Inhalt
Virginia liebt es, über wissenschaftliche Themen zu recherchieren und zu schreiben, die die Fantasie anregen.
Drittanbieter, insbesondere solche, die informationsbezogene Dienstleistungen erbringen, sind häufig die schwächste Stelle im Verteidigungssystem eines Unternehmens gegen Cyber-Angriffe. Es ist nicht ratsam, einen Dritten ohne gründliche Hintergrunduntersuchung zu beauftragen. In diesem Artikel erfahren Sie, wie Sie eine Hintergrundprüfung durchführen und eine Vereinbarung aushandeln, die das Risiko verringert.
Auswertung
Bei der Auswahl eines Drittanbieters sollten Sie viele Sicherheitsprobleme berücksichtigen. Die Gründlichkeit einer Hintergrundprüfung hängt von dem Service ab, den der Anbieter für Ihr Unternehmen erbringt. Seien Sie besonders genau, wenn der Dritte Zugriff auf vertrauliche Informationen hat. Hier sind einige Aspekte, die Sie möglicherweise berücksichtigen möchten:
- Audits und andere Finanzunterlagen
- Erfahrung und Können
- Geschäftsreputation
- Spanne des Geschäftsbetriebs
- Qualifikationen und Fachwissen der Unternehmensleiter
- Strategien und Ziele
- Vorliegen von Beschwerden oder Rechtsstreitigkeiten
- Verwendung anderer Parteien oder Auftragnehmer
- Umfang der internen Kontrolle
- System- und Datensicherheit
- Kenntnis der Verbraucherschutz- und Bürgerrechtsgesetze
- Angemessenheit der Verwaltung von Informationssystemen
- Versicherungsschutz
- Websites
- Umfang der Verantwortlichkeiten des Anbieters
- Land, in dem der Anbieter ansässig ist
Beheben Sie während der Untersuchung die folgenden Probleme mit dem Anbieter:
- Wie das Unternehmen ein Risiko für den Zugang zu Informationen darstellen kann
- Fragen Sie nach Formularen zur Überprüfung des Hintergrunds
- Fragen Sie nach Referenzen in Bezug auf den Service, den der Anbieter in Ihrem Unternehmen ausführen wird
- Überprüfen Sie die Vorgeschichte von Verstößen. Wenn es welche gab, wer war schuld?
- Welche Lehren hat der Anbieter gezogen, wenn Verstöße aufgetreten sind?
- Wurden Mitarbeiter jemals erneut untersucht?
Denken Sie daran, einige Fakten selbst zu überprüfen, falls der Anbieter nicht alle Details bekannt gibt. Fordern Sie Unterlagen an, um sicherzustellen, dass sie den Vorschriften entsprechen.
Leider sind Hintergrundüberprüfungen teuer und zeitaufwändig. Darüber hinaus kann der Anbieter nur gehen, wenn Sie ihn zu fest drücken. Denken Sie daran, dass nicht alle Drittanbieter die gleiche Überprüfungsstufe benötigen - alles hängt davon ab, auf welche Art von Informationen sie Zugriff haben. Trotz der Unannehmlichkeiten einer ordnungsgemäßen Überprüfung ist dies für die Sicherheit Ihres Unternehmens von entscheidender Bedeutung. Sie möchten nicht betrügerische oder gar nicht existierende Dritte beauftragen. Ziel ist es, die Kosten- und Sicherheitsaspekte auszugleichen.
Risikoverstärkte Service Level Agreements
Ein risikoverstärktes Service Level Agreement bietet Ihnen ein höheres Maß an Sicherheit, wenn es darum geht, Drittanbieter zu beauftragen. Hier einige Vorschläge, was in die Vereinbarung aufgenommen werden sollte:
- Informationssicherheit. Stellen Sie sicher, dass der Anbieter die Bedeutung der Informationssicherheit versteht, die die technische, physische und administrative Sicherheit berücksichtigt. Möglicherweise möchten Sie regelmäßig schriftliche Berichte zu den internen Informationssicherheitsrichtlinien des Anbieters anfordern.
- Datenschutz. Der Datenschutz bezieht sich darauf, wie und von wem regulierte Informationen verwendet werden dürfen. Die allgemein anerkannten Datenschutzgrundsätze (GAPP) enthalten möglicherweise grundlegende Richtlinien für die Entwicklung dieses Punkts. Zu den regulierten Informationen gehören Informationen zu medizinischen oder gesundheitlichen Bedingungen, Finanzinformationen, rassischer oder ethnischer Herkunft, politischen Meinungen, religiösen oder philosophischen Überzeugungen, Gewerkschaftsmitgliedschaft, sexuellen Vorlieben sowie Informationen zu Straftaten im Zusammenhang mit strafrechtlichen Verurteilungen. GAPP schreibt außerdem vor, dass einige nicht regulierte Daten wie geistiges Eigentum und Geschäftsgeheimnisse vertraulich behandelt werden müssen. Stellen Sie sicher, dass der Anbieter Ihre Datenschutzrichtlinien versteht und verpflichtet ist, diese einzuhalten.
- Bedrohungs- und Risikoanalyse. Verpflichten Sie den Anbieter, Risikobewertungen durchzuführen, die eine strenge Überprüfung der Mitarbeiter und einen Blick auf die Vorgeschichte von Sicherheitsverletzungen beinhalten sollten. Der Verkäufer sollte Ihrem Unternehmen alle gemeldeten und nicht gemeldeten Verstöße offenlegen.
- Einhaltung von Vorschriften und Branchen. Die Einhaltung von Vorschriften ist das niedrigstmögliche Sicherheitsniveau, das der Anbieter erfüllen sollte.
- Interne Anhörung. Verhandeln Sie so viel Zugriff wie möglich auf das Audit des Anbieters.
- Management ausländischer korrupter Praktiken. Messen Sie den Korruptionsgrad in dem Land, in dem der Anbieter ansässig ist. Stellen Sie sicher, dass der Anbieter über ein Antikorruptionsprogramm verfügt, und bewerten Sie dessen Wirksamkeit. Korruption kann zu Reputationsschäden führen.
- Durchsetzung. Sollte der Verkäufer eine der von beiden Parteien vereinbarten Bedingungen nicht einhalten, sollten sich dem Ereignis entsprechende Konsequenzen ergeben. Eine schwerwiegende Sicherheitsverletzung sollte Ihnen das Recht geben, den Vertrag zu kündigen.
Quellen
Ulsch, N MacDonnell, „Cyber ​​Threat! Wie man mit dem wachsenden Risiko von Cyberangriffen umgeht “, Wiley, 2014
Dieser Artikel ist genau und nach bestem Wissen des Autors. Der Inhalt dient nur zu Informations- oder Unterhaltungszwecken und ersetzt nicht die persönliche Beratung oder professionelle Beratung in geschäftlichen, finanziellen, rechtlichen oder technischen Angelegenheiten.
