Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Redactie - 22 maart 2017

Uitbesteden van security-management – pas op voor eilanddenken

Security
Uitbesteden van security-management – pas op voor eilanddenken image

Veel organisaties kijken vooral naar hun eigen systemen als het gaat om databeveiliging. Zij zijn minder geneigd na te denken over de mate van beveiliging van hun leveranciers of partners. Maar dat eilanddenken zorgt voor risico’s. Want organisaties zijn al lang geen geïsoleerde eilanden meer. Zeker op het gebied van IT is samenwerking met derde partijen, outsourcers, cloudservices en consultants gemeengoed. 

Die trend is goed verklaarbaar. Er is een breed aanbod van dienstenleveranciers en gespecialiseerde diensten zijn vaak te kostbaar om allemaal in eigen huis aan te bieden. Niettemin is het zaak oog te houden voor beveiliging. Daarbij verschuift de aandacht naar het beheren van de compliancy van externe partijen waarmee u zaken doet met behulp van bestaande information security-standaarden. Wanneer de betrokken IT-systemen geen eigendom zijn of niet door de organisatie beheerd worden, is dit niet eenvoudig. 

Het voldoen aan interne richtlijnen en overheidsrichtlijnen wordt daarom een kunst op zich. Het is nooit eenvoudig geweest deze compliancy te controleren, maar het wordt steeds complexer en de risico’s nemen toe. Ondanks dat uw eigen organisatie grote stappen heeft gemaakt in het beveiligen van de IT-infrastructuur, kan het zijn dat leveranciers toegang tot uw systemen en data hebben. Dat maakt een organisatie kwetsbaar voor aanvallen of ongeautoriseerde toegang. 

Vertrouwen
Uiteraard is er bij samenwerking met externe partijen de noodzaak van vertrouwen. U mag er immers van uitgaan dat de organisaties waar u mee samenwerkt ook waarde hechten aan goede beveiliging. Maar dat vertrouwen kan niet absoluut zijn. Wanneer een leverancier slordig of onkundig is, moet u daar proactief op inspelen. Vorig jaar wisten hackers de hand te leggen op vijftien miljoen klantgegevens van T-Mobile. Deze stonden op een server van Experian, dat credit checks uitvoerde voor T-Mobile. Deze server raakte tussen wal en schip voor wat betreft het beheer en was zo een gemakkelijk doelwit. 

Regelgeving
Daarom is het van belang om regelmatig checks uit te voeren en te kijken welke maatregelen een partner of leverancier heeft getroffen op beveiligingsgebied en welke procedures worden aangehouden. Dat is vandaag de dag weer moeilijker dan vroeger. Zo is het nodig om meer rekening te houden met regelgeving van overheden en toezichthouders die ook steeds complexer wordt. 

Deze checks omvatten normaal gesproken controles van bedrijfsprocessen via reguliere onderzoeken. Daarbij kijkt een organisatie naar de kritische gebieden van een leveranciersorganisatie zoals de businesscontinuity-plannen, de fysieke en omgevingsbeveiligingstools en -processen, de operationele risicomaatregelen en human resources-procedures. Onderdeel is ook het vaststellen of een leverancier beveiligingsstandaarden hanteert en deze ook in de praktijk volgt.  Het onderzoeken van derde partijen is overigens lastiger dan voorheen. Zo zijn er meer regels en policy’s vanuit overheid en toezichthouders die gecontroleerd moeten worden. Ook moeten de interne corporate governance en policy’s op orde zijn. Daarbij komt dat de regels zelf niet eenvoudiger worden. Door de toenemende risico’s rond IT komt er meer regelgeving op het gebied van dataprotectie en beveiliging. 

Nieuwe richtlijnen zoals de General Data Protection Regulation (GDPR) en Network and Information Security (NIS) van de Europese Unie kunnen bedrijven helpen bij het invoeren van best practices. Zij vereisen echter ook diepere en gedetailleerde onderzoeken om de mate van compliance te bepalen. GDPR adviseert organisaties bijvoorbeeld om een speciale medewerker aan te wijzen die verantwoordelijk is voor dataprotectie. 

Wie heeft toegang?
Het bepalen van alle contacten die toegang hebben tot een IT-infrastructuur wordt steeds lastiger, omdat die groep steeds groter wordt. Volgens een onderzoek van het Ponemon Institute monitort zestig procent van de bedrijven op geen enkele manier de beveiliging van vendoren met wie ze vertrouwelijke informatie delen. Bedrijven geven aan dat het aan middelen ontbreekt om te bepalen of een externe partij bereid is om onafhankelijke monitoring toe te staan. 

Audits automatiseren
Om dit efficiënter uit te voeren is het mogelijk om een groot deel van de risk assessment-activiteiten te automatiseren. Het ontwerpen, distribueren, volgen en beheren van audits hoeft niet handmatig te gebeuren, maar is ook vergaand te automatiseren. Deze onderzoeken moeten regelmatig plaatsvinden zodat is aan te tonen dat auditing op de juiste manier gebeurt. In plaats van te vertrouwen op het handmatig uitvoeren van deze activiteiten met spreadsheets of interviews, biedt automatisering de mogelijkheden om dit proces te vereenvoudigen en zijn leveranciers over een langere periode te volgen. 

Door alle informatie te centraliseren, is een beter inzicht te creëren in het netwerk van derde partijen en zijn betere afwegingen mogelijk over wie u toegang biedt tot uw IT-systemen en dus uw bedrijfsvoering. 

Bedrijven zijn geen eilanden meer en interne bedrijfsprocessen zijn steeds meer verweven met externe leveranciers en processen. Het is zaak om daar oog voor te hebben en de beveiliging van partners en leveranciers even serieus te nemen als uw eigen maatregelen. 

Door: Hariom Singh, Director Policy Compliance bij Qualys

Dutch IT events

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events