Cyber weerbaarheid in de uitbestedingsketen
Steeds vaker komt in het nieuws dat organisaties getroffen worden door malware zoals ransomware en andere vormen van cyberaanvallen. Een cyberaanval is een kwaadaardige en opzettelijke poging van een persoon of organisatie om in te breken in het informatiesysteem van een andere persoon of organisatie. Wordt een organisatie getroffen dan leidt dit niet alleen tot hoge kosten, maar ook tot uitgelekte data waarvan dan niet bekend is wat er mee gebeurt. Misschien betreft het wel persoonsgegevens van klanten of bestuurders die verkocht worden op het Darkweb. Het risico is dan aanwezig dat de identiteit van deze personen wordt gebruikt met alle nare gevolgen van dien.
Beveiligingsbeleid
We leven in een digitale wereld waar deze risico’s niet meer zijn weg te denken. Organisaties moeten constant mee ontwikkelen om deze risico’s te mitigeren. Dit betekent dat je als organisatie je beveiligingsbeleid periodiek hierop moet aanpassen.
Vanuit de AVG is dit een wettelijke plicht. Je moet in kaart brengen welke risico’s je loopt bij het verwerken van persoonsgegevens. Belangrijk is om in te schatten hoe groot die risico’s zijn en welke maatregelen er genomen kunnen worden om de risico’s zo goed mogelijk te beheersen.
Er zijn allerlei standaarden en/of raamwerken die ingezet kunnen worden op het gebied van cybersecurity. Denk aan Norea, ISACA, ISO27001 en het NIST Cybersecurity Framework.
Maar ook hier geldt dat je deze tijdig moet evalueren en bepalen of het raamwerk nog adequaat is om daadwerkelijk essentiële risico’s te beheersen. Net zoals de SIRA moet dit cyber raamwerk integraal onderdeel gaan uitmaken van het overkoepelende risicoraamwerk van de organisatie.
Dit betekent dat na elk ‘incident’, of dit nu intern is of bij een uitbestedingspartner, moet worden gekeken of de maatregelen nog adequaat zijn. Anders moeten nieuwe maatregelen worden getroffen om een volgend incident te voorkomen. Maar het is niet gemakkelijk om alle consequenties te overzien. De waarneming uit onderzoeken van DNB naar aanleiding van dit onderwerp was dan ook dat de risicomanagementcyclus gericht op informatiebeveiliging onvoldoende effectief is.
Organisaties die veel activiteiten uitbesteden
Daarom is het van belang om de informatiebeveiliging in de gehele uitbestedingsketen beheersbaar te maken. Er dient meer aandacht te worden besteed aan het in kaart brengen van de weerbaarheid tegen cyberaanvallen. Het risico dat de beschikbaarheid, integriteit en vertrouwelijkheid van informatie wordt geschaad is groot. Om dit risico het hoofd te bieden, maak je heldere afspraken met je uitbestedingspartner over de beheersing van cyberrisico’s die samenhangen met de uitbesteding van bedrijfsprocessen. Een risicoanalyse is een belangrijk instrument om zicht te krijgen op de mate waarin wordt voldaan aan de verplichting om persoonsgegevens te beveiligen.
Als bedrijf wil je dat je uitbestedingspartners actief op cybersecurity letten en sturen. Daarnaast zal er periodiek een gesprek moeten plaatsvinden binnen de uitvoeringsorganisatie om gegevens met betrekking tot cybersecurity te delen.
Dat is belangrijk, want je blijft verantwoordelijk voor je klanten; helaas zien we dat de uitbestedingspartners vaak nog onvoldoende zijn voorbereid op het delen van hun cybersecurity. Gaat er iets mis en je hebt hier niet actief in gestuurd en privégegevens en andere gevoelige data liggen op straat, dan heb je wat uit te leggen aan de toezichthouder (en uiteraard aan de betrokkenen op wie de gegevens betrekking hebben). Door proactief te monitoren op de weerbaarheid van cybersecurity bij de uitbestedingspartner, worden extra kosten en veel problemen achteraf voorkomen.
Belangrijk is om in control te zijn met betrekking tot cyberrisico’s:
- Start om te vragen welke assurance de uitbestedingspartner kan geven met betrekking tot de weerbaarheid van cybersecurity wanneer het gaat om bedrijfsdata. Heeft de uitvoerder cyberbeveiligingscertificeringen, zoals een ISO27001 certificering?
- Worden er compliance assessments uitgevoerdom de naleving te toetsen aan internationale industriestandaarden zoals Cobit (Control Objectives for Information and related Technology) van ISACA, ISO27001 (een algemeen bekende standaard waarin wordt beschreven wat je als organisatie moet doen om informatie goed te beveiligen) en het NIST Cybersecurity Framework?
- Wordt het beveiligingsniveau van de uitbestedingspartner periodiek geanalyseerd? Zijn er maatregelen getroffen door mogelijke scenario’s te inventariseren? Wat is de uitkomst van de evaluatie hiervan? Door van de uitbestedingsrelatie een beeld te krijgen van de mogelijke dreigingsanalyses kan het bestuur eventueel aanvullende maatregelen nemen daar waar nodig.
- Kan de uitvoerder in kaart brengen hoe de bescherming is ingeregeld tegen ongeoorloofde toegang of crimineel gebruik van netwerken, apparaten en gegevens? Bijvoorbeeld middels de informatie uit cyber resilience testen, dit is een waardevol instrument bij het bepalen van relevante risico’s en geeft een beeld over de werking van het risico raamwerk dat is opgezet door de uitbestedingsrelatie.
- Welke periodieke assurance rapportages kunnen opgeleverd worden om de organisatie zekerheid te geven, zoals onafhankelijke audit- en assurancerapportages over de beheersing van risico’s op het gebied van informatiebeveiliging en cybersecurity bij de dienstverlener en de betrokken belangrijke onderaannemers.
Als bovenstaande voorhanden is maak dan afspraken met de uitbestedingspartner om periodiek gerapporteerd te krijgen hierover. Laat een adviseur meekijken om ook kritische vragen te stellen als deze kennis niet of onvoldoende aanwezig is bij het bestuur. Een aandachtspunt hierbij is het onderdeel waar de kritieke data en informatie van het bedrijf is opgeslagen, hier moet goed naar worden gekeken of dit niet buiten beschouwing is gelaten (carve out).
Als bovenstaande niet voorhanden is, betekent dit dat je zelf in actie moet komen. Ga zelf aan de slag met een risicoanalyse. Laat hier ook een adviseur meekijken om een adequaat cyberraamwerk in te richten. Het bestuur van een organisatie is en blijft volledig verantwoordelijk voor de uitbestede werkzaamheden. Gaat het bij de uitbestedingspartner fout, dan is het bestuur verantwoordelijk als had het die fout zelf begaan. Zorg daarom dat je ‘in control’ blijft over de uitbesteding. Het is daarom van belang dat er een beheerste uitbestedingsrelatie ontstaat tussen jouw organisatie en de uitbestedingspartners.
Weten wat de risico’s zijn, is een belangrijk onderdeel van het verkrijgen van vertrouwen in de uitbestedingspartner.