Risicobeheer leveranciers is geen eenmalige controle

En het allerbelangrijkste: heeft de MSP inzicht in de beveiligingrisico's waaraan leveranciers de MSP en de eindklant blootstellen?

Jezelf leren kennen is de eerste stap die iedere organisatie moet zetten. Het inventariseren van hardware- en softwareactiva zijn essentiële onderdelen in de meeste door MSP's goedgekeurde cyberbeveiligingsraamwerken.

Het in kaart brengen van leveranciers zou hier standaard onderdeel van moeten zijn. Zonder goed zicht te hebben op de leveranciers waarmee wordt samengewerkt, is de kans groot dat MSP’s third-party risico's niet goed kunnen identificeren. Elke leverancier die binnenkomt of weggaat moet worden verantwoord, en naar behoren worden geïdentificeerd in een registratiesysteem op basis van het soort dienst en de relatie. De sleutel hier is het ontwikkelen van processen en ze onderhouden.

Beoordeel leveranciers op basis van mogelijke impact

Niet alle leveranciers zijn gelijk, en het kan moeilijk zijn om elke leverancier grondig door te lichten. De inspanningen moeten daarom gericht zijn op de leveranciers die, als het misgaat, de grootste schade aan de organisatie kunnen toebrengen. De vraag die MSP’s zichzelf moeten stellen is: als deze specifieke leverancier het slachtoffer wordt van een hack, wat is dan de impact op onze activiteiten? Aan de hand hiervan kunnen leveranciers worden beoordeeld. Bij bezorgdheid over beschikbaarheid, is het verstandig om stevige Service Level Agreements (SLA’s) op te nemen in het contract. Daarnaast moet de leverancier een adequaat responsplan hebben in het geval van een incident. Zorg ervoor dat de bedrijfscontinuïteitsplannen van de leverancier zijn gemaakt en getest om het onvoorziene te weerstaan, en niet alleen om aan een vereiste te voldoen. Als de zorgen vooral zijn gericht op data(verlies), zorg er dan voor dat de juiste toegangscontroles zijn ingebouwd bij producten van de leverancier. Controleer of er encryptienormen worden gehanteerd en zorg ervoor dat de logboeken van de audit trail worden gecontroleerd. Deze scenario's kunnen eindeloos doorgaan, maar het belangrijkste is dat de MSP geen gaten in de processen van leveranciers over het hoofd ziet. De beoordeling moet gebaseerd zijn op een goed begrip van wat de leverancier voor de MSP doet en hoe dit de cyber resilience beïnvloedt.

Third-party risicobeheer is geen eenmalige controle

Het afronden van een beveiligingsevaluatie betekent niet het einde van de risk management-processen van externe partijen. Het is belangrijk om de relaties met leveranciers in stand te houden. Belangrijke tekortkomingen moeten aan beide kanten worden gedocumenteerd en worden opgevolgd op basis van de vastgestelde doelstellingen. Bovendien, wanneer er belangrijke gedocumenteerde kwetsbaarheden zijn, moet de MSP álle leveranciers vragen of zij beïnvloed zijn, aangezien dit impact kan hebben op de volledige keten en dus de algehele cyber resilience.

De noodzaak aan security-processen houdt niet op bij de voordeur van een MSP. Er moet rekening worden gehouden met alle leveranciers en partners die data verwerken, systemen integreren, en op wie MSP’s vertrouwen bij hun dagelijkse activiteiten. Door leveranciers in kaart te brengen, te prioriteren, een evaluatieproces te ontwikkelen en samen te blijven werken aan gezamenlijke doelen, kunnen MSP’s ervoor zorgen dat niet alleen zijzelf, maar de gehele keten een vereist niveau behaalt op het gebied van paraatheid en beveiliging.