Ketenbeveiliging Fase 3 - Afspraken maken

Uit gesprekken met CISO's, ISO's en inkoopmanagers van bij DTC aangesloten zeer cybervolwassen organisaties, komen de volgende tips en adviezen:

“We investeren ook tijd in afstemming en afspraken”

3.1 Ga in gesprek met sectorgenoten

In gesprek gaan met organisaties binnen de sector over het onderwerp ketenbeveiliging biedt meerdere voordelen. Mogelijk zijn processen bij een sectorgenoot op een soortgelijke manier ingericht. Mogelijk is er ook overlap in toeleveranciers. Dat geeft aanknopingspunten om de verwachtingen en eisen op gebied van cyberveiligheid uit te wisselen en mogelijk zelfs te uniformeren. Dit maakt het niet alleen de organisaties die de ketenbeveiliging willen verhogen makkelijker, maar kan ook toeleveranciers voorzien van een eenduidige 'one size fits all' mogelijkheid die haalbaarder is dan pluriforme eisen vanuit de vele opdrachtgevers. In dialogen met sectorgenoten kunnen nuttige ervaringen (over hindernissen of good practices) gedeeld worden waar een ieder zijn voordeel mee kan doen.

3.2 Werk samen in samenwerkverbanden

Binnen veel sectoren of regio’s zijn initiatieven gestart om de cyberweerbaarheid te verhogen. Voorbeelden hiervan zijn sectorale of regionale samenwerkingsverbanden en deze cyberinitiatieven. Dit soort initiatieven kunnen een interessant ingang zijn om bij aan sluiten om kennis rondom cyberweerbaarheid te vergaren of te verspreiden. Ook voor toeleveranciers kan het aansluiten bij een cybersamenwerking relevant zijn.

3.3 Investeer in goede relaties met toeleveranciers

Een goede relatie met je toeleveranciers staat voorop. Elkaars organisatie kennen en begrijpen, vergemakkelijkt het maken van afspraken. Een goede relatie helpt ook in de naleving van de afspraken.

“Werk eerst aan vertrouwen”

3.4 Ga in gesprek met je toeleverancier(s)

Organiseer een periodieke afstemming met je toeleverancier(s). Bespreek wat praktisch haalbaar en uitvoerbaar is voor de leverancier. Zoek de balans van wat moet en wat kan. Kan een leverancier niet meteen voldoen aan bepaalde eisen? Spreek dan een langetermijnstrategie af waarbij je de maatregelen plot in de tijd. Mogelijk kun je een zelf ook (tijdelijk) maatregelen nemen om een bepaald risico af te dekken waar de leverancier nog niet aan toekomt.

“Ieder jaar organiseer ik een sessie met al mijn kritieke toeleveranciers. Enerzijds voor het verstevigen van onze relatie en anderzijds voor het gesprek met elkaar over de samenwerking en mogelijkheden rondom digitale veiligheid.”

3.5 Leg afspraken vast

Je doet er goed aan om afspraken te maken en deze op papier te zetten. Maak bijvoorbeeld afspraken over het uitvoeren van (onaangekondigde) security audits of over het melden en verhelpen van beveiligingsincidenten. Maak hiervoor gebruik van een Service-Level Agreement (SLA) of Dossier Afspraken en Procedures (DAP) en borg contractueel dat deze afspraken afgedwongen kunnen worden.

• Hoeveel waarde ken je toe aan de beschikbaarheid van de dienstverlening en/of juist de vertrouwelijkheid van gegevens? In hoeverre zijn zaken als digitale soevereiniteit van belang voor je organisatie? En vraag je om een maatwerkpakket met aanvullende eisen, of is een standaarddienst en -overeenkomst voldoende?
• Wees op deze punten ook kritisch naar je eigen organisatie en bedenk of jouw organisatie de weerbaarheid op die punten ook voldoende op orde heeft.
• Zorg er tenslotte voor dat het afstemmen van securitywensen een standaard onderdeel wordt van het inkoopprocedure en dat inkopers de juiste informatie en/ of expertise kunnen vinden om passende afspraken te maken. Gebruik hierbij de expertise van collega’s (IT of Risk).

