Of je nu een klein bedrijf met vier medewerkers bent of een Fortune 500-bedrijf, risicobeheer door derden is een beveiligingskwestie die niet over het hoofd mag worden gezien.

Wat is risico door derden? Risico door derden ontstaat wanneer een bedrijf samenwerkt met een externe partij die toegang heeft tot privé-informatie, zoals financiële gegevens. Dit creëert een potentieel risico dat informatie via de derde partij wordt blootgesteld.

Het belang van risicobeheer door derden

Wat zijn externe leveranciers en hoe beïnvloeden zij risicobeheer?

Moderne bedrijfs- en ondernemingsactiviteiten zijn steeds complexer en beslaan diverse technologische infrastructuren, cloudomgevingen, personeel, diensten en sectoren. De meeste datagedreven bedrijven merken dat het uitbesteden van specifieke bedrijfsfuncties aan partners hen helpt hun eigen processen te stroomlijnen, hun logistieke capaciteit te verbeteren en zich te richten op kernproducten en -diensten.

De groeiende markt van aannemers en externe leveranciers biedt bedrijven extra schaal en middelen. Managed service providers, in sectoren als cyberbeveiliging, cloud computing en betalingsverwerking, stellen ondernemingen in staat hun aanbod uit te breiden zonder elk aspect van hun activiteiten intern te hoeven beheren.

De uitdaging van leveranciersbeheer

Werken met externe leveranciers brengt echter een bepaald risiconiveau met zich mee. Dit vereist een zekere mate van zorgvuldigheid, vertrouwen en risicobeheer.

Daar ligt het probleem. Het beheren van tientallen leveranciers met steeds meer specialistische en nichevaardigheden is een grote uitdaging, en ondernemingen moeten deze leveranciers opnemen in hun risicoprofiel. De interactie tussen verschillende leveranciersfuncties en interne bedrijfsprocessen kan risico’s en kwetsbaarheden introduceren die een bedrijf op diverse vlakken kunnen ontwrichten.

Veel ondernemingen wenden zich daarom tot het toepassen van risicobeheer door derden (TPRM) om beter en veiliger samen te werken met hun leveranciers.

Maturiteitsniveaus van leveranciersrisicobeheer

Maturiteitsniveaus van leveranciersrisicobeheer zijn een manier om de capaciteiten van een organisatie te meten op het gebied van het beheren van risico’s die samenhangen met het uitbesteden van diensten en leveranciers. Het doel is om de volwassenheid van de processen en procedures voor leveranciersrisicobeheer te beoordelen, zodat verbeterpunten en meer efficiëntie kunnen worden geïdentificeerd.

Dit omvat processen van onboarding en monitoring van leveranciers tot het afhandelen van eventuele problemen, waaronder beveiliging en privacy. Het is een belangrijke stap voor organisaties om te waarborgen dat ze hun leveranciersrelaties op de juiste en efficiënte manier kunnen beheren en de organisatie kunnen beschermen tegen potentiële risico’s die met deze relaties samenhangen.

Welke risico’s brengen derden met zich mee voor een bedrijf?

Leveranciersrisicobeheer is uitdagend omdat het potentieel voor kwetsbaarheden of negatieve bedrijfsimpact voortdurend aanwezig is op meerdere vlakken.

Deze impactgebieden zijn onder andere:

  • Cybersecurityrisico: De meest voorkomende vorm van risico van externe leveranciers betreft informatiebeveiliging. Externe leveranciers zijn vatbaar voor supply chain-aanvallen en kwetsbaarheden, die vervolgens de organisaties waarmee ze werken kunnen beïnvloeden. Afhankelijk van het integratieniveau tussen leverancier en klant kunnen hackers advanced persistent threats in leverancierssoftware plaatsen, die eenvoudig hun weg vinden naar klantsystemen.
  • Compliance-risico: Naleving is op zichzelf al lastig. De complexiteit van leveranciers-technologie maakt naleving nog moeilijker. Zo vereist HIPAA-naleving dat alle leveranciers die patiëntgegevens verwerken zich aan de regelgeving houden. Doen ze dat niet, dan heeft dat grote gevolgen voor de leverancier en elke onderneming waarmee ze samenwerken.
  • Operationeel risico: Het inhuren en samenwerken met een leverancier gebeurt op basis van het vertrouwen dat de leverancier de beloofde diensten kan en zal leveren. Als een leverancier op enig moment zijn taken niet kan uitvoeren, kan dat grote gevolgen hebben voor een klantorganisatie. Een betalingsverwerker die een hoge hoeveelheid creditcardtransacties niet aankan, kan de groei van een onderneming beperken. Evenzo kunnen problemen met cloudapplicaties ertoe leiden dat een heel kantoor urenlang niet kan werken.
  • Reputatierisico: Een onderneming kan de acties van haar leveranciers niet controleren. Grote datalekken, technische problemen, slechte bedrijfspraktijken of onduidelijke communicatie kunnen een leverancier in een negatief daglicht stellen, wat ook negatief afstraalt op alle medewerkers van de leverancier. Bovendien kan een datalek bij een externe leverancier de reputatie van een onderneming schaden en klanten aanzetten om het bedrijf als onveilig of onbetrouwbaar te zien.

