Leverantörskedjeanalys

Minska risken för leverantörskedjeattacker och incidenter

De flesta organisationer står idag inför stora utmaningar när det kommer till att säkerställa informations­säkerheten i sina leverantörskedjor. Det blir svårt att säkerställa säkerhet i moderna leverantörskedjor som ofta sträcker sig över flera länder och involverar ett spektrum av olika leverantörer och underleverantörer. Att fullständigt kontrollera och övervaka alla aspekter i kedjan är svårt samtidigt är kedjan kritisk för verksamheten.

En av de vanligaste utmaningarna som vi ser är bristen på transparens och insyn i leverantörskedjan. Många organisationer har inte tillräcklig kunskap om vilka leverantörer som finns i deras kedja, vilket gör det svårt att bedöma och hantera risken kopplat till digital säkerhet. Dessutom kan leverantörer i sin tur ha underleverantörer vars säkerhetspraxis och processer är ännu mindre kända för organisationen, vilket ökar problematiken och risken för sårbarheter och cyberangrepp.

En annan utmaning är att hantera och följa regler och lagar som reglerar informations­säkerhet och dataskydd. Med införandet av striktare lagar som GDPR och NIS2-direktivet är organisationer skyldiga att säkerställa att deras leverantörskedja följer dessa regler. Men precis som vi skrev tidigare är det svårt att uppnå eftersom man inte alltid har riktigt koll på vad som händer med informationen som flödar i kedjan. Det är helt enkelt en komplex uppgift.

I takt med att organisationen växer så ökar också ansvaret kring andra områden, det kan därför efter en lång tid saknas både interna resurser och kompetens för att genomföra omfattande revisioner kring leverantörer. Till detta saknar man ofta en grundpelare som stöd vid säkerhetskontroller när man tar in nya leverantörer.

Med alla utmaningar som leveranskedjan innebär är det viktigt att ta itu med frågor kring leverantörskedjesäkerhet på ett strukturerat och proaktivt sätt för att minimera riskerna och säkerställa en stark säkerhetkultur genom hela leverantörskedjan. Lösningen är inte att minimera kedjan utan att säkerställa säkerhet i den. Det är här vår leverantörskedjeanalys kommer in i bilden. Genom att analysera och bedöma leverantörskedjan från ett informations­säkerhetsperspektiv, kan vi identifiera och hantera potentiella risker och sårbarheter, uppfylla lagstiftningens krav och säkerställa en robust informations­säkerhetspraxis över hela leverantörskedjan.

1. Uppstartsmöte
   Vi diskuterar omfattning, mål, metod, tidslinje och förväntningar.
2. Dokumentation
   Vi granskar din organisations befintliga dokumentation av policys, processer och riskbedömningar avseende leverantörskedjans säkerhet samt de leverantörer som ingår. Som ett tillval kan vi också en GDPR-bedömning och genomlysning av leverantören. Vi har även möjlighet att genomför en OSINT av leverantören.
3. Workshop
   Nyckelpersoner inom ditt företag intervjuas för att samla in information som inte är dokumenterad och för att få ytterligare förståelse från befintlig dokumentation.
4. Riskanalys
   Baserat på vad du har valt genomförs en riskanalys i två delar. Den första delen bedömer nivån av leverantörskedjans mognad för din organisation enligt kontroller i ISO27001:2022. Den andra delen bedömer nivån av informationssäkerhetsrisk utifrån OSINT eller GDPR.
5. Rapport
   Vi sammanställer arbetet och tar fram en rapport och rekommendationer över de främsta riskerna.