Hur gör man för att bygga en säker försörjningskedja?
Ja, det är kanske en av de vanligaste frågorna vi hör nu. Flera nya och gamla regelverk som omfattar din organisation kräver numera att de ska omfatta även dina leverantörer och underleverantörer.
Först och främst; det här är en bra och positiv diskussion! Det är nu tydlig att leveranskedjan måste inkluderas i organisationens totala säkerhetsarbete och utgöra en del av helheten när det kommer till den totala riskbilden.
Vi ser att allt fler säkerhetskrav tas med i olika inköpsprocesser än tidigare, är du underleverantör har du säkerligen också märkt av detta.
Baksidan av detta då? Alla organisationer hanterar de här leverantörskraven olika, och för de som helt enkelt bara skickar vidare kraven rakt av riskerar att tappa underleverantörer – eftersom man inte mäktar med att hantera bördan.
Likväl som man ska hantera de krav man får på sig, ska man som kravställare se till att göra det på ett effektivt och bra sätt.
Krav på underleverantörer behöver finnas, och dessvärre spelar det ingen roll om man är en mindre organisation om kunden har en känslig verksamhet. Men att bara vidarebefordra krav utan att anpassa eller granska dem, speciellt om de inte är relevanta för den specifika tjänsten eller produkten som underleverantören tillhandahåller, är inte en bra lösning. Det leder till överdrifter och onödig belastning. Likväl som man ska hantera de krav man får på sig, ska man som kravställare se till att göra det på ett effektivt och bra sätt.
En annan del av processen är uppföljningen. Idag ser jag att de flesta uppföljningar blir en slags ”check i boxen-aktivitet”. Har ni ett ISO27001? Check. Har ni en kontinuitetsplan? Check. Har ni övat den senaste månaden? Check.
Jag jobbar själv med olika former av audits och jag tycker att vi oftare måste fråga oss vad det här ger. Det kostar att genomföra detta kontinuerligt så det är viktigt att säkerhetsansvariga kan argumentera för dess nytta.
Viss information kan ge en bild av hur mogen en organisation är – detta brukar man benämna assurans, och det ibland vara ett bra sätt, men att enbart titta på assuransen räcker dock inte. Vi måste börja kräva av leverantören att de kan bevisa hur de skyddar informationen över tid och funktionellt.
På Secify jobbar vi just nu på flera plan för att stötta våra kunder med de här frågorna.
Under hösten gör vi en nylansering av vårt intelligence-område, där en av pusselbitar är just tredjeparts-analyser. Vi stöttar organisationer i kartläggningen och övervakning av leverantörskedjan, för att förenkla uppföljning och kontroll.
Vi lanserar dessutom ett koncept som vi egentligen jobbat med länge, men som nu fått ett namn – Risk & Compliance Trade offs. Vi tror att ingen orkar göra allt, och sällan vill vara bäst i klassen. Man vill göra tillräckligt för att skapa en framgångsrik affär. För det ändamålet har vi skapat ett koncept som hjälper till att gallra i kraven och prioritera det allra viktigaste som krävs för att nå upp till kraven. I fallet med försörjningskedjan kan det handla om att gallra fram de viktigaste leverantörerna, och de viktigaste säkerhetskraven att följa upp med dem.
För dig som sitter med en huvudvärk i form av krav du fått på dig av en kund, eller funderar på hur du ska kravställa på dina underleverantörer. Håll utkik efter en längre artikel som jag och Peter Bayer på SRF, Stockholmsregionens Försäkring AB, publicerar under hösten.