Risicobeheer door derden pakt daarom risico’s aan op al deze mogelijke vlakken.

Inzicht in en beperken van risico’s door derden in de zorgsector

De belangrijkste manier om risico’s door derden in de zorgsector te begrijpen en te beperken in relatie tot HIPAA is ervoor zorgen dat alle leveranciers die diensten leveren aan een covered entity, zoals een ziekenhuis, kliniek of huisartsenpraktijk, zich moeten houden aan de HIPAA Security Rule. Dit vereist dat organisaties zorgvuldig te werk gaan bij het selecteren van externe leveranciers en een grondige beveiligingsrisicoanalyse uitvoeren voordat ze met hen in zee gaan.

Organisaties moeten er ook voor zorgen dat alle externe leveranciers voldoen aan de vereisten van de HIPAA Security Rule door het ondertekenen van een Business Associate Agreement (BAA) waarin hun verantwoordelijkheden worden vastgelegd en duidelijke privacy- en beveiligingsstandaarden worden beschreven die moeten worden nageleefd. De BAA moet ook de beveiligingsmaatregelen van de organisatie vermelden en eventuele wijzigingen hierin documenteren. De BAA moet regelmatig worden bijgewerkt om gelijke tred te houden met veranderingen in regelgeving en technologieën.

Organisaties moeten bovendien regelmatig beveiligingsreviews uitvoeren bij hun externe leveranciers om te verifiëren dat zij blijven voldoen aan de vereisten van de HIPAA Security Rule. Dit omvat periodieke beoordelingen van hun beleid en procedures voor gegevensbeveiliging en privacy, systeemtoegang en andere beveiligingsmaatregelen.

Wat is een framework voor risicobeheer door derden?

Met zoveel potentiële risicogebieden is het voor elke organisatie die met externe leveranciers werkt van groot belang om kwesties op deze diverse gebieden aan te pakken. Om een holistische benadering van het beheer te bevorderen, is het belangrijk om een zogenaamd TPRM-framework te ontwikkelen.

Een TPRM-framework helpt ondernemingen om een allesomvattende aanpak te ontwikkelen rondom hun relaties met externe leveranciers. Dit gebeurt via wat bekendstaat als de third-party management life cycle.

Deze levenscyclus omvat onder andere de volgende fasen:

  1. Profilering en risicotiering: In deze fase identificeert een onderneming haar uitdagingen met derden, waaronder het opstellen van een TPRM-profiel en het rangschikken van verschillende risiconiveaus op basis van criteria met betrekking tot compliance, beveiliging en bedrijfsvoering. In deze fase stelt een organisatie zakelijke vereisten op voor de relatie, identificeert relevante stakeholders en bepaalt wie verantwoordelijk is voor het risicobeheer van leveranciers.
  1. Selectie: In deze fase werkt de onderneming samen met inhoudelijke experts uit beide organisaties, beoordeelt risico’s op basis van deze gesprekken, ontwikkelt controles en beoordelingen en maakt de uiteindelijke keuze voor geschikte leveranciers. In deze fase streeft de organisatie ernaar beveiligingscontroles te implementeren en interne experts te positioneren om de leveranciersrelatie vorm te geven. IT-managers en chief information security officers spelen een grote rol in deze fase en gedurende het hele leveranciersbeheerproces.
  1. Onboarding: In deze fase onderhandelt de onderneming contracten en voert reviews uit voor een correcte onboarding. Organisaties die een grondig TPRM-framework hanteren, gebruiken informatie en inzichten uit de selectie- en onboardingfases om risicobeheer en beperkende vereisten in leverancierscontracten op te nemen. 
  1. Doorlopende monitoring: In deze voortdurende fase monitort de onderneming de leverancier, diens prestaties, de technische infrastructuur en de relatie tussen leverancier en klant. Tijdens deze fase kan het contract, en gebeurt dat vaak ook, worden heronderhandeld op basis van factoren en prestaties.

Tijdens dit proces zal de klantorganisatie de leverancier continu evalueren op potentiële risico’s op het gebied van beveiliging, reputatie, bedrijfsvoering en compliance.

NIST Third-party Risk Management Framework (RMF) 800-37 Revisie 2

Het NIST Risk Management Framework (RMF) 800-37 Revisie 2 biedt richtlijnen voor organisaties om een effectief risicobeheerprogramma te implementeren. Het framework stelt een standaard vast waarmee organisaties beveiligingsmaatregelen kunnen plannen, implementeren, beoordelen en monitoren om informatiesystemen gedurende de gehele levenscyclus te beschermen. Het beschrijft het zesstappenproces voor het implementeren van beveiligingsmaatregelen, waaronder categorisatie, selectie, implementatie, beoordeling, autorisatie en doorlopende monitoring. Daarnaast beschrijft het framework de rollen en verantwoordelijkheden van elke betrokken partij in het beveiligingsproces en benadrukt het het belang van risicogebaseerde besluitvorming.

