni säkerheten hos era underleverantörer?"

Din säkerhetskedja är inte starkare än den svagaste länken. Denna fråga visar om leverantören har kontroll över sin leverantörskedja, exempelvis via ett system för leverantörshantering som ChainSec.

Vad du ska leta efter i svaret: Kräv dokumentation på granskningsprocesser, avtalsvillkor och kontinuerlig uppföljning av underleverantörer.

6. "Hur ofta genomför ni sårbarhetsanalyser och penetrationstester?"

Regelbundna säkerhetstester är grundläggande för proaktivt säkerhetsarbete. Denna fråga visar därmed om leverantören aktivt letar efter och åtgärdar sårbarheter.

Vad du ska leta efter i svaret: Ett bra svar inkluderar både automatiserade veckovisa scanningar och årliga externa penetrationstester. Be om exempel på upptäckta sårbarheter och åtgärdstider.

7. "Vilka rutiner har ni för datalagring och säker radering?"

GDPR kräver tydliga rutiner för datahantering. Denna fråga avslöjar därmed om leverantören har systematisk kontroll över data genom hela livscykeln.

Vad du ska leta efter i svaret: Leverantören bör kunna visa dokumenterade rutiner för datakategorisering, lagringstider och verifierbar radering.

8. "Hur säkrar ni mobila enheter och distansarbete?"

Med ökat distansarbete är endpoint-säkerhet kritiskt. Denna fråga visar om leverantören har anpassat sig till moderna arbetssätt.

Vad du ska leta efter i svaret: Sök efter policys kring MDM (Mobil enhetshantering), kryptering och fjärradering tillsammans med tekniska kontroller som VPN och MFA.

9. "Hur utbildar och testar ni personalens säkerhetsmedvetenhet?"

Människor är ofta den svagaste länken. Denna fråga avslöjar därmed om säkerheten finns inbyggd i företagskulturen.

Vad du ska leta efter i svaret: Ett löpande utbildningsprogram med regelbundna tester och uppföljning bör finnas på plats.

10. "Hur snabbt implementerar ni kritiska säkerhetsuppdateringar?"

Sårbarheter upptäcks dagligen. Denna fråga visar därmed leverantörens förmåga att snabbt reagera på nya hot.

Vad du ska leta efter i svaret: Be om konkreta exempel på patchningstider för kritiska sårbarheter och dokumenterade rutiner för testning och utrullning.