Vad söker du?

Blogg

Kontrollera detta när ni köper säkerhetstjänst

4 februari, 2021

Samhället har förändrats det senaste året. Detsamma gäller vårt sätt att arbeta, vilket medför nya säkerhetsutmaningar, eller som hackare säger; nya möjligheter. Även utan denna förändring vet vi att säkerhetshot kan vara komplicerade. De är dynamiska och de kräver att försvarslinjen alltid är på tårna.

Fler och fler företag inser att detta är en nästan omöjlig uppgift för den den interna IT-avdelningen. De köper därför säkerhetstjänster från tillverkare eller lokala IT-leverantörer som säljer säkerhet som en tjänst. Men glöm för allt i världen inte att undersöka om leverantören själv har säkerheten i ordning. Ta inte för givet att säkerhetsfunktioner och processer finns på plats.

Vi ser i tillkännagivanden från offentliga och större privata företag att de i allt högre utsträckning frågar om leverantören har ett ledningssystem för informationssäkerhet, om de är ISO27001-certifierade, om de har rutiner för incidenthantering och så vidare? Men görs detta i samma utsträckning i mindre företag? Antagligen inte.

Så vad ska man kontrollera när man köper en säkerhetstjänst?

Ett bra ställe att börja är hos National Security Authority (NSM). I sina ”Grundläggande principer för IKT-säkerhet” har de sammanställt en lista med tio grundläggande kontroller som bör undersökas. Du bör utföra dessa kontroller oavsett vilken tjänst leverantören erbjuder.

Kontrollera att din leverantör:

  1. Har ett etablerat ledningssystem för informationsutbyte och möjlig certifiering i enlighet med internationella standarder, till exempel ISO / IEC 27001: 2017
  2. Ger insikt i säkerhetsarkitekturen som används för att leverera tjänsten
  3. Har utvecklingsplaner för framtida säkerhetsfunktionalitet i tjänsterna i linje med teknikutvecklingen och hotbilden över tiden
  4. Har en översikt över vem som ska ha tillgång till företagets information, var och hur denna ska behandlas och lagras, samt graden av mekanismer för segregering från andra kunder
  5. Har säkerhetsfunktionalitet som tillgodoser företagets behov
  6. Har säkerhetsövervakning för att upptäcka säkerhetsincidenter som kan påverka verksamheten
  7. Har rutiner för incidenthantering och avvikelse och säkerhetsrapportering
  8. Har kris- och beredskapsplaner som ska harmonisera med företagets egna planer
  9. Har godkännandeförfaranden för användning av underleverantörer och deras användning av underleverantörer
  10. Har specificerat vilka aktiviteter som ska utföras vid uppsägning av kontraktet, inklusive återföring / överföring / radering av företagets information

Utmaningen för kunderna är att utvärdera svaren eftersom det kräver expertis. Men alla kan utvärdera hur leverantören svarar. Om det finns ett snabbt och tydligt svar på alla frågor indikerar det att leverantören har saker i ordning, medan undvikande svar indikerar det motsatta. Detta är naturligtvis alldeles för enkelt och ger bara en indikation. Jag rekommenderar därför att få en kunnig resurs för att utvärdera svaren från leverantörerna.

Det står mellan flera leverantörer – hur väljer jag?

Utöver dessa krav är det naturligtvis också viktigt att överväga vilken typ av leverantör som är rätt för ditt företag. Vi rekommenderar att du väljer en leverantör som matchar storleken på ditt företag. Då blir du viktig för din leverantör och du kan hjälpa till att påverka förändringar som gör tjänsten bättre anpassad till ditt företag. För små och mellanstora företag är det inte säkert att den största säkerhetsleverantören på marknaden har möjlighet eller vilja att göra sådana förändringar.

Avslutningsvis; om du ska välja en säkerhetstjänst, be om en pilot eller ett bevis på konceptet! Då får du reda på om leverantören är rätt för dig och om tjänsten ger dig de värden du tänkt dig.