Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

Het belang van risicobeheer door derden

Startpagina Woordenlijst Het belang van risicobeheer door derden

Of u nu een klein bedrijf met vier personen bent of een Fortune 500-bedrijf, risicobeheer door derden is een beveiligingskwestie die niet over het hoofd mag worden gezien.

Wat is risico door derden? Risico door derden ontstaat wanneer een bedrijf begint samen te werken met een derde partij die toegang heeft tot privé-informatie, zoals financiële informatie. Dit creëert een potentieel risico dat informatie via de derde partij wordt blootgesteld.

Het belang van risicobeheer door derden

Wat Zijn Derde Partij Leveranciers en Hoe Beïnvloeden Zij Risicobeheer?

Moderne bedrijfs- en ondernemingsactiviteiten worden steeds complexer en strekken zich uit over verschillende technologie-infrastructuren, cloudomgevingen, personeel, diensten en industrieën. De meeste datagedreven bedrijven ontdekken dat het delegeren van specifieke bedrijfsfuncties aan partners hen helpt hun eigen activiteiten te stroomlijnen, hun logistieke capaciteiten te verbeteren en zich te concentreren op kernproducten en -diensten.

De groeiende markt voor aannemers en derde partij leveranciers biedt bedrijven extra schaal en middelen. Beheerde dienstverleners, in industrieën zoals cyberbeveiliging, cloud computing en betalingsverwerking, stellen ondernemingen in staat hun aanbod uit te breiden zonder elk aspect van hun activiteiten intern te beheren.

De Uitdaging van Derde Partij Beheer

Het werken met derde partij leveranciers introduceert echter een bepaald niveau van risico. Dit vereist een zekere mate van zorgvuldigheid, vertrouwen en risicobeheer.

Daar ligt het probleem. Het beheren van tientallen leveranciers met steeds esoterischer en niche-capaciteiten is een kritische uitdaging, en ondernemingen moeten deze leveranciers in hun risicoprofiel opnemen. De interacties van verschillende leveranciersfuncties en interne bedrijfscompetenties kunnen risico’s en kwetsbaarheden introduceren die een bedrijf op verschillende aandachtsgebieden kunnen destabiliseren.

Veel ondernemingen wenden zich daarom tot de praktijk van risicobeheer door derden (TPRM) om hen te helpen beter en veiliger met hun leveranciers samen te werken.

Volwassenheidsniveaus van Leveranciersrisicobeheer

Volwassenheidsniveaus van leveranciersrisicobeheer zijn een manier om de capaciteiten van een organisatie te meten in termen van hun vermogen om risico’s te beheren die verband houden met het uitbesteden van diensten en leveranciers. Het doel is om de volwassenheid van een organisatie in processen en procedures voor leveranciersrisicobeheer te beoordelen om gebieden voor verbetering en grotere efficiëntie te identificeren.

Dit omvat processen van het onboarden en monitoren van leveranciers tot het omgaan met eventuele problemen die zich voordoen, inclusief beveiliging en privacy. Het is een belangrijke stap voor organisaties om ervoor te zorgen dat ze hun leveranciersrelaties op de juiste en efficiënte manier kunnen beheren en de organisatie kunnen beschermen tegen eventuele risico’s die aan deze relaties verbonden zijn.

Rapport Beoordeel Uw Gevoelige Inhoud Communicatie Privacy en Naleving Kiteworks 2022 Gevoelige Inhoud Communicatie Rapport

Welke Risico’s Introduceren Derden voor een Bedrijf?

Leveranciersrisicobeheer is uitdagend omdat het potentieel voor kwetsbaarheden of negatieve bedrijfsimpact constant is over meerdere impactgebieden.

