I takt med att fastighetsförvaltningen blir mer digital och vi arbetar med externa leverantörer så kan det innebära säkerhetsrisker. Se till att säkerställa att dina leverantörer håller samma säkerhetsnivå som ni. Säkerhetsexperten ger dig råd.
Fastighetsförvaltning blir allt mer digitaliserad, och många bolag samarbetar med externa leverantörer och entreprenörer för drift, underhåll och digitala tjänster. När företag outsourcar delar av sin verksamhet innebär det dock också att säkerhetsrisker kan överföras från tredje part. Om en leverantör inte håller samma höga säkerhetsstandarder som fastighetsbolaget självt kan detta leda till dataläckor, cyberattacker och juridiska problem. En systematisk strategi och kravställning för leverantörssäkerhet är avgörande för trygg och framgångsrik fastighetsförvaltning.
De största säkerhetsriskerna med externa leverantörer
- Leverantören förstår inte era behov och er verksamhet
När man börjar föra en dialog med en leverantör ska man känna efter om det är en leverantör som är intresserad av era behov och er verksamhet. De som proffs inom sitt område bör vägleda er och ge stöd för vilket skydd ni behöver. - Otillräckliga säkerhetsrutiner hos leverantörer
Alla företag har inte lika höga krav på säkerhet. Om en leverantör inte har tydliga säkerhetsrutiner, slarvar med behörigheter eller använder svaga skydd för sin data kan det bli en risk för hela fastighetens system. - Obehörig åtkomst till fastighetssystem
Leverantörer behöver ofta komma åt digitala system för att sköta sitt arbete, till exempel styrning av fastigheter, ventilation eller passersystem. Om deras tillgång till dessa system inte är tillräckligt skyddade kan det öppna en väg för hackare att ta sig in i systemet. - Bristande hantering av känsliga data
Leverantörer som hanterar fastighetsdata, såsom hyresgästers personuppgifter eller driftinformation, måste följa dataskyddslagar som GDPR. Om en leverantör inte hanterar data korrekt kan det leda till juridiska konsekvenser och skadat förtroende. - Svagheter i leverantörskedjan
Om en av era leverantörer samarbetar med underleverantörer, skapas ytterligare en säkerhetsrisk. En svag länk i leverantörskedjan kan göra hela ekosystemet sårbart för cyberattacker och dataläckor.
Så säkerställer ni att leverantörer uppfyller era säkerhetskrav
För att minska säkerhetsrisker från tredje part är det avgörande att leverantörer följer samma säkerhetskrav som ert företag. Här är de viktigaste stegen för att säkerställa en trygg och säker leverantörshantering.
- Genomför noggranna säkerhetsgranskningar innan avtal tecknas
– Be leverantören visa för er vilken säkerhetsnivå de har exempelvis genom dokumentation så som säkerhetsdeklaration, säkerhetspolicy, incidenthantering och efterlevnad av relevanta regelverk.
– Genomför riskbedömningar för att identifiera potentiella svagheter innan ni ingår ett samarbete.
– Fråga vad leverantören i sin tur kräver av er i detta samarbete. Det kan exempelvis vara att ni ska sätta behörigheter för era användare. - Inför säkerhetskrav i leverantörsavtal
– Säkerställ att avtalen innehåller tydliga krav på efterlevnad av säkerhetsstandarder, såsom ISO 27001 eller NIST.
– Se till att era avtal tydligt kräver att leverantörer skyddar information med starka lösenord, begränsad åtkomst och regelbundna säkerhetsuppdateringar. - Begränsa och övervaka åtkomst till fastighetssystem
– Implementera principen om minsta möjliga åtkomst (Least Privilege), där leverantörer endast får tillgång till det de absolut behöver.
– Använd loggning och övervakning för att upptäcka misstänkt aktivitet kopplad till externa användare. - Genomför regelbundna säkerhetsrevisioner av leverantörer
– Kräv att leverantörer återkommande genomgår säkerhetsrevisioner och efterlevnadskontroller
– Samarbeta med oberoende säkerhetsexperter för att granska leverantörers säkerhetsrutiner och system. - Säkerställ att leverantörer hanterar data på ett lagligt och säkert sätt
– Kräv att leverantörer följer GDPR och andra relevanta dataskyddslagar.
– Avtala om tydliga rutiner för hur data ska raderas eller anonymiseras efter avslutat samarbete. - Utbilda leverantörer i säkerhetsmedvetenhet
– Utbilda leverantörer om era säkerhetskrav, rutiner och riktlinjer för att säkerställa att de arbetar enligt samma standarder och minska risken för misstag.
– Skapa en kommunikationskanal där leverantörer kan rapportera misstänkta säkerhetsincidenter.
Kimmy Nordqvist
Senior rådgivare Informationssäkerhet – PocketSafe
