Hur kan din organisation hantera risker vid outsourcing?
Cystore

Outsourcing – hur kan din organisation hantera riskerna?

Under de senaste åren har företag blivit allt mer intresserade av att outsourca delar av sin verksamhet för att minska sina kostnader, förbättra effektiviteten och ökad flexibilitet.

En av de delar organisationer ofta väljer att outsourca är sin IT-verksamhet, under de senaste åren speciellt till molnleverantörer. Trots att det finns många fördelar som talar för outsourcing, finns det även många risker sammankopplat med detta, främst säkerhetsrisker och utmaningar i form av kontroller för dataskydd och hantering.

Det ökade intresset för outsourcing har även börjat synas på de regulatoriska delarna i samhället. Lagar såsom GDPR, NIS och Säkerhetsskyddslagen, men även områdesspecifika föreskrifter kräver hantering av de risker som outsourcing innebär.

Vad ska din organisation tänka på vid outsourcing?

Riskanalys

Organisationer bör, innan outsourcing, utvärdera vilka tillgångar/processer som är kritiska. Därefter bör organisationen göra en riskanalys, där man tar följande i beaktande:

  • Identifiering och klassificering av processer/tillgångar och relaterade datasystem när det gäller känslighet och nödvändigt skydd.
  • Nuvarande risknivån av de tillgångar/processer som ska läggas ut, dvs. är tillgångarna/aktiviteterna kritiska för organisationens kontinuitet.
  • Direkt påverkan av avbrott.
  • Legala risker och ryktesrisk (t.ex. i vilket land informationen finns lagrad).
  • Möjliga konsekvenser av ett sekretessbrott alternativt bristande integritet av data.
  • Om tredjeparts leverantör i sin tur använder sig av andra underleverantörer för att kunna leverera tjänsten.
  • Om och hur personuppgifter omfattas av outsourcing, samt konsekvensen av detta.

Roller och ansvar

Outsourcing av verksamheter resulterar inte i att ledningens ansvar upphör. Organisationen ansvarar även fortsatt för att uppfylla regulatoriska skyldigheter samt skyldigheter gentemot kunder och andra intressenter. Det får inte heller innebära att man förlorar möjligheten att övervaka de processer/tillgångar organisationen valt att outsourca. Det är organisationens ansvar att:

  • Ställa säkerhetskrav på det företag man outsourcar sin verksamhet till.
  • Regelbundet övervaka och följa upp prestanda och de säkerhetskrav som ställts, inklusive de incidenter som skett.
  • Ha beredskapsplaner och strategier för att praktiskt ta sig ur samarbetet och byta till en annan leverantör eller, om möjligt själv ta hem driften.
  • Tydligt tilldela ansvar för dokumentation, hantering samt kontroll av tredjeparts leverantörer.

Vill du veta mer hur ni ska hantera era leverantörer på ett säkert sätt?

Vi på Cygate har lång och bred erfarenhet av informationssäkerhetsarbete och kan stötta er i dessa frågeställningar.

Kontaktuppgifter:
Fredrik Börjesson, epostadress
Tel: 072 509 86 31