Third Party Risk Management (TPRM) is niet langer slechts een jaarlijkse checklist; het is een essentieel dagelijks onderdeel geworden in de moderne wereld waarin we allemaal met elkaar verbonden zijn. Maar waarom is er nu zo’n focus op het beheren van risico’s in onze toeleveringsketens? Het antwoord ligt in de groeiende digitalisering van informatie, het gebruik van API’s om organisaties met elkaar te verbinden en de opkomst van cyberaanvallen via verbindingen met leveranciers, klanten en partners; dit noemen we supply chain-aanvallen, waarbij een aanval op één systeem direct gevolgen heeft voor alle verbonden systemen.
Groeiende afhankelijkheid van IT leidt tot grotere supply chain risks
Daarnaast zijn organisaties steeds afhankelijker geworden van IT-systemen die worden beheerd door externe leveranciers, vooral op het gebied van cloud- en hostingdiensten. Het niet beschikbaar zijn van deze diensten brengt aanzienlijke risico’s met zich mee voor je organisatie. Bovendien groeit de aandacht van wet- en regelgeving voor risico’s met betrekking tot leveranciersmanagement, zoals te zien is in de aankomende DORA-wetgeving, die strenge eisen zal opleggen met betrekking tot het beheer van de risico’s van derde partijen.
Dus, wat betekent dit voor jouw organisatie en hoe kun je controle krijgen over risico’s met betrekking tot leveranciers? Wat moet je in de basis regelen?
Risicobeoordeling
De reis naar risicobeheer met betrekking tot derde partijen begint met het beoordelen van de potentiële risico’s die een leverancier in jouw (IT) omgeving met zich meebrengt. Voor nieuwe leveranciers is het verstandig om tijdens het selectieproces een risicobeoordeling uit te voeren, waarvan de resultaten van invloed zijn op de uiteindelijke keuze. Voor bestaande leveranciers zijn retroactieve risicobeoordelingen essentieel. Op basis van deze beoordelingen kun je bepalen welke maatregelen nodig zijn om de geassocieerde risico’s te minimaliseren. Het classificeren van leveranciers (bijvoorbeeld als laag, gemiddeld, hoog of kritiek) op basis van risicobeoordelingen helpt bij het effectief afstemmen van de beheersmaatregelen. Bij een risicobeoordeling kun je denken aan factoren zoals de gegevens die door het IT-systeem van de leverancier stromen, de beschikbaarheidseisen voor jouw bedrijfsprocessen en de mate waarin jouw organisatie afhankelijk is van de nauwkeurigheid van gegevens in deze systemen. Het is essentieel op te merken dat een risicobeoordeling van een leverancier geen eenmalige inspanning mag zijn, maar eerder een periodieke, aanpasbare inspanning op basis van dienstveranderingen, interne wijzigingen of veranderingen in de algehele dreigingsomgeving.
Register
Vervolgens moet je een uitgebreid register bijhouden van al je leveranciers. In dit register moeten details zoals het type dienst, een beknopte servicebeschrijving, contactgegevens van de leverancier, de contracteigenaar binnen je organisatie en de risicoclassificatie van de leverancier worden opgenomen. Dit register dient niet alleen als handig hulpmiddel voor het plannen van leveranciersmonitoring, maar is ook noodzakelijk voor het delen van deze informatie met regelgevende instanties, zoals voorgeschreven door aankomende DORA-wetgeving.
Contracten
In leverancierscontracten is het essentieel om overeenkomsten op te nemen met betrekking tot vereiste beveiligingsmaatregelen. Hoewel het eenvoudig is om deze bepalingen op te nemen in nieuwe contracten, moeten bestaande contracten mogelijk worden gewijzigd. Ga tijdig in gesprek met je leveranciers om een actieplan te bespreken, en houd rekening met mogelijke extra kosten in verband met het versterken van beveiligingseisen. Naast het specificeren van de vereiste beveiligingsmaatregelen in contracten, is het essentieel om te beschrijven hoe de evaluatie van deze maatregelen zal worden uitgevoerd en wat de gevolgen zijn als de afspraken niet worden nagekomen. Een aanbevolen clausule om op te nemen is het “recht om te auditen”, waarover later in dit artikel meer wordt besproken.
