Ketenrisico's - first steps

Je weet dat ketenrisico’s ook op jou van toepassing zijn. Maar waar begin je? Het zetten van de eerste stappen kan ingewikkeld zijn want hoe krijg je grip op de risico’s van een ander? Het begint bij het weten waar ketenrisico’s zich in jouw organisatie bevinden en op welke wijze die een bedreiging kunnen vormen voor jouw bedrijfsvoering. Past deze omschrijving (nog) niet bij jouw organisatie? Check dan de basis van ketenrisico's en vind daar de stap die bij jouw organisatie past. 

Creëer randvoorwaarden

Organisaties die starten met het beheersen van ketenrisico’s moeten eerst inzicht krijgen in de risico’s die zij lopen. Wat zijn de belangrijkste processen en systemen? Welke leveranciers spelen een rol hierin? Door als IT-verantwoordelijke/CISO het gesprek aan te gaan met de verschillende afdelingen binnen jouw organisatie krijg je inzicht in de ketenrisico’s. Essentieel is dat de relevante onderdelen van de organisatie meegenomen worden in deze stap en zich bewust worden van de ketenrisico´s. In vervolgfases heb jij de andere afdelingen, zoals de Inkoopafdeling en operatie, nodig. Betrek hen daarom vanaf het eerste moment dat je aan de slag gaat met ketenrisico’s. 

Neem daarom de volgende eerste stappen:

• Creëer bewustzijn ten aanzien van ketenrisico’s in diverse afdelingen van de organisatie.
• Krijg zicht op kritische belangen, processen, producten en/of diensten waar ketenrisico’s een rol kunnen spelen                                       

Het beoordelen van risico's

Naast het inventariseren van risico’s en weten welke leveranciers producten of diensten aan jou leveren, is het van belang deze ook te kunnen duiden. Een tweede stap is daarom het beoordelen van deze risico’s. Je wilt  een overzicht hebben van risico’s die samenhangen met het kiezen van specifieke leveranciers. Eerste stappen om te zetten:

• Inventariseer je leveranciers en partners die producten of diensten leveren. Maak gebruik van wat er al is. De inkoopafdeling heeft vaak een overzicht van alle leveranciers.
• Voer een risicoanalyse uit waar specifiek aandacht is voor risico’s van leveranciers.

Aan de slag met de ketenrisico's

Dankzij jouw risicobeoordeling heb je houvast om zicht te krijgen waar ketenrisico’s kunnen optreden. Bekijk de bestaande afspraken met jouw leveranciers daarom opnieuw. Mogelijke aandachtspunten zijn afspraken over beveiligingsmaatregelen, wat te doen als er sprake is van uitval en dergelijke. Risico´s die voortkomen uit je leverancier kun je ook beperken door zelf maatregelen te nemen in jouw organisatie, zoals extra monitoring of beperken van toegang.

 Eerste stappen om ketenrisico’s te behandelen:

• Ga periodiek het gesprek aan met jouw leveranciers.
• Herzie waar nodig de afspraken met leveranciers waar ketenrisico’s kunnen optreden. Heb daarin aandacht voor de basisbeveiligingsmaatregelen en verantwoordelijkheden.
• Maak regelmatig back-ups van bedrijfskritische data die door ketenrisico’s getroffen kunnen worden.
• Breng de eigen basisbeveiliging in kaart en tref maatregelen waar nodig. 

Houd grip op jouw ketenrisico's

Na de vorige stappen heb je grip gekregen op jouw ketenrisico’s en nu is het zaak om grip te behouden. Als organisatie sta je niet stil en kan het zijn dat er nieuwe contracten worden gesloten met leveranciers waardoor er nieuwe afhankelijkheden ontstaan. Ook kan er in jouw IT- of personele organisatie iets wijzigen. Hou dat bij en neem de volgende eerste stappen:

• Controleer periodiek of jouw leveranciers basisverplichtingen en basisafspraken zoals overeengekomen nakomen. Denk aan het implementeren van basisbeveiligingsmaatregelen.
• Bekijk of wijzigingen in jouw personeelsbestand of in jouw IT-landschap invloed hebben op ketenrisico’s. Denk aan een mogelijk vertrek van jouw leveranciersmanager, waardoor cruciale kennis en zakenrelaties verloren kunnen gaan.