Supply chain en ecosysteemrisico’s succesvol beheren anno 2021

Het inventariseren van dergelijke risico’s en processen zou dan ook geen eenmalige oefening moeten zijn, maar een continu proces. Als organisaties focussen op de volgende vier gebieden, kunnen zij de supply chain-risico’s zo klein mogelijk houden:

1. Ecosysteem architectuur

Organisaties bevinden zich steeds vaker in een ecosysteemarchitectuur waarin zij gebruik maken van meerdere producten en diensten van buiten de organisatie, bijvoorbeeld cloudservices. Deze verplaatsing naar de cloud heeft veel voordelen, maar er zijn echter ook extra’s risico’s - bijvoorbeeld van derde partijen - die overwogen moeten worden, zoals uitgebreide aanvalsvectoren en het inherente vertrouwen dat moet worden gesteld in de software supply chain.

2. Financieel risico

Het risico op financiële problemen bij derde partijen gaat verder dan zorgen over de potentiële disruptie van werkzaamheden en een mogelijke impact voor de organisatie zelf en zijn klanten. Het kan ook betekenen dat partijen bezuinigen op technologie, wat de organisatie bloot kan stellen aan security-risico’s. De uitdaging is het beoordelen van de financiële gezondheid van een leverancier of partner. Vormt de cash flow van een leverancier risico voor uw vermogen om te werken?

3. Technologie- en cyberhygiëne

Het verwaarlozen van technologische hygiëne kan leiden tot een digitale infectie. In een wereld waar ieders persoonlijke endpoint (zowel corporate als persoonlijke apparaten) in de frontlinie van cybersecurity staat, is het essentieel om deze goed te managen. Leveranciers moeten een nauwkeurige inventaris hebben van hun IT-assets, zij moeten weten wat hun patch-status is en welke softwareversies geïnstalleerd zijn.

4. Software/virtuele supply chain

Iets wat organisaties zich steeds beter realiseren is hoe kwetsbaar zij zijn voor digitale supply chain risico’s. Dit betekent dat digitale processen, zoals de software-ontwikkelings-lifecycle van leveranciers een directe impact kan hebben op de organisatie. Zo kunnen complexe, geautomatiseerde DevOps-setups of ongepatchte kwetsbaarheden ervoor zorgen dat er gaten ontstaan die criminelen kunnen misbruiken.

Het is niet langer genoeg om je zorgen te maken over de eigen interne security. Men moet ook vertrouwen hebben in de end-to-end beveiliging van de ecosysteemarchitectuur. Digitale business betekent dat organisaties zich snel bewegen. Dit mag echter niet ten koste gaan van security.

Lastige vragen

Het is cruciaal dat organisaties gaan nadenken over hun nieuwe ecosysteemarchitectuur en hoe zij deze kunnen beschermen. Dit betekent ook het stellen van een aantal lastige vragen aan leveranciers, zoals ‘Waar heb je aanpassingen gedaan op het gebied van technologie?’ en ‘Welke impact heeft dit op security?’ Bovenal versterkt het de behoefte aan goed IT-bestuur en security-hygiëne binnen het ecosysteem.