Deze impactgebieden omvatten:

  • Cyberbeveiligingsrisico: De meest voorkomende vorm van risico van derde partij leveranciers betreft informatiebeveiliging. Derde partij leveranciers zijn vatbaar voor aanvallen en kwetsbaarheden in de toeleveringsketen, die vervolgens de organisaties waarmee ze werken kunnen beïnvloeden. Afhankelijk van het niveau van integratie tussen de leverancier en de klant, kunnen hacks geavanceerde persistente bedreigingen in de leverancierssoftware planten die gemakkelijk hun weg vinden naar klantsystemen.
  • Nalevingsrisico: Naleving is op zichzelf al moeilijk. Het toevoegen van de complexiteit van leverancierstechnologie kan naleving moeilijker maken. Bijvoorbeeld, HIPAA-naleving vereist dat alle leveranciers die patiëntgegevens verwerken zich aan de regelgeving houden. Het niet naleven hiervan zal grote gevolgen hebben voor die leverancier en elke onderneming waarmee ze samenwerken.
  • Operationeel risico: Het inhuren en samenwerken met een leverancier is een beslissing die wordt genomen met het vertrouwen dat de leverancier de diensten kan en zal leveren die ze beweren te leveren. Als een leverancier op enig moment zijn taken niet kan uitvoeren, kan dit een aanzienlijke impact hebben op een klantonderneming. Een betalingsverwerker die er niet in slaagt een groot aantal creditcardtransacties af te handelen, kan de groei van een onderneming beperken. Evenzo kunnen problemen in cloudtoepassingen een heel kantoor urenlang niet in staat stellen te werken.
  • Reputatierisico: Een onderneming kan de acties van haar leveranciers niet beheersen. Grote inbreuken, technische problemen, slechte bedrijfspraktijken of slechte communicatie kunnen een negatief licht werpen op een leverancier, wat ook negatief overkomt op alle werknemers van de leverancier. Bovendien kan een inbreuk bij een derde partij leverancier de reputatie van een onderneming beïnvloeden en klanten aanmoedigen om een bedrijf als onveilig of onbetrouwbaar te zien.

Als reactie hierop richt risicobeheer door derden zich op risico’s in al deze potentiële gebieden.

Begrijpen en Beperken van Risico door Derden in de Zorgsector

De primaire manier om risico door derden in de zorgsector te begrijpen en te beperken in relatie tot HIPAA is ervoor te zorgen dat alle leveranciers die diensten verlenen aan een gedekte entiteit, zoals een ziekenhuis, kliniek of dokterspraktijk, zich moeten houden aan de HIPAA-beveiligingsregel. Dit vereist dat organisaties zorgvuldige zorgvuldigheid betrachten bij het werken met derde partij leveranciers en een grondige beveiligingsrisicoanalyse uitvoeren voordat ze met hen in zee gaan.

Organisaties moeten er ook voor zorgen dat alle derde partij leveranciers voldoen aan de vereisten van de HIPAA-beveiligingsregel door een Business Associate Agreement (BAA) te ondertekenen die hun verantwoordelijkheden beschrijft en duidelijke privacy- en beveiligingsnormen biedt die moeten worden gevolgd. De BAA moet ook de beveiligingsmaatregelen van de organisatie vermelden en eventuele wijzigingen in deze maatregelen documenteren. De BAA moet regelmatig worden bijgewerkt om bij te blijven met veranderingen in regelgeving en technologieën.

Organisaties moeten ook regelmatige beveiligingsbeoordelingen uitvoeren van hun derde partij leveranciers om te verifiëren dat ze blijven voldoen aan de vereisten van de HIPAA-beveiligingsregel. Dit omvat periodieke beoordelingen van hun gegevensbeveiligings- en privacybeleid en -procedures, systeemtoegang en andere beveiligingsmaatregelen.

Wat is een Risicobeheerraamwerk voor Derden?

Met zoveel potentiële risicogebieden zal elke organisatie die met derde partij leveranciers werkt het beste gediend zijn door problemen in deze verschillende gebieden aan te pakken. Om een holistische benadering van beheer te bevorderen, is het belangrijk om te ontwikkelen wat bekend staat als een TPRM-raamwerk.

Een TPRM-raamwerk helpt ondernemingen uitgebreide beheersinspanningen te ontwikkelen rond hun relaties met derde partij leveranciers. Dit gebeurt door middel van wat bekend staat als de levenscyclus van derde partij beheer.

