De risico’s beperken in de samenwerking met derde partijen is een hele klus, maar is tegelijk ook essentieel. Er staat te veel op het spel om potentiële bedreigingen te negeren die een negatieve invloed kunnen hebben op de inkomsten en de reputatie van de eigen organisatie, en het vertrouwen van de klant. Bovendien riskeren bestuurders van Nederlandse bedrijven die hun IT niet op orde hebben vanaf dit jaar forse boetes, zo stipuleert de Corporate Governance Code.

De persaandacht die deze Corporate Governance Code recent kreeg, bracht de gevaren van niet-naleving nog eens extra onder de aandacht. Elke organisatie die geen rekening houdt met cyberbeveiligingsrisico’s in de toeleveringsketen brengt zichzelf in groot gevaar. Een bedrijf kan namelijk getroffen worden door incidenten die zich vrijwel overal in de keten voordoen. Daarom is het risicobeheer voor derden zo belangrijk geworden. Maar hoe doe je dat eigenlijk?

Het beheer van risico’s van derden omvat het identificeren en beperken van risico’s voor een organisatie van externe partners, waaronder leveranciers, verkopers, dienstverleners, consultants en aannemers. Als onderdeel van dit proces moeten organisaties niet alleen het risicoprofiel van hun directe partners kennen en begrijpen, maar ook van de bedrijven waarmee deze partners op hun beurt zakendoen.

In veel gevallen besteden externe leveranciers delen van hun activiteiten uit aan andere dienstverleners. De beveiligingsmaatregelen van elk van die bedrijven kunnen uiteindelijk gevolgen hebben voor iedere organisatie die met deze derde partij samenwerkt. Elke extra relatie met een derde partij vergroot dus het risico van een organisatie.

Het behoeft geen betoog dat risicobeheer van derden een uitdagende onderneming kan zijn, vooral voor ondernemingen met complexe leveringsketens. Toch is het noodzakelijk om de nodige voorzorgsmaatregelen te treffen om risico’s te verminderen of te elimineren. Er staat te veel op het spel om potentiële bedreigingen bij partners te negeren.

Laten we dit wat concreter maken. Veel bedrijven zijn gaan vertrouwen op uitbestede diensten voor salarisadministratie, IT-infrastructuur, webhosting, applicatieontwikkeling, enz. Als een externe leverancier zijn diensten niet levert door een storing van welke aard dan ook, kan dat aanzienlijke gevolgen hebben voor zijn klanten.

Bovendien kan de toegang van derden tot de gebouwen en IT-systemen van een organisatie een verhoogd risico met zich meebrengen. Als de klantgegevens van het bedrijf worden blootgesteld door een kwetsbaarheid in de beveiliging van een derde partij, is het bedrijf nog steeds aansprakelijk voor de schade die een aanval veroorzaakt. Onderzoek in de industrie heeft aangetoond dat een groot percentage bedrijven te maken heeft gehad met een inbreuk op de cyberbeveiliging vanwege zwakke plekken in hun toeleveringsketen of bij externe leveranciers. De laatste tijd zijn een aantal dergelijke gevallen ook uitgebreid in de pers gekomen. Reden te meer om ervoor te zorgen dat uw bedrijfsnaam uit de kolommen van de vakpers blijft.

Hoe beheers je het risico?

Om de risico’s van het samenwerken met derde partijen te verlagen is het essentieel dat organisaties iedere organisatie met wie zij samenwerken goed doorlichten. Dit helpt hen bij het identificeren en beoordelen van de risico’s die derden creëren, zodat zij met hen kunnen samenwerken om die risico’s te beheersen of veiligere alternatieven te vinden.

Om hun externe partners te beoordelen, moeten organisaties eerst een volledige inventarisatie maken van deze bedrijven. Het gaat dan onder andere om leveranciers en aannemers, aanbieders van IT-managementdiensten, softwareleveranciers, leveranciers van clouddiensten, uitzendbureaus, leveranciers van salarisdiensten, diensten voor customer loyalty, en accountants en belastingadviseurs, om er maar een paar te noemen. Het kan gaan om grote, wereldwijde organisaties, maar evengoed om individuele aannemers. Vergeet hierbij niet de bedrijven waaraan deze bedrijven weer diensten uitbesteden. Het maken van deze inventaris zal tijd kosten, maar het is cruciaal om het risicobeheer van derden te waarborgen.

