Ketenrisico's - Hoe groei je verder in het beheersen van je ketenrisico’s?

Omgaan met ketenrisico’s is niet meer nieuw voor jou. Je weet waar ketenrisico’s jouw belangen kunnen raken, hebt overeenkomsten met leveranciers gesloten hoe deze te mitigeren en je monitort je Key Risk Indicators (KRI’s). Hoe groei je verder in het beheersen van je ketenrisico’s? Past deze omschrijving (nog) niet bij jouw organisatie? Check dan de basis van ketenrisico's en vind daar de stap die bij jouw organisatie past.

Leveranciersmanagement

Organisaties die al gevorderd zijn met het managen van haar ketenrisico’s hebben een gestructureerd leveranciersmanagementproces waarbij ketenrisico’s actief worden meegenomen. Niet alleen de IT-afdeling is betrokken bij dit proces, maar ook de inkoop en operatie zijn betrokken. Beleidskaders en werkwijzen worden ontwikkeld en afgestemd met leveranciers. Cybersecurity is een standaard onderdeel van aanbestedingen en inkoopprocessen. 

De volgende stap helpt je op weg:

• Richt leveranciersmanagement in waar risico’s rondom IT (en mogelijk OT) worden meegenomen.

Risicoanalyses

In deze volwassenheidsstap beoordeel je risico’s op systematische en periodieke wijze aan de hand van risicoanalyses waar leveranciers een grotere betrokkenheid in hebben. Je hebt niet alleen oog voor risico’s van de rechtstreekse leveranciers, maar ook voor risico’s van tweedegraads toeleveranciers en risico’s in soft- en hardware. Doordat je dit systematisch beoordeeld, heb je zicht op passende hersteldoelen. 

Verdere stappen om te nemen:

• Betrek leveranciers bij risicoanalyses
• Identificeer risico’s van toeleveranciers en risico’s in hard- en software
• Formuleer passende herstelbehoeften.

Til je risicobehandeling naar een hoger plan

Het behandelen van ketenrisico’s gebeurt steeds systematischer en wordt minder vrijblijvend. Dit doe je door gebruik te maken van risicomanagementraamwerken zoals de NIST SP800-161r1. Afspraken rondom cybersecurity leg je vast in SLA’s, clausules of overeenkomsten. Je stuurt daarmee op naleving van standaarden zoals de ISO27001 en ISO27036. Er is aandacht voor exit-strategieën, back-ups en versleuteling van data. Toegangsbeheer en authenticatie (zoals Identity & Access Management) pas je toe om het aanvalsoppervlak via leveranciers te verkleinen.

Stappen om de risicobehandeling naar een hoger plan te tillen:

• Gebruik en integreer frameworks gericht op de behandeling van ketenrisico’s zoals de NIST SP800-161r1
• Stuur op toepassing en naleving van standaarden zoals ISO27001 en ISO27036 binnen de eigen organisatie en leveranciers
• Ontwikkel exit-strategieën en identificeer mogelijke fallbackopties (multi-vendor strategie)
• Heb back-upstrategieën en businesscontinuitymanagementprocessen

Monitoring van signalen en afwijkingen

Deze organisaties monitoren actief signalen en afwijkingen, maken gebruik van dashboards en integreren monitoring in het ISMS. Via de te checken onderdelen van jouw ISMS houd je grip op de genomen maatregelen en continu zicht of je jouw risico’s nog op de beste manier aan het beheren bent. In deze fase hou je je ook bezig met het toetsen van het naleven van securitystandaarden.

• Monitor actief de naleving van de door de organisatie gebruikte standaarden.
• Uitvoeren van audits
• De checklist van jouw ISMS gebruik je actief en op continue basis.