Leveranciersbeoordelingen
Zodra de diensten zijn geleverd, is het cruciaal om periodiek de prestaties van je leveranciers te beoordelen. Vaak zijn er al SLA (Service Level Agreement) -gesprekken binnen organisaties, waardoor het eenvoudig is om de evaluatie van beveiligingsmaatregelen in deze gesprekken toe te voegen. Tijdens deze evaluaties moet je de resultaten documenteren en beoordelen of de gestelde eisen nog steeds voldoende zijn of moeten worden uitgebreid op basis van nieuwe inzichten. De frequentie van leveranciersbeoordeling is afhankelijk van de classificatie van de leverancier, waarbij kritieke leveranciers vaker moeten worden beoordeeld. Het is essentieel om ervoor te zorgen dat de juiste personen tijdens deze evaluaties aan tafel zitten, met name met betrekking tot beveiligingsmaatregelen. Veiligheidsfunctionarissen moeten actief deelnemen aan discussies over aspecten met betrekking tot beveiliging.
Keten Tests
Binnen je organisatie is het gebruikelijk om plannen te hebben voor bedrijfscontinuïteit en crisisbeheer. Gezien de toenemende afhankelijkheid van derde partijen voor IT, wordt het steeds belangrijker om deze partijen te betrekken bij Business Continuity Management (BCM) en herstelplanning. Voor kritieke leveranciers verwachten regelgevende instanties zelfs dat jouw organisatie BCM- en hersteltests binnen de toeleveringsketen uitvoert. Hiermee waarborg je dat je organisatie operationeel blijft of snel herstelt, ongeacht of de oorzaak van een storing bij jouw organisatie of bij je leverancier ligt. Afspraken over ketentests kunnen worden vastgelegd in het contract met de leverancier. De frequentie en de reikwijdte van dergelijke tests zijn weer afhankelijk van de risico’s die samenhangen met de betreffende leverancier. Aankomende wet- en regelgeving vereist zelfs dat je nadenkt over hoe de leveranciers van jouw leveranciers invloed hebben op de risico’s voor jouw organisatie.
Leveranciersaudits
In de contracten met leveranciers worden afspraken gemaakt over de eisen met betrekking tot beveiliging. Deze worden vervolgens periodiek beoordeeld tijdens de leveranciersbeoordelingen.
Een stap verder is het daadwerkelijk (laten) auditen van de geïmplementeerde maatregelen bij jouw leverancier. Er kan een jarenkalender worden opgesteld voor de audit van leveranciers of deze kan worden ingepland op basis van incidenten die zich hebben voorgedaan in de voorafgaande periode.
Een audit van jouw leverancier zorgt ervoor dat de externe partij die essentiële producten, diensten of toegang tot gevoelige informatie aan jouw organisatie levert, voldoet aan de vereiste beveiligingsnormen. In zo’n audit wordt meetbaar gemaakt in hoeverre de gemaakte beveiligingseisen daadwerkelijk effectief zijn geïmplementeerd. Voor kritieke leveranciers is dit sterk aan te bevelen. Het auditen van je leveranciers biedt jou en je belanghebbenden de zekerheid die nodig is.
Verantwoordelijkheden
Tot slot is het belangrijk om binnen jouw organisatie duidelijke afspraken te maken over de taken en verantwoordelijkheden bij het beheer van leveranciers. Verschillende functies spelen een rol bij leveranciersbeheer. Er moet altijd één eigenaar van deze leverancier zijn, idealiter de persoon uit de business die gebruikmaakt van de diensten van de leverancier. Deze persoon voert de regie over het beheer van de leverancier. Dat wil echter niet zeggen dat deze persoon ook verstand moet hebben van alle facetten die hierbij komen kijken. Denk bijvoorbeeld aan de juridische kant van het contract met de leverancier, de SLA-gesprekken en het beoordelen van de beveiligingseisen. Je hebt al snel een legal & compliance officer en een security officer nodig. Maak goede afspraken wie waar verantwoordelijk voor is en op welk moment welke acties van de verschillende rollen worden verwacht. Zorg ervoor dat bijvoorbeeld iedereen aan tafel zit bij de contractonderhandelingen of bij de leveranciersevaluaties. Leg de afspraken hoe dan ook goed vast en informeer elkaar over veranderingen en voortgang.
In conclusie, het effectief beheren van risico’s met betrekking tot derde partijen is cruciaal in onze onderling verbonden wereld. Met een gestructureerde aanpak die risicobeoordeling, registratieonderhoud, contractuele overeenkomsten, leveranciersbeoordelingen, ketentests, leveranciersauditing en duidelijk gedefinieerde verantwoordelijkheden omvat, kan jouw organisatie met vertrouwen en veerkracht het complexe landschap van derde partijen beheren, waardoor bedrijfscontinuïteit en naleving van evoluerende voorschriften worden gegarandeerd.