Het beveiligen van je organisatie is tegenwoordig net zo vanzelfsprekend als het beheren van je financiële administratie. Het is simpelweg noodzakelijk om maatregelen te nemen die ervoor zorgen dat jouw bedrijf veilig blijft. Bovendien kan een goed uitgevoerde beveiligingsstrategie je ook voordelen opleveren!
Beheersen van de security risico’s in de keten
In een tijdperk waarin digitale connectiviteit bedrijven steeds meer met elkaar verbindt, is het beveiligen van je eigen organisatie niet langer voldoende om jezelf te beschermen tegen incidenten die voortkomen uit cyberaanvallen. Helaas horen we steeds vaker over bedrijven die getroffen worden door cyberincidenten als gevolg van kwetsbaarheden die door hun leveranciers zijn geïntroduceerd. Het is duidelijk dat cybercriminelen de zwakste schakel opzoeken, en de digitale verbondenheid vergroot dit risico aanzienlijk, wat leidt tot zogenaamde supply chain-aanvallen.
De aandacht voor deze supply chain-aanvallen komt niet alleen voort uit technische overwegingen, maar ook vanuit wet- en regelgeving. Steeds meer bedrijven in kritieke sectoren worden verplicht om de risico’s in hun leveranciersketens te beheersen. Je kunt je er niet meer toe beperken je leveranciers simpelweg te verplichten beveiligingseisen te ondertekenen tijdens contractonderhandelingen. Het is essentieel dat organisaties daadwerkelijk controles uitvoeren op de naleving van deze beveiligingsmaatregelen, ook wel bekend als leveranciersbeoordeling of security audit.
Security audit van leveranciers
Maar wat houdt een dergelijke audit precies in? Een security audit van een leverancier betekent dat een onafhankelijke partij de beveiligingsmaatregelen van de leverancier toetst op effectieve implementatie. Daarnaast wordt bekeken of deze voldoen aan de contractuele eisen. Dit omvat een grondige beoordeling op locatie van de leverancier, bestaande uit meerdere interviews, documentenonderzoek en een beoordeling van de effectiviteit op basis van verzameld bewijs.
De scope van de audit wordt vooraf vastgesteld. Dit kan een deel van de geleverde diensten of beveiligingsmaatregelen omvatten of een beoordeling van de totale omgeving en contracteisen.
Om de risico’s van een leverancier goed te begrijpen, is het steeds gebruikelijker om als onderdeel van de audit ook een penetratietest uit te voeren. Op deze manier worden potentiële kwetsbaarheden duidelijk blootgelegd, waardoor de zekerheid over de effectiviteit van de genomen maatregelen wordt vergroot. Vooral in het licht van toenemende supply chain-aanvallen wordt een security audit, inclusief een penetratietest, sterk aanbevolen. Bij kritieke leveranciers kan zelfs gekozen worden voor een zogenaamde Red Teaming test, waarbij een onafhankelijke partij op gecontroleerde wijze de beveiligingsmaatregelen van een organisatie probeert te doorbreken om zwakke punten en kwetsbaarheden bloot te leggen.
De afspraken over het auditen van leveranciers dienen te worden opgenomen in de gezamenlijke overeenkomst. Hierbij moeten zaken worden vastgelegd als de frequentie van de audit, de aankondigingstermijn, de verschillende vormen van audit die worden toegepast (documentenonderzoek, interviews, pentesten, etc.) en de opvolgingsprocedures.
Vastleggen en opvolgen van audit bevindingen
De bevindingen van de audit worden vastgelegd in een rapport dat zowel met de leverancier als met de stakeholders van jouw organisatie wordt gedeeld. Het is essentieel dat de audit wordt uitgevoerd door een onafhankelijke en bekwame partij. Deze onafhankelijk partij kan een eigen interne auditafdeling zijn maar ook een ervaren extern bureau.
Na het ontvangen van het rapport is het belangrijk om de resultaten te bespreken met de leverancier. Als er verbeterpunten worden geïdentificeerd, moeten er afspraken worden gemaakt over de aanpak en de implementatie van deze punten binnen een acceptabele termijn. In het geval van ernstige tekortkomingen dient de leverancier deze op zeer korte termijn op te lossen, anders kan dit zelfs leiden tot contractbeëindiging. Tijdens periodieke voortgangsgesprekken is het van belang de vinger aan de pols te houden met betrekking tot de opvolging van de verbeterpunten. Het is cruciaal om continu alert te blijven op mogelijke bedreigingen binnen de leveranciersketen en om te zorgen voor een robuuste beveiligingsinfrastructuur om risico’s te minimaliseren.
Denk hierbij ook aan aanvullende maatregelen die jouw organisatie kan treffen om de risico’s vanuit de keten zo klein mogelijk te houden.
