Leveranciers brengen cyberrisico’s binnen. Hoe beperk je deze?

Tips
door
KU Leuven

Je koopt software aan. Je gebruikt online tools. Je koppelt je ERP-systeem aan apps van leveranciers,... Ja. Er stroomt heel wat data in en uit je organisatie. Zo vloeien ook de cyberrisico’s van over de hele wereld mee binnen. Hoe werk je samen met leveranciers én beperk je deze risico’s?

Poppetjes vanuit elk continent geven elkaar de hand
Je leveranciersketen loopt misschien over de hele wereld. Hoe cyberveilig is deze? © Foto Alexas Fotos, Unsplash

Een groot ecosysteem van diensten en oplossingen met toegevoegde waarde is prachtig voor bedrijven.

Maar wanneer bedrijven met technologische oplossingen van derden integreren met hun eigen bedrijfskritische en gevoelige systemen, moeten ze op hun hoede zijn voor mogelijke risico’s rond cyberbeveiliging.

Cybercriminelen vallen vaak ketens van bedrijven aan via de zwakste schakel. Daarom moeten steeds meer Vlaamse bedrijven hun cyberveiligheid bewijzen voordat ze een contract kunnen afsluiten.

👉 Lees Waarom en hoe bewijzen dat je product cyberveilig is? Maak kennis met supply chain security!

Scoort één van jouw leveranciers slecht op cyberbeveiliging? Is hij de spreekwoordelijke zwakke schakel?

Dan zullen zijn cyberrisico’s ook jouw bedrijf treffen zodra je zijn oplossingen integreert met jouw systemen. En wat zijn de gevolgen van een datalek dat via een leverancier plaatsvindt?

Specialisten raden dan ook alle bedrijven aan om naar hun leveranciers te kijken. Zelfs kleine ondernemingen hebben nood aan een zogenaamd Vendor Risk Management (VRM).

Wat is Vendor Risk Management (VRM)?

Vendor Risk Management (VRM) helpt jouw bedrijf om de risico’s op het vlak van cyberbeveiliging bij interactie met leveranciers te beperken? Het vormt het kader om leveranciersrisico’s te evalueren. Het zorgt er tevens voor dat deze risico’s opgevolgd, gedocumenteerd en gemonitord worden.

VRM geeft bedrijven ook inzicht in de maatregelen die leveranciers nemen om hun systemen te beveiligen.

Leveranciersrisico’s beperken in 7 stappen

Met deze 7 stappen beperk je als organisatie de leveranciersrisico’s fors.

Stap 1. Identificeer alle leveranciers

Om echt te begrijpen welke risico’s je bedrijf loopt, moet je alle leveranciers kennen die diensten leveren aan jouw organisatie. De grondige inventaris somt alle firma’s op, van deze die je bedrijfstuin onderhoudt tot kredietkaartdiensten.

Leuk restaurantje met blauwe geven in de Wolstraat
Je vaste leverancier van heerlijke latte macchiato en salades vormt ongetwijfeld geen risico. © Foto Kristaps Grundsteins, Unsplash

Stap 2. Bepaal jouw aanvaardbare risiconiveau

Afhankelijk van het domein waarin je actief bent, kan je meer of minder risico lopen. Wat belangrijk is in de gezondheidszorg is het daarom niet in de financiële sector. Eens je het gewenste risiconiveau kent, implementeer je eenvoudiger de gepaste beperkingen.

Stap 3. Identificeer de meest kritieke risico’s

Som alle risico’s op. Identificeer vervolgens de meest kritieke risico’s voor jouw onderneming.

👉 Laat je helpen de risico’s in kaart te brengen. Vraag hulp aan een cybersecurityspecialist via de kmo-portefeuille of de cybersecurity verbetertrajecten voor kmo’s.

Stap 4. Classificeer je leveranciers

Sommige leveranciers vormen een groter risico dan andere. De firma voor tuinonderhoud die geen toegang heeft tot je technische infrastructuur vormt een kleiner risico dan een leverancier die op netwerkniveau toegang heeft tot bepaalde bedrijfskritische systemen.

Rangschik ze daarom volgens de diensten die ze leveren en de risico’s die ze vormen voor je bedrijf.

Stap 5. Voeg cybersecurity toe aan je contracten

Zorg voor geldige contracten met al je leveranciers. Een contractuele overeenkomst legt wettelijk de verwachtingen vast op alle fronten, inclusief beveiliging en risicobeoordeling. Volg de contracten en de voorwaarden rond cybersecurity op.

Een vrouw betaalt met kredietkaart in de winkel
Check alle leveranciers op hun cyberrisico die ze in jouw organisatie binnenbrengen. © Foto Clay Banks, Unsplash

Stap 6. Herhaal regelmatig risico-analyses

De risico’s die leveranciers met zich meebrengen, veranderen voortdurend. Want net zoals in jouw bedrijf is de staat van de infrastructuur, de diensten, de software en de cyberbeveiliging bij je leveranciers continu in beweging.

Voer daarom regelmatig risico-analyses van de leveranciers uit. Zo ben je meteen op de hoogte van nieuwe of hogere risico’s die een bepaalde partij binnenbrengt.

Als het risico bij een bepaalde leverancier te hoog oploopt, kijk je best uit naar een alternatieve partij.

 

Lees het uitgebreide artikel Hoe beheren IT-professionals leveranciersrisico’s? op de website van het onderzoeksconsortium rond cybersecurity , geleid door KU Leuven.

👉 Lees ook!
TwitterLinkedIn