Deze levenscyclus omvat enkele van de volgende fasen:

  1. Profilering en Risico-indeling: In deze fase identificeert een onderneming haar uitdagingen met derden, inclusief het creëren van een TPRM-profiel en een rangschikking van verschillende risiconiveaus op basis van criteria met betrekking tot naleving, beveiliging en bedrijfsvoering. In deze fase bedenkt en implementeert een organisatie zakelijke vereisten voor de relatie, identificeert relevante belanghebbenden en bepaalt wie verantwoordelijk is voor risicobeheer van leveranciers.
  1. Selectie: In deze fase werkt de onderneming samen met inhoudelijke experts binnen beide organisaties, beoordeelt risico’s op basis van deze interviews, ontwikkelt controles en beoordelingen, en maakt definitieve keuzes over geschikte leveranciers. In deze fase streeft de organisatie ernaar beveiligingscontroles te implementeren en interne experts te positioneren om een leveranciersrelatie te structureren. IT-managers en chief information security officers spelen een belangrijke rol in deze fase en gedurende het hele leveranciersbeheerproces.
  1. Onboarding: In deze fase onderhandelt de onderneming over contracten en voert beoordelingen uit voor een goede onboarding. In deze fase zullen ondernemingen die grondige TPRM-raamwerken uitvoeren, informatie en inzichten verzamelen tijdens de selectie- en onboardingfasen om risicobeheer en -beperkingseisen in leverancierscontracten op te nemen. 
  1. Voortdurende Monitoring: In deze voortdurende fase zal de onderneming de leverancier, hun prestaties, hun technische infrastructuur en de relatie tussen de leverancier en de klant monitoren. Tijdens deze fase kan het contract, en vaak ook, worden heronderhandeld op basis van factoren en prestaties.

Tijdens dit proces zal het klantbedrijf de leverancier voortdurend evalueren op hun potentiële risico’s op het gebied van beveiliging, reputatie, operaties en naleving.

NIST Risicobeheerraamwerk voor Derden (RMF) 800-37 Revisi 2

NIST Risicobeheerraamwerk (RMF) 800-37 Revisi 2 biedt richtlijnen voor organisaties om een effectief risicobeheerprogramma te implementeren. Het raamwerk stelt een standaard vast voor organisaties om beveiligingsmaatregelen te plannen, implementeren, beoordelen en monitoren om informatiesystemen gedurende de levenscyclus van het systeem te beschermen. Het schetst het zesstappenproces voor het implementeren van beveiligingsmaatregelen, inclusief categorisatie, selectie, implementatie, beoordeling, autorisatie en voortdurende monitoring. Daarnaast schetst het raamwerk de rollen en verantwoordelijkheden van elke partij die betrokken is bij het beveiligingscontroleproces en benadrukt het belang van risicogebaseerde besluitvorming.

Wat Zijn Beheerde TPRM-dienstplatforms?

Aangezien de implementatie van TPRM-raamwerken zo uitdagend is, maken veel bedrijven gebruik van TPRM-dienstverleners en -platforms om hen te helpen bij het beheren van risico’s door derden.

Een toegewijde beheersleverancier kan zich exclusief richten op TPRM voor een bedrijf. Deze aanbieders en platforms moeten enkele belangrijke kenmerken bevatten:

  • Ondersteuning Contractlevenscyclusbeheer: In TPRM zijn contracten geen eenmalige gebeurtenis. Bedrijven moeten contracten voortdurend herzien en evalueren in het licht van prestaties en beveiliging en risicobeoordelingen en heronderhandelingen in deze contracten opnemen.
  • Beheer Risico-evaluatieworkflows: Deze aanbieders moeten klaar staan om kritieke workflows rond beoordelingen, audits en alle gebeurtenissen met betrekking tot het reageren op leveranciersactiviteiten te stroomlijnen.
  • Beheer Risicoprofielen: Een goede TPRM-aanbieder of -platform moet hun klanten de mogelijkheid bieden om profielen op te bouwen, te creëren en te beoordelen op basis van elke leverancier.
  • Continue Monitoring en Beoordelingen: Monitoring is een cruciaal onderdeel van TPRM, en een aanbieder of platform moet belangrijke tools bieden om leveranciers te monitoren op naleving, reputatie of operationele problemen. Op dit punt moet de aanbieder in staat zijn om samen te werken met het klantbedrijf om beoordelingen van hun leveranciers uit te voeren. Deze beoordelingen moeten continue rapportage en vergaderingen omvatten.
  • Automatisering: Hoewel het niet erg intuïtief lijkt, kunnen veel aspecten van TPRM worden geautomatiseerd in een Software-as-a-Service (SaaS) systeem. Evaluaties, gebeurtenistriggers en contractevaluaties – elk kan worden gekoppeld aan metrische gegevens binnen een cloud systeem om TPRM te stroomlijnen.

