Ketenbeveiliging Fase 1 - Voorbereiding

Uit gesprekken met CISO's, ISO's en inkoopmanagers van bij het Digital Trust Center aangesloten organisaties, komen de volgende tips en adviezen:

“Het is verleidelijk om meteen naar de keten te gaan kijken, maar focus eerst op je eigen organisatie”

1.1 Breng de belangrijkste zaken in kaart

Een belangrijk actiepunt is om te identificeren wat je in huis hebt en wat de kwetsbaarheden zijn binnen jouw bedrijf. Dit doe je door het in kaart brengen van de belangrijkste processen, applicaties en datastromen én met het uitvoeren van een risicoanalyse.

1.2 Voor een risicoanalyse uit

Dit is een essentiële eerste stap voor het verkrijgen van de nodige inzichten. Uit een risicoanalyse (actueel risico) komt naar voren welke risico's het zwaarst wegen en waar beveiligingsmaatregelen het hardst nodig zijn. Breng ook de kritieke bijdrage van toeleveranciers in kaart. Bij het identificeren van de belangrijkste processen, zijn de zogeheten BIV-classificaties handig. Deze vertellen wat de impact is op de beschikbaarheid, integriteit en/of vertrouwelijkheid van het proces en de gevolgen daarvan voor je organisatie en haar belanghebbenden.

“Hoe beter je jouw eigen organisatie kent, hoe beter je de risico's van je toeleveranciers in kunt schatten"

1.3 Inventariseer belangrijke datastromen

Dit advies heeft samenhang met 1.1. Hierbij staat centraal dat gekeken wordt welke data door welke processen stroomt. Op het moment dat helder is welke data belangrijk is voor jouw organisatie, kan worden bepaald van welke processen afhankelijk zijn en dus ook welke toeleverancier. Een belangrijk onderdeel hierbij is om de juiste collega’s binnen jouw organisatie te betrekken. Denk hierbij bijvoorbeeld aan data- of systeem architecten die kennis hebben van deze stromen.

1.4 Betrek collega’s

Het in kaart brengen van de afhankelijk van toeleveranciers en daadwerkelijk verhogen van beveiliging, is een samenspel tussen meerdere afdelingen. Bedenk wie nodig is vanuit jouw organisatie voor de verschillende fasen. Dit is afhankelijk van de grootte en de structuur van de organisatie. In de meeste gevallen zijn hier de directie, Inkoop, IT, Operatie en Legal bij betrokken. In de gesprekken voor deze good practices werd geopperd om (indien aanwezig) de volgende rollen te betrekken:

• Business architect – verantwoordelijk voor het analyseren, ontwerpen en optimaliseren van processen en strategieën die in lijn staan met bedrijfsdoelstellingen. Deze rol is van belang in fase 1 en 2.
• Data architect - verantwoordelijk voor het ontwerpen, implementeren en beheren van data infrastructuur. De rol is van belang in fase 1 en 2.
• Applicatiebeheerder - verantwoordelijk voor het beheer, onderhoud en optimalisatie van softwareapplicaties binnen een organisatie. Daarnaast is de applicatiebeheerder vaak het aanspreekpunt voor zowel technische als functionele problemen met betrekking tot de applicaties. Deze rol is van belang in fase 1 en 2 door het bieden van operationele kennis. Ook is deze rol van belang in fase 4, omdat onder andere de applicatiebeheerder zicht heeft of een toeleverancier de afspraken nakomt.
• IT-verantwoordelijken (manager/coördinator) - verantwoordelijk voor het beheer, coördineren en optimaliseren van IT-gerelateerde bedrijvigheden. Dit omvat het toezicht houden op de IT-infrastructuur, het waarborgen van de veiligheid van systemen en netwerken, en het leiden van het IT-team.
• CISO – verantwoordelijk voor het ontwikkelen en implementeren van beleid en de strategie voor informatiebeveiliging. De CISO zorgt ervoor dat de organisatie beschermd is tegen cyberdreigingen en voldoet aan de relevante wet- en regelgeving op het gebied van informatiebeveiliging. De CISO is het inhoudelijk aanspreekpunt voor het opstellen van de cybersecurityeisen, waar een toeleverancier aan moet voldoen.
• Bestuurder(s) – verantwoordelijk voor de leiding over een organisatie waarbij strategische keuzes worden gemaakt voor het bepalen van de koers van de organisatie. Zo ook keuzes rondom cyberveiligheid, zoals het accepteren van risico’s.
• Inkoop of procurement – verantwoordelijk voor het beheersen en sturen van de inkoopprocessen of inkomende goederenstroom van toeleveranciers.
• Risk manager – verantwoordelijk voor het identificeren van de risico’s binnen een organisatie. Daarnaast kijkt een risk afdeling ook naar de mogelijke wijze om risico’s te mitigeren.
• Juridische zaken – verantwoordelijk voor de juridische kwesties binnen een organisaties. Hierbij kan gedacht worden aan het opstellen van nieuwe of bestaande contracten met toeleveranciers.