Een onderdeel van het doorlichtingsproces is ook het identificeren en documenteren van de systemen, toepassingen en data waartoe elk van deze derde partijen toegang heeft. Omdat veel van deze partners toegang hebben tot zeer gevoelige data van een organisatie en deze kunnen verwerken, is het van vitaal belang dat zij aan de juiste beveiligingsnormen voldoen.

Het is ook belangrijk om derden individueel te evalueren om de kans op en de mogelijke gevolgen van datalekken en andere beveiligingsincidenten te bepalen. Vervolgens dienen deze partijen te worden ingedeeld op basis van het risiconiveau dat zij vormen. Op die manier kunnen beveiligingsteams hun inspanningen richten op de partijen met het hoogste risico.

Er zijn eigenlijk geen grenzen aan de potentiële tekortkomingen van partners op het gebied van beveiliging. Derden hebben wellicht geen aanvaardbaar niveau van zichtbaarheid op de endpoints die hun medewerkers gebruiken. Of zij hebben onvoldoende toegangscontrole georganiseerd om de bescherming van hun systemen en netwerken te waarborgen. Dat kan hen blootstellen aan tal van beveiligingsproblemen.

Een manier om de volwassenheid (maturity) ten aanzien van beveiliging van partners te beoordelen is elk van hen een vragenlijst te sturen om informatie te verzamelen over organisatiestructuur, bestaande cyberbeveiligingspraktijken, netwerken en andere digitale middelen waartoe zij toegang moeten hebben, en beveiligingsmaatregelen die zij nemen.

Op basis van de beoordeling van de antwoorden op deze vragen kunnen vervolgens maatregelen worden genomen. Denk aan het beperken van de toegang tot bepaalde databronnen of middelen, het verplichten van de partner om kwetsbaarheden aan te pakken of het uitvoeren van strengere beveiligingscontroles. Als een organisatie vaststelt dat de risico’s niet redelijkerwijs kunnen worden beperkt, moet zij overwegen de relatie te beëindigen.

Meer dan cyberveiligheid

Het evalueren van derden is niet beperkt tot cyberbeveiliging. Organisaties moeten er ook voor zorgen dat partners voldoen aan de wettelijke vereisten, omdat een gebrek aan controle door derden kan leiden tot gegevensverlies en boetes. Bovendien moeten bedrijven ervoor zorgen dat er goede operationele controles zijn van deze derde partijen.

Het is belangrijk om te beseffen dat risicobeheer van derden geen kwestie is van ‘set and forget’. Omdat het gedrag van derden en het bedreigingslandschap continu verandert, moeten organisaties hun partners regelmatig beoordelen. Ze kunnen hun monitoring continu en in-real-time uitvoeren door tools in te zetten, zoals platforms voor risicobeheer van leveranciers.

Het beoordelingsproces moet worden herhaald voor elke nieuwe externe partner die een organisatie inhuurt. Door voortdurend waakzaam te zijn, kunnen organisaties ervoor zorgen dat de externe bedrijven waarmee zij zakendoen zo weinig mogelijk risico’s opleveren.

Veel maar cruciaal werk

Risicobeheer van derden vergt veel inspanning, maar de potentiële voordelen zijn duidelijk. Het leidt tot een beter inzicht in de onderlinge samenhang tussen ketenpartijen en de potentiële risico’s.

Bovendien stelt due diligence leidinggevenden in staat beter geïnformeerde beslissingen te nemen over de organisaties waarmee zij zakendoen. Risico’s kunnen worden geïdentificeerd en beheerst. Risicobeheer van derden kan ook leiden tot een betere naleving van de regelgeving, omdat het een vereiste is van veel voorschriften. De Corporate Governance Code die bestuurders persoonlijk aansprakelijk stelt, is er daar maar één van.

Misschien wel het belangrijkste is dat het beheer van het risico van relaties met derden ertoe bijdraagt dat de IT-middelen van een organisatie beschermd blijven tegen allerlei bedreigingen en dat de toeleveringsketen efficiënt blijft functioneren.

Neem controle over het risicobeheer van derden. Leer hoe.