Hoe veilig zijn úw leveranciers?
Organisaties die aandacht geven aan de beveiliging van hun bedrijfsinformatie, maar het met een beperkte blik invoeren. Deze situaties tref ik helaas nog vaak aan. Door met een IT-bril naar deze vraagstukken te kijken, blijft de scope vaak beperkt tot de eigen systemen en infrastructuur. Dit is ongeveer hetzelfde als zes sloten op de voordeur plaatsen en een alarm installeren, maar de achterdeur – waar trouwens maar één slot op zit – open laten staan.Recente ‘hacks’ tonen aan hoe belangrijk samenwerking met de ketenpartners is om de continuïteit van de beveiliging van bedrijfsinformatie te waarborgen. Want slimme cybercriminelen weten ook de ‘leveranciersingang’ feilloos te vinden.
Informatiebeveiliging bij ketenpartners
Bedrijven die te maken hebben met wet- en regelgeving zoals de International Traffic in Arms Regulations (ITAR) en Export Administration Regulations (EAR) zijn zich er inmiddels – als het goed is – van bewust dat zij verantwoordelijk zijn voor de informatiebeveiliging van hun ketenpartners. Maar dit bewustzijn is nog lang niet tot alle organisaties doorgedrongen. Weet ú met welke partijen uw organisatie gevoelige informatie uitwisselt? En wie er toegang hebben tot uw ‘intellectual property’? Ook vraagt u zich nu wellicht af hoe makkelijk (delen van) tekeningen, documenten of betaalgegevens met toeleveranciers worden uitgewisseld.
Laten we ervan uitgaan dat u de zaken aan uw kant goed voor elkaar hebt: de bestanden worden versleuteld en uitgewisseld via een ‘secure channel’. Bovendien is ‘Data Loss Prevention’ actief, op een volwassen niveau. Heel mooi allemaal, maar wat doet de ontvangende partij met uw data? Zijn hier afspraken over gemaakt? En zo ja, is dit een standaardonderdeel van de audits op locatie bij deze partij ?
Recht op audit
Als de ontvangende partij informatie in een voor iedereen toegankelijke netwerkfolder zet, worden alle beveiligingsinspanningen in één keer teniet gedaan. Controleer daarom of er in de contracten met leveranciers afspraken zijn gemaakt over informatiebeveiliging en het ‘right to audit’. Dit biedt de mogelijkheid om de informatiebeveiligingsmaatregelen van de leverancier(s) te laten toetsen. Ga vervolgens niet uit van de papieren (schijn)veiligheid, maar voer daadwerkelijk periodieke controles uit. Voor de echte ‘kroonjuwelen’ zijn aanvullende (technische) maatregelen mogelijk om controle te houden over de informatie die uw bedrijf verlaat. Hierbij speelt gedegen ‘Identity Management’ een belangrijke rol.
Praktijkvoorbeeld
Steeds meer praktijkvoorbeelden bevestigen dat het kijken naar de informatie-uitwisselingsketen geen overbodige luxe is. Uit onderzoek van Deloitte onder 121 security executives uit 38 landen bleek al dat in de relaties met ketenpartners de grootste bedreiging op het gebied van cybersecurity ligt. Het meest in het oog springende voorbeeld was natuurlijk de hack bij de Amerikaanse winkelketen Target in december 2013. Hier wisten aanvallers de kassa’s te infecteren met malware en zo de persoonsgegevens van 70 miljoen mensen te bemachtigen. Volgens een onderzoeksrapport van een Amerikaanse Senaatscommissie konden de hackers hun gang gaan doordat Target zelf aantoonbare fouten had gemaakt. Een daarvan was dat een dienstverlener die niet aan de normen voor informatiebeveiliging voldeed, toegang tot het netwerk van Target had. Lees hier de analyse van deze hack door cxo.