Håll dig till säkerhet: Se till att dina tjänsteleverantörer implementerar rimliga säkerhetsåtgärder


Lita på men verifiera. Det är ett bra råd i många sammanhang, inklusive i ditt förhållningssätt till företag du anlitar för att behandla känslig information i din ägo. Även om ett intrång i slutändan spårar tillbaka till en tjänsteleverantörs beteende, ur perspektivet av en kund eller anställd vars personliga information har bestått, stannar pengarna hos dig. Det är därför Start with Security uppmanar företag att se till att deras tjänsteleverantörer implementerar rimliga säkerhetsåtgärder.

Innan du tar med tjänsteleverantörer ombord, beskriv vad du förväntar dig när det gäller säkerhet. Försäkra dig om att de har de tekniska hackorna för att få jobbet gjort. Bygg in rutiner så att du kan övervaka vad de gör för din räkning. Och se till att de håller sina löften.

Här är några exempel som illustrerar steg du kan vidta för att uppmuntra dina tjänsteleverantörer att börja med säkerhet – och hålla fast vid det, hämtade från FTC:s brottsbekämpande åtgärder, utredningar och frågor som vi får från företag.

Gör din due diligence.

Du skulle inte köpa en begagnad bil innan du kollade under huven och du skulle inte köpa ett hus enbart baserat på säljarens löfte om att det är i toppskick. Datasäkerhet är inte annorlunda. Information är ofta en av de viktigaste tillgångarna ett företag har. Innan du lägger den i någon annans kontroll, se till att du vet hur informationen kommer att användas och säkras.

Exempel: Ett företag funderar på att anlita en entreprenör för att hantera sin databehandling. Den får anbud från två entreprenörer – en med ett erkänt namn inom området och en nykomling som tar betydligt mindre betalt. Istället för att bara välja det etablerade varumärket eller lågbudget, ställer företaget istället båda entreprenörerna detaljerade frågor om bland annat hur det kommer att säkra företagets data, vem som kommer att ha tillgång till data och hur det kommer att träna sina anställda att underhålla uppgifterna på ett säkert sätt. Företaget bör endast tilldela kontraktet om det är nöjd med de svar det har fått. Även då bör företaget inkludera särskilda bestämmelser i sitt kontrakt som kräver rimlig säkerhet.

Skriv det skriftligt.

Datasäkerhet är för viktigt för att förvisa den till en vag “Låt oss bara skaka på det”-avtal. Båda sidor gynnas när förväntningar, prestationsstandarder och övervakningsmetoder reduceras till att skrivas i kontraktet.

Exempel: Ett företag anlitar en tjänsteleverantör för att skicka månatliga faktureringsutdrag till kunder. Företaget ger tjänsteleverantören tillgång till kontoinformation – inklusive kunders föredragna betalningsmetoder – och tjänsteleverantören skapar ett kalkylblad med uppgifterna. Kontraktet mellan företaget och tjänsteleverantören innehåller inga krav på att upprätthålla rimlig säkerhet. Tjänsteleverantören har inga brandväggar på plats, krypterar inte data i vila eller under överföring och implementerar inte systemloggar eller ett system för intrångsdetektering. Genom att underlåta att kräva rimlig säkerhet i kontraktet och underlåta att specificera vilka säkerhetsåtgärder tjänsteleverantören måste vidta, missade företaget en möjlighet att skydda sina kunders konfidentiella information.

Exempel: En nationell bemanningsbyrå rekryterar anställda från hela landet för att arbeta hemifrån för att utföra datainmatning. Företaget anställer regionala HR-entreprenörer för att hjälpa nya medarbetare att fylla i sina första personalpapper. HR-entreprenörerna åker till de nya anställdas hem för att få dem att fylla i lämpliga formulär, som innehåller känslig personlig information, inklusive personnummer. HR-entreprenörerna fotograferar blanketterna och använder sedan de nyanställdas persondatorer för att ladda upp och maila tillbaka informationen till bemanningsföretaget. Bättre praxis vore att bemanningsföretaget i sitt kontrakt specificerar en säkrare metod för att förmedla informationen och omedelbart kontaktar HR-entreprenören om känsliga uppgifter skickas i strid med den bestämmelsen.

Verifiera efterlevnad.

Du räknar din förändring, bekräftar dina hotellbokningar och granskar ditt kreditkortsutdrag. Dubbelkolla är bara vettigt. Det är därför noggranna företag kontrollerar att tjänsteleverantörer följer säkerhetsrelaterade avtalsbestämmelser.

Exempel: En återförsäljare som säljer campingutrustning anlitar ett företag för att utveckla en app med information om vandringsleder. Återförsäljaren har för avsikt att marknadsföra appen med påståendet att den inte kommer att samla in geolokaliseringsdata såvida inte användaren bekräftar detta och återförsäljaren inkluderar en klausul om detta i sitt avtal med apputvecklaren. Innan appen släpps testar återförsäljaren den och fastställer att appen samlar in geolokaliseringsinformation från alla användare och överför den till ett annonsnätverk. Genom att skriva ut sina förväntningar i kontraktet och testa för att se att utvecklaren har respekterat dem, kan återförsäljaren få problemet åtgärdat innan appen släpps.

Budskapet till säkerhetscentrerade företag är att bygga in dina förväntningar i dina kontrakt med tjänsteleverantörer som kommer att ha tillgång till känslig information. Se dessutom till att du har ett sätt att övervaka vad de gör för din räkning.

Nästa i serien: Sätt rutiner på plats för att hålla din säkerhet aktuell och åtgärda sårbarheter som kan uppstå.

Leave a Comment

Your email address will not be published.