Webinar Leer Wat Op Te Nemen in Uw 2023 Risicostrategie voor Privégegevensblootstelling

Checklist voor Risicobeheer door Derden of Leveranciers

Een checklist voor risicobeheer door derden helpt organisaties bij het identificeren en beheren van risico’s door derden. Het biedt een uitgebreide lijst van risico’s die organisaties in overweging moeten nemen bij het aangaan van contractuele overeenkomsten met derde partij aanbieders.

  1. Beoordeel nalevingsbeleid en -procedures van leveranciers: Onderzoek alle nalevingsbeleid en -procedures van leveranciers om ervoor te zorgen dat ze voldoen aan de normen van uw organisatie en begrijp het proces voor het monitoren van naleving.
  2. Stel een auditprogramma op: Ontwikkel een formeel auditprogramma voor het beoordelen van leveranciersrisico en -prestaties, inclusief de frequentie van beoordelingen en beoordelingscriteria.
  3. Beoordeel de financiële gezondheid: Evalueer de financiële gezondheid van leveranciers en overweeg de financiële impact van eventuele beëindiging van diensten.
  4. Voer zorgvuldigheid uit: Begrijp de achtergrond, capaciteiten en staat van dienst van de leverancier om hun geschiktheid voor uw organisatie te evalueren.
  5. Overweeg alternatieve oplossingen: Analyseer de kosten-baten van het gebruik van alternatieve leveranciers.
  6. Ontwikkel evaluatiecriteria: Stel criteria vast voor het selecteren en evalueren van leveranciersprestaties.
  7. Beoordeel beveiligingsmaatregelen: Beoordeel de beveiligingsmaatregelen die door de leverancier zijn genomen om de vertrouwelijkheid en integriteit van uw gegevens te beschermen.
  8. Monitor prestaties regelmatig: Monitor de prestaties van leveranciers op een doorlopende basis en zorg ervoor dat de leverancier voldoet aan de afgesproken serviceniveaus.
  9. Beoordeel contracten: Beoordeel alle contracten en serviceniveau-overeenkomsten grondig om ervoor te zorgen dat de voorwaarden geschikt en afdwingbaar zijn.
  10. Ontwikkel een noodplan: Maak een plan voor het reageren op het niet nakomen van verplichtingen door een leverancier.
  11. Documenteer risicobeheer: Documenteer alle risicobeheerprocessen en -acties, inclusief regelmatige beoordeling van leveranciers.

Neem Risico door Derden Niet voor Gekend Aan

Met steeds complexere leveranciersrelaties in veel industrieën is risicobeheer cruciaal. Dit soort beheer is geen tertiaire prioriteit. Het moet echter een topprioriteit worden, vooral waar naleving, beveiliging of reputatie betrokken zijn. Derde partij beheer en TPRM-raamwerken kunnen ondernemingen helpen responsief, flexibel en schaalbaar te blijven in de moderne zakelijke economie.

Hoe gevoelige inhoud met derden wordt gedeeld, heeft kritieke gevolgen voor governance, naleving en beveiliging. Leer hoe Kiteworks gevoelige inhoud binnen, in en uit een organisatie verenigt, volgt, beheert en beveiligt door een op maat gemaakte demo te plannen.

 

Terug naar Risico & Naleving Glossary

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks