Last updated on 28. Feb. 2024

Wie können Sie Cyberbedrohungen und Datenschutzverletzungen in IT-Beschaffungsverträgen bewältigen?

Bereitgestellt von KI und der LinkedIn Community

IT-Beschaffungsverträge sind Vereinbarungen zwischen einer Organisation und einem externen Anbieter von IT-Dienstleistungen oder -Produkten. Sie können dazu beitragen, Kosten zu senken, die Effizienz zu verbessern und Zugang zu spezialisierten Fähigkeiten oder Technologien zu erhalten. Sie setzen das Unternehmen jedoch auch Cyberbedrohungen und Datenschutzverletzungen aus, die die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gefährden können. Wie können Sie diese Risiken managen und Ihre Daten in IT-Sourcing-Verträgen schützen? Hier sind einige Tipps, die Sie beachten sollten.

Top-Expert:innen in diesem Artikel

Von der Community unter 12 Beiträgen ausgewählt. Mehr erfahren

1 Bewerten Sie die Sicherheitsfunktionen des Anbieters

Bevor Sie einen IT-Beschaffungsvertrag unterzeichnen, sollten Sie eine gründliche Due Diligence der Sicherheitsrichtlinien, -praktiken und -zertifizierungen des Anbieters durchführen. Sie sollten auch überprüfen, ob sie die einschlägigen Gesetze und Vorschriften einhalten, wie z. B. die Datenschutz-Grundverordnung (DSGVO) oder das Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA). Sie sollten nach Nachweisen für ihre Sicherheitsaudits, Incident-Response-Pläne und Disaster-Recovery-Verfahren fragen. Sie sollten auch die Sicherheitskultur, Schulungen und Sensibilisierungsprogramme bewerten.

Fügen Sie Ihre Sichtweise hinzu

Violet Sullivan, CIPP/US CIPM

Cyber ▪️ Privacy ▪️ AI ▪️ Cyber Insurance ▪️ Adjunct Professor for Baylor Law School
IF we have learned one thing from MOVEit or Connectwise, it's that supply chain cyber incidents are a major threat and vendor management must include consideration for their security risks and the data that the vendor interacts with. Please Please Please ask whether the vendor has insurance coverage for the issue. If you have a 3rd party resource that impacts your business WITHOUT cyber insurance or a plan for alternative business continuity - this is only going to look back to your customers. And you will be stuck with less information an less control on the "breach narrative". Protect yourself with the questions up front. Ask for confirmation of insurance coverage.

Übersetzt
Gefällt mir
Beitrag melden
Juan Carlos O.

Helping Organizations to Develop their Innovation & Digital Transformation 🧠💻💡🎵 IT Corporate Director (CIO | CTO | CDO) @Apollo Group & Vice President @CIO’s LATAM 🇲🇽 🌎
Evaluate the provider's security capabilities by reviewing their track record, certifications, and adherence to industry standards. Assess their incident response plans, data encryption practices, and employee training programs. Verify compliance with relevant regulations and scrutinize their security infrastructure, including firewalls and access controls. Thoroughly examine their vulnerability management and risk assessment processes to ensure a comprehensive approach to cybersecurity.

Übersetzt
Gefällt mir
Beitrag melden
Maverick James, Esq., CIPP/US, CIPM

Legal Solutions With Data Protection Built In | TheDataLawyer | Founder | Content Creator
The easiest answer is to call #TheDataLawyer 🤗 but truly, data integrity, data risk and the utilizing new technologies comes with its own (if not more) risk. This risk leads to serious business interruption from a monetary and operational aspect. Keeping lawyers in the mix from the get go is really important especially because when it comes to liability, the emphasis will always be on the controller/business. Just because you may move your risk profile away from yourself and onto the IT source provider, doesn’t mean the regulator will view it that way. It’s always going to be your responsibility which means you need to ask your IT the hard questions of what are you going to do, do you have an IRP, insurance, cost covering?

Übersetzt
Gefällt mir
Beitrag melden
Deepak Joshi

CISO, Cybersecurity, Information Security, GRC, AI / ML, MTech IIT Delhi, CISSP, CHFI, ISO 27001 LA, 27701 LA, 42001 LA
I will add here with my experience that please also see how futuristic is the provider. For example the vendor may be compliant with GDPR but then India is now going in for DPDPA and now what will you do if the provider doesnt have the capability and your contract doesnt mention of the upgradation by the provider. So to conclude pls see the capability of the vendor to evolve and adapt and as a user/buyer you pls keep relevant clauses in contract to get that edge over the provider.

