
Het belang van Risicobeheer voor verkopers voor CISO’s
Als een bedrijf zelfs maar met één externe leverancier werkt, moet risicobeheer voor leveranciers bovenaan de prioriteitenlijst van de CISO staan.
Wat is risicobeheer voor leveranciers? Vendor risk management (VRM) is het proces waarmee een bedrijf verifieert dat hun leveranciers en dienstverleners voldoen aan specifieke regelgeving en standaarden, zodat ze geen negatieve impact hebben op het bedrijf.
Vendor Risk Management Gedefinieerd
Effectief risicobeheer voor leveranciers is nog nooit zo belangrijk geweest. Als essentieel onderdeel van moderne bedrijfsvoering wordt vendor risk management (VRM) gedefinieerd als het proces dat organisaties inzetten om de potentiële risico’s te beheren die gepaard gaan met het gebruik van externe leveranciers of dienstverleners. Deze risico’s kunnen operationeel, financieel, reputatie- of juridisch van aard zijn.
Vendor risk management omvat een reeks processen en strategieën die helpen bij het identificeren, beoordelen en beperken van de risico’s die samenhangen met externe leveranciers. Deze leveranciers kunnen diensten aanbieden zoals IT, toeleveringsketen, inkoop, klantenservice of andere waarde toevoegende diensten.
Waarom Vendor Management Belangrijk is voor het Beperken van Bedrijfsrisico’s
Moderne bedrijven vertrouwen steeds meer op leveranciers om traditionele interne processen over te nemen. Cloud-productiviteitsapplicaties, marketing, opslag, analytics, betalingsverwerking en cyberbeveiliging zijn allemaal, gedeeltelijk of volledig, effectief omgevormd tot uitbestede diensten die worden geleverd door leveranciers die experts zijn in hun vakgebied.
Enkele voordelen die bedrijven behalen door samen te werken met leveranciers zijn het verlagen van kosten doordat er geen complexe of gespecialiseerde IT-medewerkers nodig zijn voor nichefuncties. Daarnaast kun je veel meer gespecialiseerde expertise naar je organisatie halen, of dat nu gaat om beveiliging, machine learning, cloudondersteuning of een andere belangrijke bedrijfsfunctie. Tot slot dragen de gecombineerde voordelen van ondersteuning, expertise en efficiëntie aanzienlijk bij aan de veerkracht en schaalbaarheid van je bedrijf en IT-infrastructuur.
Omdat leveranciers deze essentiële niches voor bedrijven invullen, komen ze logischerwijs in contact met kritieke bedrijfsprocessen en informatie. Daarom zie je dat sectoren zoals de zorg, met strikte HIPAA-regelgeving, duidelijke regels hanteren voor de verplichtingen en vereisten voor leveranciers die patiëntgegevens verwerken.
Toch zou deze aandacht voor detail, beveiliging en procedures niet alleen moeten gelden vanwege de eisen van naleving van regelgeving. Samenwerken met leveranciers, zelfs leveranciers met de beste operationele en logistieke ondersteuning, introduceert risico’s in je bedrijf: risico op datalekken, inefficiëntie of verlies of schade aan data.
Deze risico’s ontstaan op diverse belangrijke gebieden, waaronder:
- Beveiliging: Je vertrouwt op de beveiligingsinfrastructuur van een leverancier. Dit is kosteneffectief als het goed gebeurt, maar het betekent ook dat een beveiligingsdreiging bij een leverancier (of diens klant) invloed kan hebben op jouw bedrijfsvoering of databeveiliging.
- Naleving: Afhankelijk van je sector moet je werken met leveranciers die aan de regels voldoen. Als zij niet compliant zijn of blijven, kun je te maken krijgen met zware boetes, verlies van operationele mogelijkheden en reputatieschade.
- Afhankelijkheid van Externe Infrastructuur: Als een leverancier waarop je vertrouwt uitvalt, kan dat je hele bedrijf verstoren. Bugs, fouten of infrastructurele problemen kunnen een enorm domino-effect hebben op de productiviteit, en het oplossen van het probleem ligt vaak buiten je macht.
- Gebrek aan Strategische Wendbaarheid: Leveranciers zijn zelfstandige entiteiten met hun eigen bedrijfsdoelen en operationele prioriteiten, en ze kunnen beslissingen nemen die niet aansluiten bij jouw doelen of behoeften. Als dat gebeurt, kan je organisatie onvoorbereid zijn en moet je snel het gat opvullen.
VRM vraagt van je organisatie om goed zicht te houden op de partijen die functies binnen je bedrijf beheren. In tegenstelling tot supplier risk management (waar je producten en toeleveringsketens moet bijhouden), werken veel leveranciers nauw samen met je bedrijf of leveren ze technologie die een integraal onderdeel wordt van je organisatie en die meer diepgaande analyse vereist om te beheren.
Een Vendor Risk Management Strategie Implementeren
Vendor risk management dwingt je organisatie om plannen te ontwikkelen waarmee je het risico beoordeelt dat je loopt bij samenwerking met één of meerdere leveranciers. Een goede VRM-strategie geeft prioriteit aan het analyseren van leveranciersrelaties en bedrijfsdoelen om te bepalen hoe leveranciers worden geselecteerd, hoe relaties zich ontwikkelen en wanneer je moet besluiten om een samenwerking te beëindigen of over te stappen naar een andere leverancier.
Een fundamentele VRM-strategie bevat een duidelijke strategische richting over hoe je organisatie risico’s in leveranciersrelaties verwerkt. Enkele stappen die je kunt nemen bij het opstellen van een VRM-strategie zijn:
- Ontwikkel een risicobereidheidsverklaring om te bepalen welk risiconiveau acceptabel is voor je bedrijf
- Maak een overzicht van compliance- of industrienormen die invloed hebben op leveranciersdiensten en op de manier waarop je samenwerkt met leveranciers die beschermde data verwerken
- Gebruik risicobereidheid, compliance en interne processen om een controle- en beoordelingsstandaard te definiëren die de meetcriteria voor leveranciers bepaalt
- Inventariseer individuele producten of diensten die door leveranciers worden aangeboden aan de hand van die vastgestelde beoordelingsstandaard
- Categoriseer leveranciers en diensten op basis van hun noodzaak voor je bedrijfsvoering en hoe dat het acceptabele risico beïnvloedt
- Eis regelmatige interne risicoanalyses en contractuele rapportages van leveranciers om risicogebaseerde besluitvorming te ondersteunen
- Evalueer leverancierscontracten regelmatig en bepaal welke updates nodig zijn op basis van veranderende regelgeving, technologieën en kwetsbaarheden
- Monitor continu de prestaties van leveranciers (zoals beveiliging, efficiëntie en responsiviteit) en beoordeel relaties regelmatig opnieuw
Met deze stappen voor ogen zie je mogelijk een traject ontstaan. Kort samengevat omvat de levenscyclus van de VRM-strategie de volgende stappen:
- Identificeer geschikte leveranciers om mee samen te werken op basis van je behoeften
- Evalueer leveranciers op hun geschiktheid voor jouw werkzaamheden, waaronder het aanleggen van een catalogus van diensten, producten, compliance-rapportages, enzovoort
- Beoordeel het risico dat gepaard gaat met deze leveranciers en hun producten
- Stel contracten op met de leveranciers, inclusief bepalingen voor regelmatige evaluaties, rapportages en andere vereisten die je in je VRM-strategie hebt vastgesteld
- Eis en verkrijg documentatie en rapportages over kritieke aspecten van hun bedrijfsvoering, zowel vóór het ondertekenen van een contract als op regelmatige momenten daarna
- Monitor continu de bedrijfsvoering, wijzigingen bij leveranciers en de effectiviteit van controles om te bepalen of aanpassingen of herstelmaatregelen nodig zijn
Hoe Stuurt een CISO VRM aan?
Als CISO is het jouw taak om technologie, infrastructuur en medewerkers binnen IT te sturen voor maximale beveiliging, efficiëntie en dienstverlening aan je bedrijf. Je zult dus direct samenwerken met leveranciers en VRM vormgeven om ervoor te zorgen dat die leveranciers je bedrijf optimaal ondersteunen. Daarnaast moet je verantwoording afleggen over leveranciers aan investeerders, organisatieleiders en collega’s. Als een leverancier niet goed beveiligd is, snel diensten wijzigt of regelmatig negatief in het nieuws komt, zullen organisatieleiders jou om uitleg vragen.
Het belangrijkste om te onthouden is dat kwetsbaarheden bij leveranciers steeds vaker voorkomen in het moderne bedrijfsleven, zelfs bij gevestigde dienstverleners die werken met de grootste bedrijven ter wereld. Werk je dus met een netwerk van leveranciers, dan ben je verantwoordelijk voor elke negatieve ervaring met een leverancier. VRM wordt daarmee een essentiële praktijk.
