Sjoerd Marinussen – Business Consultant
Uw digitale weerbaarheid is over de as van leveranciersmanagement een belangrijk aandachtspunt. Omdat u de risico’s die ook buiten de deur liggen goed in kaart wil hebben. We zien in de media met regelmaat terug dat hackers succesvol inbreken bij (software) leveranciers. Op die manier komen ze ook bij uw bedrijfskritische gegevens. Alleen al afgelopen jaar zijn woningcorporaties, gemeentes en andere organisaties de dupe geworden van hackers die zich toegang hebben verschaft tot de systemen van hun softwareleverancier. Onwenselijk. Dat spreekt voor zich. Wat kunt u als organisatie doen om deze risico’s in kaart te brengen en zo goed mogelijk te beheersen? Goed leveranciersmanagement is één van de antwoorden. Onder goed leveranciersmanagement binnen de norm ISO27001 verstaan we de manier waarop afspraken met leveranciers van bepaalde software of tooling gemaakt zijn. Centraal hierin staan duidelijke afspraken over informatiebeveiliging en continuïteit. Welke stappen zijn hierin te nemen?
Wat kunt u in het kader van goed leveranciersmanagement doen? De eerste belangrijke stap is het in kaart brengen van uw leveranciers. Op basis daarvan kunt u prioriteiten stellen en keuzes maken waar de tijd en aandacht naar uit moet gaan.
Een aantal vragen en stappen om de lijst met leveranciers scherp te krijgen:
U ziet dat naast de gevoeligheid en hoeveelheid van de data, het ook goed is om na te gaan wat het belang van die data is voor de continuïteit van uw organisatie (business continuity). Heeft u een groot aantal leveranciers, dan is het verstandig te categoriseren en prioriteiten aan te brengen. Prioriteiten kunt u bepalen op basis van gevoeligheid van de data en mate van geheimhouding. Daarnaast is beschikbaarheid een belangrijk onderwerp. Wat gebeurt er als data ineens voor mogelijke langere tijd niet beschikbaar is?
Het grootste risico loopt uw organisatie wanneer u op een gewenst moment niet beschikt over de juiste informatie. Dit heeft te maken met beschikbaarheid van systemen, integriteit – onjuiste of verouderde gegevens – en vertrouwelijkheid – onbevoegden hebben toegang tot informatie.
Om deze risico’s te minimaliseren zijn goede afspraken met uw leveranciers belangrijk. Onderwerpen en vragen die daarbij aan de orde kunnen komen:
Daarnaast kunt u afspraken maken waarin u specifiekere (technische) eisen vastlegt. Hierbij kunt u in het kader van informatie denken aan:
Een tweede stap in het kader van goed leveranciersmanagement is het in kaart brengen van de verantwoordelijkheid. Wie is er verantwoordelijk voor welke (categorie) leveranciers? In de regel is de afdeling die het meest hinder ondervindt – van het niet of niet volledig – beschikbaar hebben van informatie ook vaak de afdeling die verantwoordelijk is voor de leverancier. De beste manier om dit vast te leggen is een persoonlijke verantwoordelijkheid te benoemen. Deze medewerker heeft een belangrijke rol bij het aanscherpen van de eisen en de beoordeling van de prestaties van de leverancier. Hij of zij heeft ook een rol in het bepalen van de verbeteracties en opvolging van mogelijke bevindingen. Het eigenaarschap van deze maatregelen kan ook gedelegeerd zijn aan een afdeling IT en/of inkoop.
Na het in kaart brengen van het eigenaarschap, is een logische vervolgstap de volledigheid, locatie en actualiteit van de leverancierscontracten te behandelen. Wat is in deze contracten en servicelevel agreements opgenomen over informatiebeveiliging? Is er een verwerkersovereenkomst nodig? Is deze actueel? In de praktijk zien we dat aan de hand van de antwoorden op bovenstaande vragen al de eerste verbeteracties in beeld komen. Inkoop of IT kunnen het voortouw nemen in het nemen van maatregelen als het gaat om het in orde maken van de contracten. De betreffende eigenaar is hier ook op inhoud bij betrokken. Wanneer uw organisatie een (Chief Information) Security Officer in dienst heeft, is ook hij of zij hierbij betrokken.
Dit kunt u vastleggen in uw inkoopbeleid of inkoopvoorwaarden. Richtlijnen waarin duidelijk staat omschreven wat u tenminste van uw leverancier verwacht op het gebied van informatiebeveiliging.
Tip: Integreer deze specifieke eisen op het gebied van informatiebeveiliging met de algemene/overige eisen die u als organisatie hanteert voor bestaande en nieuwe leveranciers.
Naast het inhoudelijk toetsen van de contracten, speelt ook het periodiek toetsen van rapportages samen met de leveranciers een rol. Een periodiek overleg kan op basis van rapportages uit de SLA’s gevoerd worden of omvat niet meer dan een rapportage over een bepaalde KPI.
Een meer ingrijpend voorbeeld is een leveranciersbeoordeling. Daarin komen onderstaande zaken aan de orde:
Er zijn verschillende manieren om een leveranciersbeoordeling te doen. Het opvragen van documentatie bijvoorbeeld. Het doen van een audit is het meest grondig. Vaak staat een leverancier hier niet positief tegenover. Het kost ze geld en tijd. Een ISO, NEN of ISAE-certificering is een belangrijke graadmeter. Dit betekent dat een onafhankelijk auditor die bij hen een audit heeft gedaan.
Als een leverancier een ISO 27001 certificering of NEN 7510 certificering heeft, geeft dat aan dat ze volgens de norm hun informatiebeveiliging op orde hebben. Aanvullend daarop is een toepasselijkheidsverklaring voor uw organisatie van belang. Hier wordt specifiek in benoemd welke onderdelen uit de betreffende norm wel of niet binnen de organisatie van toepassing zijn. Ook wordt een niet toepasselijk verklaring hierin gemotiveerd.
Om de in- en uitsluitingen in de verklaring van toepasselijkheid of het ISAE Rapport goed te kunnen beoordelen is vak- en materiekennis nodig. De (Chief Information) Security Officer is hier de meest aangewezen persoon voor. Het is ook mogelijk om een SO hiervoor in te schakelen. Dit vraagt natuurlijk om een investering. Die staat echter niet in verhouding tot de hoge kosten door een datalek of hack.
Uit een leveranciersbeoordeling komt doorgaans een actielijst. De actielijst komt tot stand door bevindingen te rangschikken naar meeste impact, grootste risico en kosten van de maatregelen. U kunt hier samen met u leverancier mee aan de slag gaan.
Een aantal risico’s rondom informatiebeveiliging en continuïteit liggen bij uw IT-leveranciers. Geef leveranciersmanagement en de relatie met uw leveranciers daarom voldoende aandacht. Het is belangrijk dit op orde te hebben. U legt op die manier een stevig fundament onder het veilig omgaan met uw informatie.
Blog geschreven door Sjoerd Marinussen, Business Consultant