Bijna helft van bedrijven lijdt onder verstoringen door securityproblemen in hun supplychain

Het aanpakken van het zogeheten third-party cybersecurity risk management (TPCRM) is echter geen makkelijke opgave. Hoofdonderzoeker Zachary Smith van Gartner legt uit dat het veel middelen kan kosten, dat het erg procesgericht is en dat het weinig lijkt op te leveren. Cybersecurityteams - en hun CISO's - hebben dan ook moeite met het opbouwen van weerbaarheid tegen verstoringen die voortkomen uit (beveiligings)problemen bij partijen in de supplychains van hun eigen organisaties.

Invloed uitoefenen

Een groot en praktisch probleem hierbij is ook de beperkte mate waarin securityteams invloed kunnen uitoefenen op de zakelijke beslissingen van de third parties waar hun organisaties mee werken en van afhankelijk zijn. Die zakelijke beslissingen betreffen uiteenlopende zaken: van bijvoorbeeld 'simpelweg' cybersecurity-aankopen tot meer strategische zaken zoals risk appetite. Dit heeft indirect invloed op het risico dat andere organisaties in toeleveringsketens dan lopen.

Gartner stelt dat effectieve TPCRM neerkomt op drie factoren. Is een organisatie in staat om succes te boeken met efficiënt resourcegebruik, goed risicobeheer en goede weerbaarheid, plus invloed op besluitvoering. Alle drie deze factoren hebben dus betrekking op de derde partijen, die met eventuele eigen problemen flinke impact kunnen hebben op de bedrijfsvoering van hun partner(s).

De meeste bedrijven hebben al moeite om effectief te zijn met twee van de drie genoemde factoren, merkt Gartner op. Slechts 6% van de organisaties is in staat om effectief te zijn met alle drie de TPCRM-factoren. Om deze slechte situatie te verbeteren, reikt het ICT-onderzoeksbureau vier stappen aan die securityleiders moeten nemen om hun cybersecurityrisico's effectiever te managen.

4 stappen voor verbetering

Ten eerste het regelmatig reviewen hoe effectief de third-party risico's worden gecommuniceerd aan de eigenaar van de relatie met die derde partij. De business moet zich immers goed bewust zijn van de securitysituatie en de mogelijk bedrijfsimpact daarvan.

Ten tweede is er het tracken van contractbesluiten die business owners kunnen helpen om hun risico-acceptatie te managen. Dit helpt securityteams en CISO's ook beter zicht te krijgen op business owners die veel en/of vaak securityrisico's nemen met derde partijen. Extra waakzaamheid kan dan tijdig worden ingezet of opgeschaald.

Ten derde is er het testen en controleren van noodplannen die derde partijen (zouden moeten) hebben. Dit gaat niet alleen om opgetekende procedures, maar ook om cyberoefeningen en het echt uitvoeren daarvan. Ten vierde is het het samenwerken met derde partijen die van kritiek belang zijn voor de eigen organisaties en de bedrijfsvoering daar. In samenwerking kunnen dan de practices voor security risk management worden verbeterd. De Nederlandse chipmachinemaker ASML doet al jaren aan zulke kennisdeling en securitycoöperatie.