Een gids voor TPRM | Risicobeheer door derden
TPRM is een belangrijk onderdeel van cyberbeveiliging voor alle organisaties die zaken doen met externe leveranciers; het kan zelfs datalekken voorkomen als het goed wordt uitgevoerd.
Wat is TPRM? Third-party risk management is een proces waarmee derde partijen en hun mogelijke beveiligingsrisico’s worden geanalyseerd en beheerst om problemen te beperken voordat er een datalek of incident plaatsvindt.
Wat is Third-Party Risk Management?
In 2020 slaagden hackers erin om schadelijke code te plaatsen in de softwaresystemen van SolarWinds, een grote aanbieder van clouddiensten en Software-as-a-Service (SaaS). Deze code verspreidde zich door het netwerkbeheersysteem van het bedrijf, Orion, en bracht niet alleen interne technologieën in gevaar, maar ook die van hun klanten. Toen het datalek bekend werd, meldden bedrijven als Microsoft, FireEye en Experian, samen met overheidsinstanties zoals het Department of Homeland Security, allemaal gebruikers van Orion, dat ze waren gecompromitteerd.
Data-gedreven platforms, machine learning, kunstmatige intelligentie, cyberbeveiliging en analytics—al deze steeds belangrijkere functies bepalen hoe organisaties data en communicatiekanalen inzetten om klanten en stakeholders te bereiken, producten te bouwen en de integriteit van hun technische systemen te waarborgen.
Omdat deze functies zo complex zijn, is het meestal te lastig voor een enkele organisatie om ze zelfstandig te implementeren. Ze vereisen geavanceerde cloudomgevingen, machine learning- en analyticsplatforms, cyberbeveiligingstools en andere software- en hardwareconfiguraties die op zichzelf vaak te duur zijn voor één organisatie om te implementeren en te onderhouden.
Hierdoor is de rol van derde partijen sterk toegenomen. Leveranciers kunnen vrijwel alles leveren wat een organisatie nodig heeft om haar operationele capaciteit te vergroten. Deze leveranciers bieden alles van cloudinfrastructuur, beheerde beveiliging en geavanceerde cloud computing tot softwareplatforms als diensten die bedrijven naar behoefte afnemen via abonnementen of contracten. Beheerde diensten via een derde partij zijn vaak goedkoper dan on-premise oplossingen, zonder dat dit ten koste gaat van de effectiviteit.
Maar er zit ook een keerzijde aan het gebruik van derde partijen: third-party risk.
Wanneer een organisatie samenwerkt met een derde partij, introduceert dit beveiligingsrisico’s. “Risico” betekent in deze context niet alleen het letterlijke risico op een datalek of aanval. Het is een maatstaf voor de relatie tussen bestaande beveiligingsmaatregelen en potentiële bedreigingen. Risico is iets wat een organisatie meet om te bepalen welke beveiligingsmaatregelen en technologie ze zal inzetten om systeembronnen te beschermen. Technologie van derden, hoe nuttig ook, introduceert nieuwe risico’s in de systemen van een klant.
Een van de belangrijkste problemen is dat derde partijen niet onder direct beheer of toezicht van de klant vallen. Ze bouwen en onderhouden hun eigen systemen en nemen hun eigen personeel aan. Dit is onderdeel van hun waardepropositie en precies het punt waar mogelijk risico wordt geïntroduceerd in de infrastructuur van de klant.
Daarom is TPRM de praktijk van het herkennen, meten, in context plaatsen, aanpakken en (indien nodig) beperken van risico’s die ontstaan door samenwerking met derde partijen. Belangrijker nog, deze praktijk omvat de stappen die een organisatie neemt om de potentiële risico’s van een derde partij te begrijpen en ermee om te gaan.
Kenmerken van TPRM
TPRM is een brede term en bedrijven kunnen deze verschillend definiëren; de meeste TPRM-programma’s bevatten echter een aantal kernprincipes, waaronder:
- Risico-identificatie en -beoordeling: TPRM biedt de mogelijkheid om risico’s met betrekking tot informatie-assets en activiteiten te identificeren, te beoordelen en te prioriteren.
- Procesmanagement: TPRM zorgt ervoor dat processen aanwezig zijn en goed functioneren om risico’s tot een acceptabel niveau te beperken. Dankzij geautomatiseerde workflow- en procesmanagementfuncties kunnen organisaties hun processen stroomlijnen en waarborgen dat de juiste stappen worden genomen om risico’s te beperken.
- Rapportage: TPRM biedt uitgebreide rapportagemogelijkheden die inzicht geven in het risicoprofiel en de prestaties van de organisatie. Met aanpasbare rapporten kunnen leidinggevenden en managers snel risico’s identificeren en weloverwogen beslissingen nemen om deze te verminderen.