Wat zijn beheerde TPRM-serviceplatforms?

Omdat het implementeren van een TPRM-framework zo’n uitdaging is, maken veel bedrijven gebruik van TPRM-dienstverleners en platforms om hen te helpen bij het beheren van risico’s door derden.

Een gespecialiseerde beheerleverancier kan zich volledig richten op TPRM voor een bedrijf. Deze aanbieders en platforms moeten enkele belangrijke functies bevatten:

  • Ondersteun contractlevenscyclusbeheer: In TPRM zijn contracten geen eenmalige gebeurtenis. Bedrijven moeten contracten voortdurend herzien en evalueren op basis van prestaties en beveiliging, en risicobeoordelingen en heronderhandelingen opnemen in deze contracten.
  • Beheer workflows voor risicobeoordeling: Deze aanbieders moeten in staat zijn om kritieke workflows rond beoordelingen, auditing en alle gebeurtenissen met betrekking tot leveranciersactiviteiten te stroomlijnen.
  • Beheer risicoprofielen: Een goede TPRM-aanbieder of platform moet klanten de mogelijkheid bieden om per leverancier profielen op te bouwen, te creëren en te beoordelen.
  • Continue monitoring en beoordelingen: Monitoring is een cruciaal onderdeel van TPRM, en een aanbieder of platform moet belangrijke tools bieden om leveranciers te monitoren op compliance, reputatie of operationele kwesties. Op dit punt moet de aanbieder kunnen samenwerken met de klantorganisatie om beoordelingen van hun leveranciers uit te voeren. Deze beoordelingen moeten continue rapportages en vergaderingen omvatten.
  • Automatisering: Hoewel het misschien niet direct voor de hand ligt, kunnen veel aspecten van TPRM worden geautomatiseerd in een Software-as-a-Service (SaaS)-systeem. Beoordelingen, gebeurtenistriggers en contractevaluaties—elk kan worden gekoppeld aan metrics binnen een cloudomgeving om TPRM te stroomlijnen.

Checklist voor risicobeheer door derden of leveranciers

Een checklist voor risicobeheer door derden helpt organisaties om risico’s van derden te identificeren en te beheren. Het biedt een uitgebreide lijst van risico’s waarmee organisaties rekening moeten houden bij het aangaan van contractuele overeenkomsten met externe leveranciers.

  1. Beoordeel het beleid en de procedures van de leverancier op het gebied van compliance: Bekijk alle compliance-beleidsregels en procedures van de leverancier om te waarborgen dat ze aan de normen van jouw organisatie voldoen en begrijp het proces voor het monitoren van compliance.
  2. Stel een auditprogramma op: Ontwikkel een formeel auditprogramma voor het beoordelen van leveranciersrisico’s en prestaties, inclusief de frequentie van beoordeling en de meetcriteria.
  3. Beoordeel de financiële gezondheid: Evalueer de financiële gezondheid van leveranciers en overweeg de financiële impact van het beëindigen van diensten.
  4. Voer zorgvuldigheidsonderzoek uit: Begrijp de achtergrond, capaciteiten en staat van dienst van de leverancier om hun geschiktheid voor jouw organisatie te beoordelen.
  5. Overweeg alternatieve oplossingen: Analyseer de kosten-baten van het gebruik van alternatieve leveranciers.
  6. Ontwikkel evaluatiecriteria: Stel criteria op voor het selecteren en beoordelen van leveranciersprestaties.
  7. Beoordeel beveiligingsmaatregelen: Beoordeel de beveiligingsmaatregelen die de leverancier neemt om de vertrouwelijkheid en integriteit van jouw gegevens te beschermen.
  8. Monitor prestaties regelmatig: Monitor de prestaties van de leverancier doorlopend en zorg dat de leverancier de afgesproken serviceniveaus behaalt.
  9. Beoordeel contracten: Bekijk alle contracten en service level agreements grondig om te waarborgen dat de voorwaarden passend en afdwingbaar zijn.
  10. Ontwikkel een noodplan: Maak een plan voor het reageren op het niet nakomen van verplichtingen door een leverancier.
  11. Documenteer risicobeheer: Leg alle processen en acties rondom risicobeheer vast, inclusief regelmatige beoordeling van leveranciers.

Neem risico’s door derden niet voor lief

Met steeds complexere leveranciersrelaties in diverse sectoren is risicobeheer essentieel. Dit type beheer is geen bijzaak. Het moet juist een topprioriteit worden, vooral waar compliance, beveiliging of reputatie in het spel zijn. Leveranciersbeheer en TPRM-frameworks kunnen ondernemingen helpen om responsief, flexibel en schaalbaar te blijven in de moderne economie.

Hoe gevoelige content met derden wordt gedeeld heeft grote gevolgen voor governance, compliance en beveiliging. Ontdek hoe Kiteworks gevoelige content die binnen, naar en uit een organisatie beweegt, verenigt, volgt, beheerst en beveiligt door een demo op maat in te plannen.

 

Terug naar Risk & Compliance Glossary

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Share
Tweet
Share
Explore Kiteworks