Leverandørkontroller

Tematikk:

Viktigheten av kontroller ved tjenesteutsetting/kjøp av tjenester

“Alle” tjenesteutsetter/kjøper tjenester. Men hvordan verifiseres og risikovurderes dette? Som kunde har man alltid 100% ansvar for sikkerheten, selv om man tjenesteutsetter, og da er det viktig å verifisere og risikovurdere før man går til dette steget. Har man allerede tatt steget uten å risikovurdere, er det allikevel ikke for sent å gjøre dette, og faktisk veldig viktig å utføre det så raskt som mulig.

Det finnes mange hjelpemidler for dette, der noen er store og omfattende, mens andre er litt mer vage. Her er det gjort en forenkling basert på disse tingene.

Har primært tatt utgangspunkt i det omfattende kontrollsettet til Cloud Security Alliance sitt CAIQ, som ligger her.

Har også tatt med informasjon fra Nasjonal Sikkerhetsmyndighet som ligger her, her og her. I tillegg er det brukt sunn fornuft.

Det kunne vært flere kontroller, men valgte kontroller nedenfor har vist seg å være meget avslørende for leverandøren, og hjulpet mye i risikovurderingen. Kontrollene vil bli oppdatert fortløpende basert på tilbakemeldinger og erfaringer.

Kontroller ved kjøp av tjenester

Her ligger Excel arket for bruk mot tjenesteleverandører.

Kontroller ved kjøp av driftstjenester

Her ligger Excel arket for bruk ved kontroll av driftsleverandører.

Må kontroller:

✅ Hvem er definert som ansvarlig for overordnet sikkerhet hos leverandøren?

✅ Eksisterer det et ISMS (Information Security Management System) som ISO 27001 eller tilsvarende. Leverandøren skal levere en SOA, Statement of Applicability, for å synliggjøre hvordan sikkerhet adresseres selv om de ikke er ISO 27001 sertifisert

✅ Hvor fysisk er løsningen(e) lokalisert?

✅ Er datasenteret SOC2 sertifisert, eller tilsvarende?

✅ Hvor jobber utviklerne? Norge, eller andre land? Egne ansatte eller eksterne?

✅ Hvem har tilgang til løsning og kundedata?

✅ Leverandøren bes fremvise dokumentasjon på regelmessig sikkerhetstesting av løsningen

✅ Foreligger en Shared Security Responsibility Model med klare ansvarsfordelinger

✅ Hvordan rapporteres uautoriserte innloggingsforsøk til kunde?

✅ Løsningen må ha SAML og SSO støtte

✅ Det må være API støtte på applikasjoner. Dokumentasjon må fremlegges

✅ Hvordan får kundens SOC logger i sanntid for innlogginger og hendelser til løsningen

✅ Hvilke relevante referansekunder eksisterer?

✅ Det skal være synlighet på alle administratorer til løsningen, inkludert de fra leverandøren. Hvordan adresseres dette?

✅ Det skal benyttes Multi Faktor Autentisering for alle administratorer. Hvordan verifiseres dette?

✅ Løsningen må ha synlighet på bruk av MFA for lokale brukere. Hvordan verifiseres dette?

✅ Hva logges av data i løsningen, og hvor lenge beholdes det?

✅ Løsningen må ha en ransomware immutable backup. Beskriv hvordan dette er løst.

✅ Hvor ofte kjøres det backup av løsningen? (Det skal kjøres backup av løsningen minimum x gang(er) hver dag)

✅ Hvor lenge lagres backup og hvordan? (Løsningen skal ha backup for x dager)

Bør kontroller:

✅ Leverandøren bør vise til en CSA CAIQ besvarelse eller tilsvarende

✅ Har leverandøren et avvikssystem på plass for intern bruk, samt at kunder kan rapportere?

✅ Det bør være et beste praksis dokument som forklarer hvordan kunde skal sette opp sin del av løsningen for best sikkerhet

✅ Det er ønskelig med beskrivelse av rollebasert tilgangskontroll for løsningen

✅ Det er ønskelig med beskrivelse av hvem som har tilgang til hvilke data i løsningen

✅ Det bør eksistere API dokumentasjon

✅ Hva eksisterer av dokumentasjon rundt automasjon og integrasjon med andre systemer?

✅ Det bør overleveres detaljert beskrivelse av løsningen med tanke på isolering fra andre kunder relatert til sikkerhet.

✅ Hvordan migrere data fra løsningen etter terminering av forhold?

✅ Er administrasjonsgrensesnittet tilgjengelig fra internett?

✅ Kundens tenant bør kunne tilgangsbegrenses til å kun kunne nås fra en IP adresse, kundens IP adresse

✅ Det bør være FIDO2 support for administratorer

✅ Hvilke sikkerhetssertifiseringer eksisterer for løsningen?

✅ Hvilken metode benyttes for sikker utvikling av programvare for å redusere sårbarhetene?

✅ Hvilke utviklingsplaner eksisterer for sikkerhetsfunksjonalitet?

✅ Hvordan overvåkes løsningen av leverandøren for å avdekke sikkerhetshendelser?

✅ Løsningen bør ha kryptering av data ved lagring

✅ Hvordan gjøres krypteringsnøkkel håndtering, som rotering?

✅ Løsningen bør ha en offline backup

✅ Løsningen bør ha en mulighet for backup til kundelokasjon

✅ Leverandøren bør vise til krisehåndteringsrutiner og øvelser

✅ Hvordan jobber leverandøren fra et Zero Trust og Assume Breach perspektiv?

Picture of Gøran Tømte

Gøran Tømte

Gøran har jobbet i bransjen siden 1996 og trives best med ukjente utfordringer. Er utdannet høgskole ingeniør innen telematikk, og kontinuerlig selvlært innen sikkerhet basert på gode kollegaer, bransjen og generell nysgjerrighet og interesse

KONTAKT

Andre artikler

Stay Connected

More Updates

Leverandørkontroller

Facebook
Twitter
LinkedIn

More to explorer