- Monitoring en auditing: TPRM ondersteunt continue monitoring van bedreigingen en kwetsbaarheden, evenals geautomatiseerde auditing van systeemconfiguraties en processen. Hierdoor kunnen organisaties een veilige omgeving behouden en proactief risico’s aanpakken voordat ze een probleem worden.
- Naleving: TPRM stelt organisaties in staat om te voldoen aan wettelijke en compliance vereisten zoals ISO 27001, PCI DSS en HIPAA door geautomatiseerd en flexibel compliancebeheer te bieden.
- Incidentmanagement: TPRM biedt inzicht in beveiligingsincidenten, waardoor organisaties sneller en efficiënter kunnen reageren op bedreigingen of kwetsbaarheden. Door incidentclassificatie, escalatie, tracking en oplossingsfuncties zorgt TPRM ervoor dat risico’s snel en professioneel worden aangepakt.
Waarom TPRM-beleid belangrijk is
Deze kernfuncties bieden organisaties een kader voor het ontwikkelen van een uitgebreid TPRM-programma. Bedrijven kunnen nu TPRM-beleid opstellen om ervoor te zorgen dat hun derde partijen zich eraan houden. TPRM-beleid is belangrijk voor organisaties van elke omvang, omdat het een extra verdedigingslaag biedt tegen potentiële cyberbedreigingen. Dit beleid biedt uitgebreide richtlijnen waarin de verantwoordelijkheden van organisaties en hun personeel worden vastgelegd om hun systemen en data te beschermen. Door een TPRM-beleid op te stellen en te implementeren, kunnen organisaties het risico op cyberbedreigingen effectief verkleinen en hun vertrouwelijke gegevens beschermen. Daarnaast is TPRM-beleid essentieel om te voldoen aan toepasselijke wettelijke en regelgevende vereisten.
Hoe introduceren derde partijen risico?
Geen enkel IT-systeem is 100% veilig, en dus is geen enkel systeem volledig zonder risico. Dit geldt zeker wanneer een organisatie een externe partij inschakelt om diensten te integreren in de bestaande infrastructuur.
Omdat een klantorganisatie geen volledige controle heeft over de infrastructuur van de leverancier, zijn er diverse vectoren die potentieel risico introduceren. Deze omvatten onder andere:
- Cyberbeveiliging: Zoals het SolarWinds-incident laat zien, zijn overslaande beveiligingsbedreigingen een reëel probleem bij door leveranciers geleverde IT-oplossingen. Een datalek bij een clouddienst of systeem kan zich verspreiden naar gekoppelde diensten en alle klantdata bedreigen. Het is belangrijk te beseffen dat datalekken niet altijd het gevolg zijn van nalatigheid of fouten. Complexe cloudsystemen zijn van nature kwetsbaar; hun onderlinge verbondenheid is op zichzelf al een bron van risico.
- Naleving: Nauw verbonden met cyberbeveiliging zijn er veel compliance-risico’s bij relaties met derde partijen. Compliance-regels bepalen hoe je klant-, partner- of andere gegevens beheert, en het inschakelen van een derde partij voor databeheer brengt risico’s op niet-naleving met zich mee. Frameworks en regelgeving zoals FedRAMP, Health Insurance Portability and Accountability Act (HIPAA) en General Data Protection Regulation (GDPR) bevatten zelfs specifieke aansprakelijkheidsregels voor relaties met derde partijen.
- Bedreigingen van binnenuit: Bedreigingen van binnenuit vormen in vrijwel elke sector een reëel probleem. Helaas brengen derde partijen het risico van bedreigingen van binnenuit met zich mee, omdat zij hun eigen medewerkers aannemen en screenen. Een dreiging vanuit deze teams kan grote gevolgen hebben voor hun klanten.
- Spear Phishing: Phishing is wereldwijd een van de meest voorkomende vormen van beveiligingsaanvallen. Relaties met leveranciers brengen extra uitdagingen met zich mee bij het beperken van phishingaanvallen, omdat ze nieuwe manieren introduceren waarop hackers zich toegang tot een systeem kunnen verschaffen. Een phishingaanval op een leverancier kan jouw systemen kwetsbaar maken, en hackers kunnen gespoofte e-mailadressen gebruiken om belangrijke personen in jouw organisatie te benaderen voor spear-phishingaanvallen.
- Reputatie: Reputatieproblemen zijn een reëel, zij het wat minder tastbaar, onderdeel van relaties met derde partijen. Zelfs als een incident bij een leverancier jouw bedrijfsvoering niet direct raakt, kan negatieve publiciteit van zo’n leverancier jouw reputatie schaden. Het behouden van een sterke reputatie is essentieel bij het beheren van third-party risk.
