Effectief beheersen van ketenrisico's
Door toenemende afhankelijkheden van leveranciers, partners en externe dienstverleners verschuift een aanzienlijk deel van je risico’s buiten de directe controle van de eigen organisatie. Bijvoorbeeld door een verstoring bij je cloudprovider heb je geen toegang meer tot bedrijfsbestanden. Data die opgeslagen waren bij een derde partij zijn gelekt. Een kwetsbaarheid in een library van door jou gebruikte software veroorzaakt hoge stress.
Het zijn deze situaties waar het effectief beheersen van ketenrisico’s het verschil kunnen maken. Dat vereist een gestructureerde aanpak, passend bij het volwassenheidsniveau van jouw organisatie. Wij bieden je de helpende hand over ketenrisico’s.
Welke stap past het beste bij mijn situatie?
Aan de slag gaan met ketenrisico’s is niet iets wat je ineens in de vingers hebt. Dat moet groeien. We beschrijven de stappen die jij kunt zetten om te groeien in het beheersen van ketenrisico’s aan de hand van de routekaart risicomanagement. Welke kennis, processen en maatregelen heb jij nodig om ketenrisico’s te integreren in je risicomanagement? We doen dat stapsgewijs in vier stappen: first steps, next steps, groeien en in control blijven. Kies hieronder de stap die het beste bij jou past en ga aan de slag met de ketenrisico’s in jouw organisatie.
1. First steps
Je weet dat je iets met de keten moet doen. Maar waar begin je? Het zetten van de eerste stappen kan ingewikkeld zijn want hoe krijg je grip op de risico’s van een ander? Het begint bij het weten waar ketenrisico’s zich in jouw organisatie bevinden en op welke wijze die een bedreiging kunnen vormen voor jouw bedrijfsvoering.
2. Next steps
De basis is gelegd. Je hebt een eerste indruk van de ketenrisico’s en al eerste stappen gezet tot het mitigeren van deze risico’s. Naarmate je organisatie groeit, meer afhankelijkheden kent, of in een complexere omgeving opereert, is het van belang om het mitigeren van ketenrisico’s verder te optimaliseren. We gaan hier in op welke vervolgstappen jij kunt zetten om meer grip te krijgen op de ketenrisico’s in jouw organisatie.
3. Groeien
Omgaan met ketenrisico’s is niet meer nieuw voor jou. Je weet waar ketenrisico’s jouw belangen kunnen raken, hebt overeenkomsten met leveranciers gesloten hoe deze te mitigeren en je monitort je Key Risk Indicators (KRI’s).
4. In control blijven
Het managen van ketenrisico’s is in jouw organisatie al professioneel ingericht. Met leveranciersmanagement krijg je grip op afhankelijkheden tussen jou en de leverancier. Je weet ook dat ketenrisico’s verder gaan dan het managen van je rechtstreekse leveranciers, ook toeleveranciers komen in beeld. Ketenrisico’s zijn complex want afhankelijkheden in soft- en hardware vormen mogelijk een bedreiging voor jouw belangen. Daarom wil jij in control blijven.
Definities
Leveranciersrisico’s, supplychainrisico’s, toeleveranciers. Het zijn termen die veelvuldig naar voren komen in het werkveld van cybersecurity. Het is daarom goed stil te staan bij wat we er precies mee bedoelen, om zo verwarring te voorkomen. Wij hanteren de volgende definities:
- Definitie: risico’s die voortkomen uit de samenwerking met directe externe partijen die producten of diensten leveren aan een organisatie.
- Voorbeeld: IT-dienstverleners, cloudproviders, softwareleveranciers of consultants. Deze risico’s ontstaan door onvoldoende beveiligingsmaatregelen bij de leverancier, waardoor bijvoorbeeld ongeautoriseerde toegang of verstoringen in dienstverlening mogelijk worden.
- Definitie: alle risico’s die voortkomen uit de gehele toeleveringsketen. Dit gaat verder dan directe leveranciers en betreft ook onderaannemers, derde partijen en zelfs vierde partijen die indirect verbonden zijn met jouw organisatie.
- Voorbeeld: het gaat hier om digitale afhankelijkheden binnen een keten van leveranciers, zoals malware in softwarecomponenten, aanvallen op open-sourcelibraries of kwetsbaarheden bij managed service providers.
- Definitie: de combinatie van leveranciersrisico’s en supplychainrisico’s. Het verwijst naar de totale set aan risico’s die ontstaat door afhankelijkheid van externe partijen binnen een netwerk van samenwerking.
- Voorbeeld: het omvat niet alleen de digitale risico’s binnen de supply chain, maar ook fysieke, organisatorische en menselijke factoren die de continuïteit van een organisatie kunnen bedreigen.
- Definitie: het systematisch beheren, beoordelen en controleren van de risico’s die voortkomen uit relaties met externe partijen (leveranciers, dienstverleners, partners) die toegang hebben tot infrastructuur, systemen of data van de eigen organisatie.
- Voorbeeld: een organisatie toetst periodiek of een leverancier zich houdt aan vooraf bepaalde eisen voor informatiebeveiliging en compliancy.
Hoewel de termen overlappen, ligt het verschil vooral in de schaal en complexiteit van de risico’s. Leveranciersrisico’s zijn vaak het meest tastbaar en direct te beïnvloeden, terwijl supply chain en met name ketenrisico’s vragen om bredere governance, monitoring en samenwerking binnen het ecosysteem. Wij hanteren de term ketenrisico’s. Dit doen we omdat deze term het meest alomvattend is als we spreken over risicomanagement en digitale weerbaarheid.
Wees je er verder van bewust dat het beheersen van ketenrisico’s een gezamenlijke inspanning vraagt. Niet alleen securitypersoneel, ook - en misschien wel vooral - inkoop en operationele afdelingen hebben een belangrijke rol.