Hva søker du etter?

Blogg

10 kontroller du bør gjennomføre før du velger en tjeneste

2 februar, 2021

Samfunnet har endret seg det siste året. Det samme har måten vi jobber på, noe som fører med seg nye sikkerhetsutfordringer, eller som hackere sier; nye muligheter. Selv uten denne endringen vet vi at sikkerhetstrusler kan være kompliserte. De er dynamiske, og de krever at forsvarsrekken er på tå hev til enhver tid.

Stadig flere bedrifter innser at dette er vanskelig, for ikke si umulig, for den interne IT avdelingen. De går derfor til innkjøp av sikkerhetstjenester fra produsenter eller lokale IT leverandører som selger en tjeneste. Men har man husket å undersøke om leverandøren selv har sikkerheten i orden eller tar man det for gitt at sikkerhetskapabiliteter og prosesser er på plass?

Vi ser i utlysninger fra det offentlige og større private bedrifter at det har blitt mer vanlig å spørre om leverandøren har et styringssystem for informasjonssikkerhet, er man ISO27001 sertifisert, har man rutinger for hendelseshåndtering og så videre. Men gjøres dette i like stor grad hos mindre bedrifter? Sannsynligvis ikke.

Så hva bør man gjøre ved anskaffelse av en sikkerhetstjeneste?
Et godt sted å begynne er hos Nasjonal sikkerhetsmyndighet (NSM). I deres «Grunnprinsipper for IKT sikkerhet» har de utarbeidet en liste over ti grunnleggende kontroller som bør undersøkes. Disse kontrollene burde du gjennomføre uavhengig av hvilken tjeneste leverandøren tilbyr. Om leverandøren:

  1. Har et etablert styringssystem for informasjonsdeling og eventuelt sertifisering i henhold til internasjonale standarder, for eksempel ISO/IEC 27001:2017
  2. Gir innsikt i sikkerhetsarkitekturen som benyttes for å levere tjenesten
  3. Har utviklingsplaner for fremtidig sikkerhetsfunksjonalitet i tjenestene i tråd med utvikling i teknologi og trusselbildet over tid
  4. Har en oversikt over hvem som skal ha innsyn i virksomhetens informasjon, hvor og hvordan denne skal behandles og lagres, samt grad av mekanismer for segregering fra andre kunder
  5. Har sikkerhetsfunksjonalitet som tilfredsstiller virksomhetens behov
  6. Har sikkerhetsovervåkning for å avdekke sikkerhetshendelser som kan påvirke virksomheten
  7. Har rutiner for hendelseshåndtering og avvik- og sikkerhetsrapportering
  8. Har krise og beredskapsplaner som skal harmonisere med virksomhetens egne planer
  9. Har godkjenningsprosedyrer for bruk av underleverandører og deres bruk av underleverandører
  10. Har spesifisert hvilke aktiviteter som skal utføres ved terminering av kontrakten, blant annet tilbakeføring/flytting/sletting av virksomhetens informasjon

Utfordringen for kunder er å evaluere svarene ettersom dette krever kompetanse. Men alle kan evaluere måten leverandøren svarer på. Kommer det et raskt og tydelig svar tilbake på alle spørsmål, tyder det på at leverandøren har ting på stell, mens unnvikende svar tyder på det motsatte. Dette er naturligvis altfor enkelt og gir kun en indikasjon. Jeg anbefaler derfor å få en kyndig ressurs til å evaluere svarene fra leverandørene.

Det står mellom flere leverandører – hvordan velger jeg?
I tillegg til disse kravene er det selvfølgelig også viktig å vurdere hvilken type leverandør som er riktig for din bedrift. Vi anbefaler at du velger en leverandør som matcher din bedrifts størrelse. Da blir du viktig for leverandøren din og du kan være med å påvirke endringer som gjør at tjenesten passer bedre til din bedrift.

Er din bedrift i SMB segmentet, er det ikke sikkert at den største sikkerhetsleverandøren på markedet har mulighet eller vilje til å gjøre slike endringer. Finn også ut hva som er viktig for din potensielle leverandør: kan du være en referanse, snakke i et webinar, eller lignende? Dette er aktiviteter som kan være viktig for en leverandør.

Til slutt: er du i ferd med å velge en sikkerhetstjeneste, be om en pilot eller proof of concept! Da finner du ut om leverandøren passer for deg og om tjenesten gir deg de verdiene du forespeilet.