Omdat deze leveranciers risico kunnen introduceren in een systeem, integreren veel ondernemingen third-party management in hun totale portfolio. Zonder dit te doen, hebben ze mogelijk een onvolledig of vertekend beeld van de kwetsbaarheden waarmee ze te maken hebben, hoe dat risico IT- en compliancebeslissingen beïnvloedt en hoe kwetsbaar hun systemen zijn.
Wat is een Third-Party Risk Management Platform?
Omdat TPRM zo’n complexe aangelegenheid is en organisaties een accuraat, realtime inzicht moeten hebben in third-party risk, zijn er veel TPRM-platforms en -oplossingen op de markt gekomen.
TPRM-platforms zijn doorgaans cloudgebaseerde oplossingen die diverse assessmenttools combineren in één pakket dat automatisering, leveranciersbeoordeling, leveranciersmonitoring, workflowtools en herstelbeheer samenbrengt.
Er valt veel te bespreken, dus het helpt om deze onderdelen uiteen te zetten:
- Leveranciersrisicobeoordeling: Een van de belangrijkste diensten die TPRM-oplossingen bieden, is het vergroten van het inzicht in risico’s bij leveranciersrelaties. Een cloudplatform dat is gekoppeld aan een IT-systeem kan vergelijkende analyses uitvoeren op compliance-issues, documentatie en potentiële bedreigingen die worden geïntroduceerd door samenwerkende software of hardware. Als een leverancier bijvoorbeeld API-integratie aanbiedt tussen hun platform en mobiele applicaties of e-mail, kan een TPRM-oplossing dat risico analyseren en waarschuwingen en suggesties geven.
Daarnaast bieden deze oplossingen daadwerkelijke meetwaarden en rangschikkingssystemen om het management binnen een organisatie te coördineren. Met een helikopterview van het risicoprofiel kunnen besluitvormers zich richten op third-party risk als onderdeel van hun compliance- of beveiligingsstrategie.
Assessmenttools kunnen bedrijven ook helpen bij het opstellen van een leveranciersrisicoranking. Wat als “hoog risico” wordt beschouwd, verschilt per context, maar de meeste bedrijven kunnen factoren als IT-configuraties, compliance-standaarden, contractbeoordelingen, screening van personeel, merkhistorie en professionele achtergrondcontroles combineren om rankings samen te stellen op basis van interne maatstaven.
- Leveranciersrisicobewaking: Een managementoplossing moet monitoringtools bevatten. Hoewel het misschien vreemd klinkt om leveranciers digitaal te monitoren, kan TPRM-software organisaties helpen bij het opstellen en implementeren van meetwaarden en gedeelde bronnen, het eisen van documentatie en rapportage, en het volgen van operationele prestaties. Met een continue monitoringtool kunnen organisaties het leveranciersbeheer voor assessment- en compliancevereisten stroomlijnen.
- Automatisering en workflow: Leveranciers kunnen configuraties en software wijzigen. Contracten komen ter verlenging. Operaties en bedrijfsdoelen veranderen in de loop van de tijd. Een TPRM-oplossing kan zowel bedrijven als hun leveranciers helpen om kritieke processen te automatiseren wanneer deze veranderingen zich voordoen. Deze geautomatiseerde processen kunnen contractbeoordelingen, documentatie-updates of zelfs het plannen van vergaderingen bij systeemwijzigingen omvatten. Het is belangrijk te benadrukken dat assessment altijd onderdeel is van veranderende relaties. Zelfs een kleine aanpassing aan infrastructuur of onderliggende technologie door een leverancier kan grote impact hebben op het risicoprofiel van de klant. Daarnaast kan het jaarlijks automatiseren van contractbeoordelingen bedrijven ondersteunen bij het evalueren van noodzakelijke managementprocedures zoals monitoring, audits en vereiste rapportages.
- Herstel: Als een leverancier een datalek ervaart, moeten getroffen klanten direct klaarstaan om snel herstel toe te passen. TPRM kan waarschuwingen en herstel ondersteunen door middel van analytics die oplossingen bieden om beveiligingsproblemen te isoleren, blootstelling aan bedreigingen te minimaliseren en vervolgstappen te evalueren om het probleem op te lossen.
