Ketenbeveiliging Fase 4 - Naleving

Uit gesprekken met CISO's, ISO's en inkoopmanagers van bij het Digital Trust Center aangesloten zeer cybervolwassen organisaties, komen de volgende tips en adviezen:

“Wij hebben de evaluaties al ingepland voor volgend jaar”

4.1 Periodieke evaluatie en een verbeterplan

Evalueer periodiek alle contracten die zijn afgesloten met (belangrijke)toeleveranciers. Evalueer de classificatie, gemaakte afspraken, naleving afspraken en eventuele ontwikkelingen. Maar ook kunnen testresultaten of resultaten van gezamenlijk oefenen van invloed zijn op deze evaluatie. Op basis van de evaluatie stel je een verbeterplan op en ga vervolgens in gesprek met je toeleverancier indien aanpassingen in contractuele afspraken nodig zijn.

4.2 Wissel niet te snel van toeleveranciers

Het gras lijkt groener bij een andere leverancier, maar dat kan anders uitpakken.
Het wisselen naar een andere toeleverancier is een proces dat veel capaciteit vraagt en wat geen zekerheid voor verbetering oplevert. Werk eerst aan de naleving van de gemaakte afspraken met je huidige toeleverancier. Dit kan met het opstellen van een verbeterplan.

“Het gras kan soms groener lijken bij een andere toeleverancier, maar je hebt geen garantie”

4.3 Test periodiek de belangrijkste processen

Als ondernemer besteed je mogelijk veel tijd, aandacht en geld aan de digitale beveiliging van je onderneming. Omdat digitale beveiliging vaak niet tastbaar is, kan het lastig zijn om zicht te krijgen op de staat van je digitale beveiliging. Hierdoor kan het zijn dat je IT-omgeving kwetsbaar is voor cybercriminelen, zonder dat je het weet. Laat daarom regelmatig het beveiligingsniveau van informatiesystemen van je organisatie testen door een externe partij. Dit kan bijvoorbeeld in de vorm van een audit, risicoanalyse of penetratietest (pentest).

4.4 Oefen periodiek

Hoe reageert jouw keten op een cyberincident dat de bedrijfsvoering raakt van meerdere bedrijven? Bijvoorbeeld bij een ransomware-aanval? Je kunt een dergelijk scenario oefenen met je ketenpartners. Wie cyberoefeningen doet, vergroot de kans op een succesvolle reactie op cyberaanvallen. Je kunt de impact en bedrijfsschade verkleinen als je adequaat handelt en goede communicatielijnen hebt.

“Wij delen kennis met onze kritieke toeleveranciers en pakken het samen op!”

4.5 Contactpersoon

Zorg dat je altijd een contactpersoon en achtervang hebt. Voor zowel je eigen organisatie als je toeleveranciers. Het kan zijn dat de contactkanalen niet beschikbaar zijn door het cyberincident. Of je kunt je contactpersonenlijst niet meer bereiken omdat het netwerk eruit ligt. Denk daarom na over alternatieve routes om in contact te staan met je contactpersonen ten tijde van een incident of calamiteit.