Übersetzt
Gefällt mir
Beitrag melden

2 Definieren Sie klare Sicherheitsrollen und -verantwortlichkeiten

In einem IT-Beschaffungsvertrag sollten die Sicherheitsrollen und -verantwortlichkeiten beider Parteien festgelegt werden, z. B. wer für Datenschutz, Verschlüsselung, Sicherung, Überwachung, Berichterstellung und Fehlerbehebung verantwortlich ist. Sie sollten auch den Umfang und die Häufigkeit von Sicherheitsüberprüfungen, Audits und Tests sowie die Kriterien und Standards für die Messung der Sicherheitsleistung definieren. Sie sollten auch klare Kommunikationskanäle und Eskalationsverfahren für Sicherheitsprobleme und -vorfälle einrichten.

Fügen Sie Ihre Sichtweise hinzu

Juan Carlos O.

Helping Organizations to Develop their Innovation & Digital Transformation 🧠💻💡🎵 IT Corporate Director (CIO | CTO | CDO) @Apollo Group & Vice President @CIO’s LATAM 🇲🇽 🌎
Establish clear security roles and responsibilities in IT sourcing contracts by delineating specific duties for both the client and provider. Define who is accountable for incident response, vulnerability management, and ongoing monitoring. Clarify roles related to access control, data encryption, and compliance with security standards. This ensures a transparent understanding of each party's obligations, fostering a collaborative and secure environment. Regularly review and update these roles to adapt to evolving cyber threats.

Übersetzt
Gefällt mir
Beitrag melden
Deepak Joshi

CISO, Cybersecurity, Information Security, GRC, AI / ML, MTech IIT Delhi, CISSP, CHFI, ISO 27001 LA, 27701 LA, 42001 LA
when we talk about clear security roles, we firstly need to identify all the stakeholders with due diligence. We need to have clear responsibility specially for the incident response part, data protection, violation of compliance, process if reporting and SLA non adherence penalties. Last but not the least is the responsibility of regular review and updation of the roles and responsibilities of both the parties.

Übersetzt
Gefällt mir
Beitrag melden

3 Sicherheitsklauseln und Rechtsbehelfe enthalten

Ein IT-Beschaffungsvertrag sollte Sicherheitsklauseln enthalten, die die Verpflichtungen und Haftungen des Anbieters in Bezug auf Datensicherheit und die Verhinderung, Erkennung und Reaktion auf Sicherheitsverletzungen beschreiben. Sie sollten auch Sicherheitsmaßnahmen einbeziehen, in denen die Folgen und Strafen für Sicherheitsverletzungen angegeben sind, z. B. Kündigung, Entschädigung, Entschädigung oder Rechtsstreitigkeiten. Sie sollten auch in Betracht ziehen, Sicherheitsanreize oder Boni für das Übertreffen von Sicherheitserwartungen oder das Erreichen von Sicherheitszertifizierungen hinzuzufügen.

Fügen Sie Ihre Sichtweise hinzu

Juan Carlos O.

Helping Organizations to Develop their Innovation & Digital Transformation 🧠💻💡🎵 IT Corporate Director (CIO | CTO | CDO) @Apollo Group & Vice President @CIO’s LATAM 🇲🇽 🌎
Incorporate comprehensive security clauses and remedies in IT sourcing contracts. Specify security requirements, such as encryption standards and access controls. Define breach notification procedures, outlining timeframes and communication protocols. Clearly articulate remedies for non-compliance, including penalties or termination clauses. Establish a framework for addressing breaches, ensuring timely response, investigation, and resolution. Regularly review and update security clauses to align with evolving cyber threats and industry best practices.

Übersetzt
Gefällt mir
Beitrag melden

4 Überwachen und Verwalten der Sicherheitsleistung

Ein IT-Sourcing-Vertrag ist kein einmaliger Deal, sondern eine dynamische und fortlaufende Beziehung, die eine ständige Überwachung und Verwaltung erfordert. Sie sollten die Sicherheitsleistung des Anbieters anhand der vereinbarten Kriterien und Standards verfolgen und messen, indem Sie Tools wie Dashboards, Berichte und Audits verwenden. Sie sollten dem Anbieter auch Feedback und Anleitung geben und Sicherheitslücken oder -probleme umgehend beheben. Sie sollten den Vertrag auch regelmäßig überprüfen und aktualisieren, um Änderungen der Sicherheitsumgebung, der Anforderungen oder Erwartungen widerzuspiegeln.

Fügen Sie Ihre Sichtweise hinzu

Deepak Joshi

CISO, Cybersecurity, Information Security, GRC, AI / ML, MTech IIT Delhi, CISSP, CHFI, ISO 27001 LA, 27701 LA, 42001 LA
Monitoring and management are two distinct things and both require dedicated effort. For monitoring the security performance we need to identify the KPIs and carry out continuous monitoring, besides of course the measure of actual security incidents. For managing security performance you need to be continuously training and creating awareness among the employees. Regularly communicating the activities and reporting is an important aspect towards managing the security performance. Last but not the least for monitoring and managing security performance is perform and reform, i.e. do your tasks, learn and reform/improve.

