In een wereld waarin cyberdreigingen alleen maar toenemen, is één ding zeker: een organisatie is zo sterk als haar zwakste schakel. En die schakel bevindt zich vaak extern. Leveranciers en dienstverleners met toegang tot systemen, data en processen, vormen een directe bedreiging voor de digitale veiligheid.
Grip op beveiliging van de toeleveringsketen
Hoe digitaal volwassen een organisatie ook is, qua veiligheid is zij zo sterk als de zwakste schakel van de keten waar zij deel van uitmaakt. En die schakel bevindt zich vaak extern. Denk aan leveranciers en dienstverleners die toegang hebben tot systemen, data en processen, en zodoende een directe bedreiging kunnen vormen. Toch vertrouwen veel organisaties nog blind op juridische afspraken. Die handelwijze is niet langer houdbaar.
De illusie van juridische zekerheid
Op papier lijkt alles geregeld, maar in de praktijk is het hopen op het beste. Een contract met beveiligingsclausules is namelijk geen garantie voor digitale veiligheid. Het blijft immers gissen, wanneer u geen zicht heeft op de daadwerkelijke werking van maatregelen die leveranciers (zeggen te) nemen. En dat brengt risico’s met zich mee. Zeker nu wet- en regelgeving zoals de Cyberbeveiligingswet (Cbw) organisaties verplicht om ook hun toeleveringsketen te beveiligen.
Waarom leveranciers een groot risico vormen
Allereerst vanwege beperkt zicht op de hun cybersecuritypraktijken en hun complexe ketens met subleveranciers. En daarnaast vanwege onduidelijke of inconsistente naleving van afgesproken beveiligingsstandaarden. Bedenk dat elke extra partij in de keten het aanvalsoppervlak voor cybercriminelen vergroot. En dus het risico. Niet voor niets neemt de wettelijke druk toe om ketenrisico’s aantoonbaar te beheersen.
In drie stappen naar grip
Effectieve beveiliging van uw leveranciersketen is geen eenmalige actie, maar een continu proces van analyseren, prioriteren en controleren. Vertrouwen op juridische afspraken in contracten volstaat niet langer. Alleen daadwerkelijke monitoring en auditing gedurende de looptijd van contracten beschermen uw organisatie tegen de dreigingen van morgen.
1. Laat uw risico’s leidend zijn, niet de volwassenheid van uw leverancier
Een leverancier met een ISO-certificaat is niet per definitie veilig. Kijk daarom naar de impact die een incident bij die partij op uw organisatie kan hebben. En bepaal op basis hiervan het regime waaraan u uw leveranciers onderwerpt. Neemt u genoegen met een zelfassessment of ISO-certificaat of wilt u dat de leverancier via een onafhankelijke derde aantoont dat maatregelen daadwerkelijk zijn genomen? Uw risico en niet hún volwassenheid is bepalend. Altijd.
2. Onderzoek bestaande én nieuwe leveranciers
Breng alle leveranciers in kaart. Classificeer ze op basis van het risico dat ze vormen voor uw kernactiviteiten. Prioriteer, maar sluit niemand uit.
3. Maak slim gebruik van bestaande processen
Begin niet opnieuw, maar integreer de beveiliging van uw leveranciers in bestaande processen:
- Inkoop- en contractmanagement: stel duidelijke eisen en toets regelmatig. Hierbij geldt: een hoog risico leidt tot een zwaarder regime. Ja ook – of juist – bij die zo cruciale, unieke, maar niet zo volwassen leveranciers…
- Risicomanagement: voer voortdurend risicoanalyses uit en neem passende maatregelen. Doe dit intensiever bij de meest kritieke leveranciers.
- Incidentrespons: zorg voor een plan waarin ook leveranciers zijn meegenomen. Controleer de afgesproken reactietijden in de dienstverleningsovereenkomst of SLA. In hoeverre komen die overeen met uw eigen tijdpad voor bijvoorbeeld P1’s of major incidents?
Klaar om je keten echt veilig te maken?
Weten hoe jouw organisatie grip krijgt op leveranciersrisico’s? Neem dan contact met ons op voor een vrijblijvend adviesgesprek. Samen brengen we je keten in kaart en versterken we je digitale weerbaarheid. En voldoe je ook nog eens aan de vereisten uit de Cbw.