Isi
Virginia suka meneliti dan menulis tentang topik ilmiah yang merangsang imajinasi.
Vendor pihak ketiga, terutama yang menjalankan layanan terkait informasi, seringkali merupakan titik terlemah dalam sistem pertahanan perusahaan terhadap serangan dunia maya. Tidak disarankan untuk mengontrak pihak ketiga tanpa penyelidikan latar belakang yang menyeluruh. Artikel ini akan memberi Anda nasihat tentang bagaimana melakukan pemeriksaan latar belakang dan menegosiasikan kesepakatan yang akan mengurangi risiko.
Evaluasi
Saat memilih vendor pihak ketiga, Anda harus mempertimbangkan banyak masalah keamanan. Ketelitian pemeriksaan latar belakang akan bergantung pada layanan yang akan diberikan vendor kepada perusahaan Anda - sangat teliti jika pihak ketiga akan memiliki akses ke informasi sensitif. Berikut beberapa aspek yang mungkin ingin Anda pertimbangkan:
- Audit dan catatan keuangan lainnya
- Pengalaman dan kemampuan
- Reputasi bisnis
- Rentang operasi bisnis
- Kualifikasi dan keahlian kepala sekolah perusahaan
- Strategi dan tujuan
- Adanya keluhan atau tuntutan hukum
- Penggunaan pihak atau kontraktor lain
- Ruang lingkup pengendalian internal
- Sistem dan keamanan data
- Pengetahuan tentang perlindungan konsumen dan hukum hak-hak sipil
- Kecukupan pengelolaan sistem informasi
- Perlindungan asuransi
- Situs web
- Cakupan tanggung jawab vendor
- Negara tempat vendor berada
Selama penyelidikan, atasi masalah berikut dengan vendor:
- Bagaimana perusahaan dapat menimbulkan risiko dalam hal akses ke informasi
- Mintalah formulir pemeriksaan latar belakang
- Mintalah referensi terkait layanan yang akan dilakukan vendor di perusahaan Anda
- Periksa riwayat pelanggaran mereka. Jika ada, siapa yang salah?
- Jika terjadi pelanggaran, pelajaran apa yang telah dipetik oleh vendor?
- Apakah karyawan pernah diselidiki ulang?
Ingatlah untuk melakukan pengecekan fakta sendiri jika vendor tidak mengungkapkan semua detail. Mintalah dokumentasi untuk memastikan mereka mematuhi peraturan.
Sayangnya, pemeriksaan latar belakang mahal dan memakan waktu. Selain itu, vendor mungkin akan pergi begitu saja jika Anda menekannya terlalu keras. Ingatlah bahwa tidak semua vendor pihak ketiga memerlukan tingkat pemeriksaan yang sama - semuanya tergantung pada jenis informasi yang dapat mereka akses. Terlepas dari ketidaknyamanan dalam pemeriksaan yang tepat, ini penting untuk keamanan perusahaan Anda; Anda tidak ingin berakhir dengan kontrak pihak ketiga yang curang atau bahkan tidak ada. Bertujuan untuk menyeimbangkan biaya dan pertimbangan keamanan.
Perjanjian Tingkat Layanan yang Diperkuat Risiko
Perjanjian tingkat layanan yang diperkuat risiko akan memberi Anda tingkat keamanan yang lebih tinggi dalam hal mengontrak vendor pihak ketiga. Berikut adalah beberapa saran tentang apa yang harus dimasukkan dalam perjanjian:
- Informasi keamanan. Pastikan vendor memahami pentingnya keamanan informasi, yang mempertimbangkan keamanan teknis, fisik, dan administratif. Anda mungkin ingin meminta laporan tertulis berkala tentang kebijakan keamanan informasi internal vendor.
- Privasi informasi. Privasi informasi berkaitan dengan bagaimana informasi yang diatur dapat digunakan dan oleh siapa. Prinsip Privasi yang Diterima Secara Umum (GAPP) dapat memberi Anda pedoman dasar untuk mengembangkan poin ini. Informasi yang diatur termasuk informasi tentang kondisi medis atau kesehatan, informasi keuangan, asal ras atau etnis, pendapat politik, keyakinan agama atau filosofis, keanggotaan serikat pekerja, preferensi seksual, informasi yang berkaitan dengan pelanggaran hukuman pidana. GAPP juga menetapkan bahwa beberapa data yang tidak diatur, seperti kekayaan intelektual dan rahasia dagang, harus dirahasiakan. Pastikan vendor memahami kebijakan privasi informasi Anda dan berkewajiban untuk mematuhinya.
- Analisis ancaman dan risiko. Mewajibkan vendor untuk melakukan penilaian risiko, yang harus mencakup pemeriksaan karyawan yang cermat dan melihat riwayat pelanggaran keamanan. Vendor harus mengungkapkan kepada perusahaan Anda setiap pelanggaran yang dilaporkan dan tidak dilaporkan.
- Kepatuhan regulasi dan industri. Kepatuhan terhadap peraturan adalah tingkat keamanan serendah mungkin yang harus dipenuhi vendor.
- Audit internal. Negosiasikan sebanyak mungkin akses ke audit vendor.
- Manajemen praktik korupsi asing. Ukur tingkat korupsi di negara tempat vendor berada. Pastikan vendor memiliki program antikorupsi dan evaluasi keefektifannya - korupsi dapat menyebabkan kerusakan reputasi.
- Pelaksanaan. Jika vendor gagal mematuhi salah satu persyaratan yang disetujui oleh kedua belah pihak, konsekuensi yang proporsional dengan acara harus mengikuti. Pelanggaran keamanan yang serius seharusnya memberi Anda hak untuk mengakhiri perjanjian.
Sumber
Ulsch, N MacDonnell, “Ancaman Cyber! Bagaimana Mengelola Risiko yang Meningkat dari Serangan Cyber ”, Wiley, 2014
Artikel ini akurat dan benar sepanjang pengetahuan penulisnya. Konten hanya untuk tujuan informasi atau hiburan dan tidak menggantikan nasihat pribadi atau nasihat profesional dalam masalah bisnis, keuangan, hukum, atau teknis.