“Luister naar elkaar en deel het belang van elkaars organisatie. Op het moment dat je de organisatie van jouw klant of kritieke toeleverancier goed kent, heb je meer begrip en inzicht tijdens incidenten.”

3.6 Neem cybersecurity diensten samen met je toeleverancier af

Verken de mogelijkheden waarbij cybersecurity diensten, zoals monitoring en advisering, ook gebruikt kunnen worden voor jouw toeleveranciers. Let op dat dit wel juridisch goed geregeld is. Start daarbij klein. Start daarbij bijvoorbeeld eerst met de meest kritieke toeleveranciers in de vorm van een pilot.

3.7 Bepaal waar een toeleverancier aan moet voldoen

Gebruik de classificaties uit de fase 'Keten in kaart brengen' om te bepalen waar een leverancier aan moet voldoen. Het kan zijn dat niet iedere toeleverancier aan hetzelfde moet voldoen, omdat de afhankelijkheid groter of kleiner kan zijn. De classificaties kunnen een leidraad vormen om te bepalen waar een toeleverancier aan moet voldoen.

“Wees realistisch over de normen die je oplegt aan je toeleverancier”

3.8 Leg afspraken vast die voortkomen uit het IRP en BCP

In een incident response plan en een bedrijfscontinuïteitsplan heb je geïnventariseerd wat je te doen staat als er een cyberincident is. Mogelijk raakt dit ook leveranciers. Bespreek met hen wat je verwachtingen zijn en wat hun betrokkenheid is.

3.9 Omgaan met risico

Het hebben van een risicoanalyse en een werkwijze voor risicomanagement en -acceptatie is van belang voor het gestructureerd en consequent beheersen van risico’s.
Kan een toeleverancier op een bepaald risico geen (onmiddellijke) mitigerende maatregelen treffen, dan heb je grofweg de volgende opties:

1. Accepteren : je accepteert het risico vanuit een leverancier. Een beweegreden kan zijn dat het risico klein of tijdelijk is. Het accepteren van een risico is een bewuste beslissing door het bestuur. Het is advies is om periodiek dit risico te bekijken en vervolgens weer een gedegen afweging te maken wat te doen met dit risico.
2. Zelf mitigeren: je neemt zelf maatregelen waardoor je het risico beperkt tot een acceptabel niveau of reduceert tot nul.
3. Stoppen: als het risico te groot is en de belangen te groot, dan is het stoppen van de verbintenis met de toeleverancier een mogelijkheid. En andere leverancier kan het risico mogelijk wel afdekken of je neemt het proces zelf in beheer.
4. Overdragen: je verschuift het risico van een toeleverancier naar een andere partij door bijvoorbeeld een verzekering af te sluiten.

3.10 Denk na over een escalatielijn

Maak intern afspraken over een escalatielijn voor situaties dat afspraken niet kunnen worden gemaakt met toeleveranciers of dat gemaakte afspraken niet worden nagekomen. In veel gevallen wordt geëscaleerd naar het bestuur.

3.11 Maak gepaste afspraken over het gebruik van standaarden of raamwerken

Je kunt voor afspraken over de mate van cyberveiligheid gebruik maken van certificeringen of standaarden. Een certificering is een door een onafhankelijke instantie uitgereikt bewijs dat je voldoet aan een bepaalde kwaliteitsnorm. In praktijk wordt er gebruik gemaakt van commerciële ratingbureaus (bijv. voor ISO 27001 en ISO 27002). Ook raamwerken zoals CYRA kunnen hier behulpzaam zijn. CYRA geeft met een self-assessment of certificering inzicht in het niveau van cyberweerbaarheid van een organisatie. Blijf kritisch kijken waarop deze certificeringen zijn afgegeven. Een certificaat kan afgegeven zijn aan een specifiek onderdeel of vestiging van een toeleverancier. En heb ook oog voor de opgenomen risico’s en mitigerende maatregelen die zijn geaudit.

3.12 Bespreek een exit-strategie

Maak een exit-plan al voordat een verbintenis aangaat met een leverancier. Zo voorkom je dat je ongewenst afhankelijk wordt van een toeleverancier. In een exit-strategie maak je afspraken over de condities waaronder een exit effectief kan worden. Ook wil je de ontvlechting scherp hebben en de overgang van bijvoorbeeld data naar een nieuwe leverancier beschreven hebben.