“Securityeisen stellen aan toeleveranciers is geen IT-feestje, daar heb je het hele bedrijf voor nodig"

1.5 Creëer awareness voor cybersecurity en het toeleveranciersaspect

Om te zorgen voor draagvlak en betrokkenheid kan awareness binnen de organisatie over cybersecurity maar ook specifiek de afhankelijkheden en daarbij komende risico’s van belang zijn. De awareness moet in alle lagen van de organisatie aanwezig zijn. Dus enerzijds om het bestuur/management te informeren over de risico’s. Maar ook de rest van organisatie, zoals de operatie en inkoop, moet bewust zijn van de risico’s en het meenemen in hun werkzaamheden. Het helpt om het gesprek aan te gaan met elkaar.

1.6 Stel een incident response plan op

Incident response is het proces van het reageren en mitigeren als er een incident plaatsvindt. Je kunt je acties beter bedenken wanneer er geen tijdsdruk op zit. Daarom maak je een incident repsonse plan zodat er gecoördineerd actie genomen kan worden ten tijde van een incident. Neem bij het opstellen van dit plan ook het ketenaspect mee. Na het maken van afspraken met de leverancier is het verstandig om te controleren of het incident response plan overeenkomt met de gemaakte afspraken en zo nodig ter herzien.

1.7 Stel een bedrijfscontinuïteitsplan

Een bedrijfscontinuïteitsplan (BCP) is een document dat beschrijft hoe een bedrijf of organisatie omgaat met een ernstige verstoring of calamiteit. Het doel van een BCP is om personeel, kritieke processen te beschermen en te zorgen dat deze blijven functioneren tijdens en na een incident. Daarom beschrijft het welke procedures en instructies er gevolgd moet worden om te kunnen blijven opereren tijdens een ernstige verstoring.

De basis van een BCP is het uitvoeren van een risicoanalyse. De tweede stap is het uitvoeren van de Business Impact Analyse (BIA). De BIA beschrijf je de impact op je organisatie. Deze analyse helpt je om te achterhalen welke processen voor jouw organisatie vitaal of primair zijn. Neem bij het opstellen van dit plan ook het ketenaspect mee. Na het maken van afspraken met de leverancier is het verstandig om te controleren of jouw BCP overeenkomt met de gemaakte afspraken en zo nodig ter herzien.

1.8 Ga in gesprek met de toezichthouder

In gesprek gaan met de toezichthouder geeft scherpte over de verplichtingen die er mogelijk zijn. Contact met de toezichthouder kan direct of via (sector)bijeenkomsten.

1.9 Maak de afweging om diensten uit te besteden of in eigen beheer te houden

Wanneer er geen toeleverancier aan de cybersecurityeisen van je organisatie kan voldoen, kun je overwegen om bepaalde processen in eigen beheer te houden. Het bewaken van de securityrisico's verschuift hiermee naar de eigen organisatie, maar het verkleint de afhankelijkheid van een ketenleverancier.