In al deze categorieën moeten organisaties het belang van risicobeheer als onderdeel van TPRM erkennen. Het is onmogelijk om leveranciersrisico’s goed te beoordelen zonder dat er al een risicobeheerplan voor de organisatie bestaat. Gelukkig is risicobeheer in de toeleveringsketen een belangrijk onderwerp binnen cyberbeveiliging en compliance. De meeste frameworks zoals GDPR, HIPAA en FedRAMP bevatten controles over het uitvoeren van supply chain-assessments. Daarnaast heeft het National Institute of Standards and Technology (NIST) Special Publication 800-161 uitgebracht, waarin standaarden en beste practices voor supply chain management worden beschreven.
In al deze gevallen zijn regelgevers en beleidsmakers het erover eens dat het nodig is om een leveranciersmanagementbeleid op te stellen. Dit beleid bestaat uit regels en procedures waarmee een organisatie leveranciers en veranderingen in leveranciersrelaties monitort. Zulke beleidsmaatregelen kunnen contractbeoordelingen, continue monitoring, achtergrondcontroles en geautomatiseerde audits omvatten op basis van leveranciersbeleid of technologische wijzigingen.
Daarnaast moet een TPRM-oplossing bedrijven helpen om risicovolle leveranciersrelaties te identificeren en te vermijden. Soms kunnen leveranciers van merknaam of eigenaar veranderen, waardoor eerdere beveiligings-, onderhouds- of reputatieproblemen worden verhuld. Deze oplossingen kunnen methoden bieden om leveranciersgedrag te monitoren of processen voor leveranciersaudits en contractbeoordelingen te automatiseren.
Om TPRM-praktijken en -procedures te ontwikkelen, kunnen organisaties een TPRM-certificering behalen. Een van de meest gerenommeerde certificeringen in de branche is de CTPRP Shared Assessments Risk Certification, die zowel algemene als third-party risicobeoordeling omvat.
Aandachtspunten bij de aanschaf van TPRM-oplossingen
Bedrijven die op zoek zijn naar een TPRM-oplossing moeten rekening houden met enkele belangrijke criteria, waaronder:
- Nalevingsvereisten: Organisaties moeten ervoor zorgen dat hun TPRM-oplossing voldoet aan alle toepasselijke compliance- en regelgevende vereisten, zoals die van PCI DSS, GDPR, NIST of HIPAA.
- Beveiligingsstandaarden: Organisaties moeten zoeken naar TPRM-oplossingen die voldoen aan de nieuwste industriestandaarden en protocollen, zoals die van de International Organization for Standardization (ISO) of het Cybersecurity Framework (CSF).
- Wet bescherming persoonsgegevens 2018: Organisaties moeten zoeken naar TPRM-oplossingen die verbeterde privacy- en gegevensbeschermingsfuncties bieden, zoals encryptie, multi-factor authentication en toegangscontrole.
- Automatisering: Automatiseringsfuncties zijn essentieel voor organisaties die hun TPRM-processen willen stroomlijnen. Automatisering kan handmatig werk verminderen, de tijd tot compliance versnellen en de efficiëntie verbeteren.
- Schaalbaarheid: TPRM-oplossingen moeten schaalbaar en flexibel zijn om aan de veranderende behoeften van een organisatie te voldoen. Organisaties moeten zoeken naar oplossingen die hun huidige en toekomstige groei kunnen ondersteunen.
- Derdepartners: Organisaties moeten zoeken naar oplossingen waarmee ze eenvoudig de beveiliging van hun derde partijen kunnen beheren en monitoren.
- Kosten: De kosten van TPRM-oplossingen variëren, dus organisaties moeten zoeken naar oplossingen die de benodigde functies bieden tegen een prijs die ze zich kunnen permitteren.
Risicobeheer is essentieel bij relaties met derde partijen
Derde partijen kunnen aanzienlijke risico’s introduceren in jouw organisatie, en het is aan jouw cyberbeveiligings- en compliance-teams om dat risico te identificeren, meten en monitoren. Zorgvuldigheid ten aanzien van technische en administratieve capaciteiten is een noodzakelijk onderdeel van zakendoen. Gelukkig bestaan er oplossingen om deze inspanningen te ondersteunen, en met strategisch gebruik van TPRM-platforms en risicobeheerpraktijken kunnen de meeste organisaties de meeste grote problemen met derde partijen voorkomen.
Wil je meer weten over hoe content governance en data management jouw TPRM-inspanningen kunnen ondersteunen? Lees dan zeker ons eBook over het beheersen van cyberrisico’s in communicatie met derde partijen. En als je geïnteresseerd bent in het Kiteworks-platform, plan dan een demo met een lid van het Kiteworks-team.
Gerelateerde content:
Waarom heeft jouw bedrijf Vendor Risk Management nodig?
Wat zijn de belangrijkste risico’s van derde partijen?
Wat is Enterprise Content Management?
Wat is een IRAP Assessment?
Wat is een Enterprise Content Management System?