Nieuws & blogs

Security Spotlight: Leveranciers onder de loep – houd grip op je data

Afgelopen maand is Awaretrain geslaagd voor de hercertificering van ISO27001:2022. Hoera! Ik ben erg trots op deze mooie prestatie van ons team en de blijvende belofte van Awaretrain om informatiebeveiliging op nummer 1 te hebben staan. Een belangrijk onderdeel van hercertificering of keuring van ISO27001 is leveranciersbeheer en -controle.

Natuurlijk is het belangrijk om je eigen informatiebeveiliging op orde te hebben, maar stiltaan bij de informatiebeveiliging van je leveranciers is net zo essentieel. Helaas is dit een onderdeel wat over het algemeen weinig aandacht krijgt in organisaties. Daarom wil ik het belang van goed leveranciersmanagement benadrukken.

14 nov Security Spotlight: Leveranciers onder de loep – houd grip op je data

Laat ik maar vast met de deur in huis vallen: ga niet zomaar zelfstandig met elke willekeurige tooling aan de slag. Waarom? Stel een van je collega’s wilt een groot bestand versturen en gebruikt daarvoor een tooling die dit mogelijk maakt. Wat gebeurt er dan met dit document? Waar wordt dit document opgeslagen? Blijf jij wel eigenaar van dit document? Zomaar wat vragen waar menig collega niet bij stilstaat, maar die wel belangrijk zijn voor de informatieveiligheid. Als het antwoord op al die vragen namelijk ‘nee’ of ‘ik weet het niet’ is, voldoe je niet aan de regelgevingen en ontstaat er shadow IT. Je collega wilt (waarschijnlijk) met de beste intentie een tooling gebruiken om efficiënter te werken, maar doet dit zonder dat de IT-afdeling daarvan op de hoogte is. Zo loopt je bedrijfscontinuïteit behoorlijk wat risico.

Ik gebruik zelf bijvoorbeeld een populaire clouddienst om bladmuziek voor mijn muziekvereniging online te delen. Voor mij is het niet heel spannend wat daar dan verder mee gebeurt. Maar wanneer je een tooling zakelijk gaat gebruiken, wil je niet dat jouw gegevens op straat belanden. Met goed leveranciersmanagement beperk je die risico’s.

Het begint met het selecteren van de juiste leverancier. Hierbij is het belangrijk om na te gaan of de leverancier wel past bij de doelen van je organisatie. Stel een aantal eisen waaraan de leverancier moet voldoen. Als uitgangspunt kan je bijvoorbeeld de BIV-classificatie nemen: beschikbaarheid, integriteit en vertrouwelijkheid. Wees daarin natuurlijk wel redelijk met hetgeen wat ook daadwerkelijk haalbaar is.

Wanneer je een goede match hebt gevonden, wil je duidelijke afspraken maken en deze contractueel vastleggen. De ene leverancier is de andere niet, dus pas de afspraken aan per leverancier. Als je een kledingwinkel hebt, wil je strengere afspraken maken met de partij die jouw personeelsdossier beheert dan met de leverancier van je kleding.

Een veelvoorkomend misverstand dat ik in de praktijk vaak terugzie, is dat organisaties denken dat leveranciers volledig zelf verantwoordelijk zijn voor een veilige opslag en verwerking van gegevens. Het tegendeel is waar. Als organisatie ben jij altijd eindverantwoordelijke voor de beveiliging van data, ongeacht waar deze zich fysiek bevindt. Dit betekent dat je als organisatie proactief moet zorgen voor een veilige omgang met gegevens.

Intern kan je dit proces versterken door afdelingen of personen verantwoordelijk te maken voor het naleven van de gemaakte afspraken met leveranciers. Betrek je collega’s in informatiebeveiliging en informeer ze over de gevaren van werken met shadow-IT. Heldere communicatie is essentieel: zorg ervoor dat je collega’s weten wie ze kunnen benaderen voor dit soort zaken en welke stappen zij moeten nemen bij het gebruiken van nieuwe tools.

Goed leveranciersmanagement is niet alleen van belang voor je informatiebeveiliging, maar is ook een verplicht onderdeel van de ISO27001-norm. Daarnaast eist de NIS2-wetgeving ook dat organisaties zicht houden op het beveiligingsniveau van je leveranciers. Kortom, genoeg reden om eens een keer in de materie te duiken en je leveranciers onder de loep te nemen.

 

 

Foto van Dennie Spreeuwenberg, CEO van Awaretrain en al 20 jaar security awareness expert

Dennie Spreeuwenberg

Dennie Spreeuwenberg, CEO van Awaretrain, is sinds 2004 een expert op het gebied van security awareness. Met ruim 20 jaar ervaring is hij gepassioneerd over informatiebeveiliging en deelt hij graag zijn kennis en inzichten over de laatste trends en ontwikkelingen in de branche.

LinkedIn

 

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Volg ons!

Verder lezen

Bekijk ook onze andere blogs en nieuwsartikelen.

Collega's weerbaar maken tegen informatiebeveiligingsrisico's 05 dec
Van zwakste schakel naar sterkste schakel in informatiebeveiliging: zo maak je je collega’s weerbaar Lees meer
Black Friday kortingen oplichting 27 nov
Te goed om waar te zijn? 7 tips om oplichting rondom Black Friday kortingen te vermijden Lees meer
Grootste misverstanden in informatiebeveiliging 02 dec
De 10 grootste misverstanden in informatiebeveiliging Lees meer
Bekijk alle blogs