Übersetzt
Gefällt mir
Beitrag melden

5 Planen von Sicherheitsvorfällen und -verstößen

Trotz aller Bemühungen kann es immer noch zu Sicherheitsvorfällen und -verstößen in IT-Beschaffungsverträgen kommen. Daher sollten Sie vorausschauend planen und sich auf die Worst-Case-Szenarien vorbereiten. Sie sollten über einen Notfallplan verfügen, in dem die Schritte und Maßnahmen beschrieben sind, die im Falle eines Sicherheitsvorfalls oder einer Sicherheitsverletzung zu ergreifen sind, z. B. die Benachrichtigung der Beteiligten, die Isolierung der betroffenen Systeme, die Wiederherstellung der Daten, die Untersuchung der Ursache und die Berichterstattung über das Ergebnis. Außerdem sollten Sie über einen Backup-Plan verfügen, der die Kontinuität und Verfügbarkeit Ihrer IT-Services oder -Produkte sicherstellt, z. B. den Wechsel zu einem anderen Anbieter oder die Nutzung interner Ressourcen.

Fügen Sie Ihre Sichtweise hinzu

Deepak Joshi

CISO, Cybersecurity, Information Security, GRC, AI / ML, MTech IIT Delhi, CISSP, CHFI, ISO 27001 LA, 27701 LA, 42001 LA
The plan and the subsequent response has to be based on a detailed risk assessment. The risk assessment form the base for the incident response plan which has to be implemented by an incident response team. Wat i can say with honesty that most of the incident response plans dont behave as desired owing to communication failures so you need to rehearse and preserve your plan. in addition to communication plan rehearsal, you also must practise incident response plan regularly. The responsibility of all stakeholders should be repeatedly rehearsed.

Übersetzt
Gefällt mir
Beitrag melden

6 Hier erfahren Sie, was Sie sonst noch beachten sollten

Dies ist ein Bereich, in dem Beispiele, Geschichten oder Erkenntnisse geteilt werden können, die in keinen der vorherigen Abschnitte passen. Was möchten Sie noch hinzufügen?

Fügen Sie Ihre Sichtweise hinzu

Mohamed Sadat

Group CISO | ISACA Cairo chapter VP | CCISO Exam committee | CTIA Scheme Committee | Public Speaker | Arab CISO of the year 2019-2020-2021-2022- 2023 | IDC CISO of the year 2020 | Packt Tech Advisory Board member
To manage cyber threats and data breaches in IT sourcing contracts: Include specific cybersecurity requirements and compliance standards. Define clear incident response protocols and responsibilities. Establish regular security audits and assessments. Incorporate liability clauses and penalties for security breaches. Ensure the right to terminate the contract in case of non-compliance with security requirements.

Übersetzt
Gefällt mir
Beitrag melden
Aditi Oberoi

Director & CEO at Brownfield | Advocate simplicity & good governance | Government & Public Sector transformations | Technology-led transformation | Strategic partnerships | Public policy | TOGAF 9 |
Protect IT sourcing contracts from cyber threats by adding strong security clauses, regularly checking for weaknesses, encrypting sensitive data, ensuring compliance with regulations, and having a plan ready to tackle breaches swiftly. It's like building a fortified castle – secure, compliant, and ready to defend against digital invaders.

Übersetzt
Gefällt mir
Beitrag melden

Informationstechnologie

+ Folgen

Diesen Artikel bewerten

Wir haben diesen Artikel mithilfe von KI erstellt. Wie finden Sie ihn?

Sehr gut Geht so

Diesen Artikel melden

Alle anzeigen

Wie können Sie Cyberbedrohungen und Datenschutzverletzungen in IT-Beschaffungsverträgen bewältigen?

1

2

3

4

5

6

1 Bewerten Sie die Sicherheitsfunktionen des Anbieters

2 Definieren Sie klare Sicherheitsrollen und -verantwortlichkeiten

3 Sicherheitsklauseln und Rechtsbehelfe enthalten

4 Überwachen und Verwalten der Sicherheitsleistung

5 Planen von Sicherheitsvorfällen und -verstößen

6 Hier erfahren Sie, was Sie sonst noch beachten sollten

Informationstechnologie

Diesen Artikel bewerten

Vielen Dank für Ihr Feedback

Weitere Artikel zu Informationstechnologie

Relevantere Lektüre

Wie können Sie Cyberbedrohungen und Datenschutzverletzungen in IT-Beschaffungsverträgen bewältigen?

1

2

3

4

5

6

1 Bewerten Sie die Sicherheitsfunktionen des Anbieters

2 Definieren Sie klare Sicherheitsrollen und -verantwortlichkeiten

3 Sicherheitsklauseln und Rechtsbehelfe enthalten

4 Überwachen und Verwalten der Sicherheitsleistung

5 Planen von Sicherheitsvorfällen und -verstößen

6 Hier erfahren Sie, was Sie sonst noch beachten sollten

Informationstechnologie

Diesen Artikel bewerten

Vielen Dank für Ihr Feedback

Andere Kenntnisse ansehen