Je eerste stap moet altijd zijn om een leverancier grondig te screenen. Enkele stappen die je als CISO kunt nemen bij het beoordelen van potentiële leveranciers zijn het verzamelen van klantreferenties, het vaststellen van aansprakelijkheid en verzekeringen, en het uitvoeren van achtergrondcontroles. Je moet altijd documentatie opvragen over compliance, zowel voor industrienormen als voor aanvullende raamwerken zoals SOC 2. Tot slot moet er altijd een duidelijke en grondige beoordelingsprocedure zijn voor alle contracten tussen jou en een leverancier.
Als CISO ben je verantwoordelijk voor de daadwerkelijke implementatie van je VRM-strategie. Begin je zonder bestaand managementmodel, dan kun je het VRM Maturity Model (VRMMM) gebruiken om te bepalen waar je staat en hoe je als organisatie kunt groeien.
De zes niveaus van het VRMMM zijn als volgt:
- Geen VRM: Je bent mogelijk een start-up of nieuw bedrijf zonder actief VRM-beleid.
- Ad Hoc VRM: Je bent begonnen met het implementeren van beoordelings- en beheerprocedures op ad-hocbasis.
- Stappenplan met Ad Hoc: Na samenwerking met leveranciers heb je een daadwerkelijk VRM-plan ontwikkeld op basis van eerdere inzichten uit ad-hocactiviteiten. Je werkt ook toe naar volledige implementatie van VRM.
- Gevestigde VRM: Je hebt een volledig, vastgesteld en gedefinieerd VRM-infrastructuur die je voorbereidt op implementatie binnen je organisatie.
- Geïmplementeerd en Operationeel: Je VRM is nu van kracht en je leveranciersrelaties functioneren binnen dat kader.
- Continue Verbetering: Je optimaliseert je VRM voortdurend, op basis van gegevens uit leveranciersprestaties, continue monitoring en interne risicobeoordeling.
Tot slot bestaat er VRM-software die kan helpen bij het beheren van leveranciersrisico’s. VRM-tools van aanbieders van risicobeheer voor derden automatiseren kritieke taken zoals het beoordelen en monitoren van risico’s, en het implementeren en rapporteren van controles. Daarnaast kan software voor risicobeheer van externe leveranciers oplossingen bevatten voor het beoordelen van contracten en wijzigingen in beleid, procedures en correspondentie tussen je organisatie en de leverancier. En vaak helpt VRM-software je om risico’s te beoordelen binnen een complex netwerk van leveranciersrelaties.
Maak Vendor Risk Management een Sleutelonderdeel van je Functie
Het proces van vendor risk management is geen eenmalige taak, maar een continue cyclus van risicobeoordeling, beperking, monitoring en herbeoordeling. Het risicoprofiel van leveranciers kan in de loop van de tijd veranderen door diverse factoren zoals wijzigingen in de organisatie van de leverancier, marktomstandigheden, geopolitieke kwesties en veranderingen in regelgeving. Daarom zijn regelmatige risicobeoordeling en monitoring essentieel om een actueel risicoprofiel van leveranciers te behouden.
Een robuust systeem voor risicobeheer van leveranciers zorgt ook voor naleving van diverse regelgeving en normen. Dit kunnen sectorspecifieke regels zijn, landgebonden wetten of internationale regelgeving. Niet-naleving van deze regels kan leiden tot hoge boetes, juridische stappen en schade aan de reputatie van het merk. Effectief VRM draait dus niet alleen om het beperken van bedrijfsrisico’s, maar ook om het waarborgen van naleving van regelgeving.
Uiteindelijk is vendor risk management een integraal onderdeel van de totale risicobeheerstrategie van een organisatie. Naarmate bedrijven steeds meer afhankelijk worden van externe leveranciers voor diverse diensten, zal de focus op VRM in de toekomst alleen maar toenemen. Organisaties moeten zich daarom richten op het opbouwen en continu verbeteren van hun strategieën voor risicobeheer van leveranciers om zich te beschermen tegen potentiële risico’s en bedrijfscontinuïteit te waarborgen.
Als CISO van je organisatie moet je leveranciersrisico behandelen als elke andere meetbare en te verbeteren factor. Definieer, meet, monitor en onderneem actie op leveranciersrisico en de behoeften van je organisatie, zodat je de beveiliging en compliance van je data en systemen kunt waarborgen.