Er zijn veel manieren om de beveiligingsstatus van een bedrijf te vergroten. Dit omvat het veiliger maken van netwerken en het trainen van personeel om niet voor social engineering te vallen. Een type risico dat echter vaak over het hoofd wordt gezien, zijn risico's van derden.
Als een bedrijf wordt gehackt, kan de aanvaller vaak schade toebrengen aan elk bedrijf dat ermee verbonden is. Dus als een van uw derde partijen gemakkelijk kan worden aangevallen, loopt uw bedrijf mogelijk indirect gevaar.
Risicobeheer door derden is ontworpen om dit probleem te verminderen. Dus wat is risicobeheer door derden en hoe moet het worden geïmplementeerd? Laten we het hieronder uitzoeken.
Wat is een derde partij?
Een derde partij is elke entiteit waarmee uw bedrijf samenwerkt. Het omvat uw leveranciers, uw leveranciers, uw zakenpartners en de serviceproviders die u gebruikt. Deze bedrijven leveren misschien maar een klein deel van uw bedrijf, maar dat weerhoudt u er niet van om op hen te vertrouwen.
Veel derde partijen hebben ook toegang tot het netwerk van uw bedrijf nodig om hun rol te vervullen. Dit betekent dat als ze worden gehackt, uw netwerk dat ook is.
Wat is risicobeheer door derden?
Risicobeheer door derden is de praktijk van het identificeren en verminderen van de risico's die voortvloeien uit het werken met derden. Het houdt in dat u kijkt met wie u momenteel samenwerkt, uitzoekt met welke risico's zij worden geconfronteerd en dat u voorzorgsmaatregelen neemt om uw bedrijf tegen deze risico's te beschermen.
Hoewel het niet mogelijk is om met derden samen te werken, is het doel van risicobeheer door derden om dit zo veilig mogelijk te doen. Afhankelijk van uw bedrijf kan dit inhouden dat u verschillende derde partijen gebruikt of uzelf afzondert van degenen die u heeft.
Waarom is risicobeheer door derden belangrijk?
Het is belangrijk om het risico van derden niet te onderschatten. Hier zijn een paar redenen waarom:
Bedrijven zijn steeds meer afhankelijk van derden
Vanwege het toegenomen gemak van uitbesteding vertrouwen veel bedrijven nu op derden voor alles, van gegevensopslag tot salarisadministratie. De meeste bedrijven zouden niet goed kunnen functioneren als een belangrijke derde partij een ernstige aanval zou ondergaan.
Beveiliging door derden varieert sterk
De beveiligingspraktijken van derden lopen sterk uiteen. Om te begrijpen welke partijen een risico vormen voor uw bedrijf, is vaak zorgvuldig onderzoek nodig. Risicobeheer door derden zorgt ervoor dat u de beveiligingshouding van elke partij begrijpt en deze waar nodig vervangt.
Derden hebben vaak toegang tot uw netwerk
Derden hebben vaak toegang tot uw netwerk nodig. Het is daarom gebruikelijk dat derden hun eigen gebruikersreferenties krijgen. Als die inloggegevens zijn gestolen, heeft de hacker toegang tot uw netwerk.
U bent aansprakelijk voor aanvallen van derden
Derden slaan vaak vertrouwelijke informatie op; daarom is uw bedrijf aansprakelijk als de derde partij wordt gehackt en die informatie wordt gestolen. Als de informatie van uw klant lekt, bent u verantwoordelijk, zelfs als het de schuld van de derde partij was. Dit stelt niet alleen uw bedrijf bloot aan reputatieschade, maar kan u ook vatbaar maken voor vervolging.
Risicobeheer door derden implementeren?
Risicobeheer door derden is een brede activiteit en de specifieke stappen die worden genomen, zijn afhankelijk van de grootte van een bedrijf en de soorten derden waarmee het samenwerkt. De meeste bedrijven hebben echter baat bij de volgende stappen:
Inventarisatie van alle derden
Om het risico voor uw bedrijf te begrijpen, heeft u een inventaris nodig van alle derde partijen waarmee u momenteel samenwerkt. Deze inventaris moet alle derden omvatten, ongeacht de grootte. U moet ook documenteren welke delen van uw netwerk en gegevens voor elk beschikbaar zijn.
Categoriseer derden op risico
Derden lopen sterk uiteen in termen van risico. Daarom moet een bedrijf elke derde partij indelen op basis van zijn risiconiveau. Hierbij wordt gekeken naar wat er kan gebeuren als ze worden gehackt en hoe groot de kans is dat dat gebeurt. Dit is belangrijk omdat u zich zo eerst kunt concentreren op de risicovolle derde partijen.
Overweeg alle risico's
Risicobeheer van derden gaat niet alleen over cyberbeveiligingsrisico's. Ze kunnen uw bedrijf op veel manieren schaden, zonder dat ze worden gehackt. Als ze om welke reden dan ook stoppen met het leveren van de overeengekomen service, kan uw bedrijf in de problemen komen. En als hun reputatie wordt geschaad, geldt dat ook voor uw reputatie door associatie. Daarom moet de risicobeoordeling alle potentiële risico's omvatten, niet alleen veiligheid.
Aanvullende informatie verkrijgen van derden
Risicobeheer van derden vereist veel informatie over derden, meestal verkregen door het verzenden van vragenlijsten. Het is een gangbare praktijk en u kunt hiervoor gestandaardiseerde vragenlijsten aanschaffen. Natuurlijk kan je ook maak je eigen vragenlijsten, maar u moet begrijpen welke vragen u moet stellen voordat u deze route bewandelt.
Minimaliseer de risico's
Nadat u alle derde partijen en hun risico's heeft geïnventariseerd, kunt u proberen de risico's te verkleinen. Dit kan inhouden dat u uw netwerk moet aanpassen, zoals het beperken van de toegang of het verzoeken aan derden om aanvullend beveiligingsbeleid te implementeren. Soms kan het ook gaan om het wijzigen van de derde partijen waarmee u samenwerkt.
Bewaking door derden instellen
Risicobeheer door derden is een continu proces dat regelmatig moet worden gecontroleerd. U kunt derden handmatig monitoren door regelmatig beoordelingen uit te voeren. Of u kunt software gebruiken die derden automatisch in de gaten houdt. Derden kunnen hun gedrag veranderen en de bedreigingen waarmee ze worden geconfronteerd veranderen voortdurend.
Herhaal dit voor nieuwe derden
U moet de bovenstaande stappen herhalen telkens wanneer u een nieuwe relatie met een derde partij aangaat. Alle aanvullende derde partijen moeten zorgvuldig worden onderzocht en geselecteerd op basis van het risico dat ze vormen. U dient elk van hen alleen het netwerk- en gegevenstoegangsniveau te geven dat nodig is om hun doel te bereiken.
Een incidentresponsplan hebben
Incidentresponsplanning is het proces van het maken van procedures die u kunt uitvoeren bij een beveiligingsincident. Risicobeheer van derden voorkomt niet noodzakelijkerwijs incidenten van derden, maar het kan worden gebruikt om de meest waarschijnlijke incidenten beter te voorspellen. Vervolgens moet er een incidentresponsplanning worden gemaakt om op die gebeurtenissen voor te bereiden.
Risicobeheer door derden is belangrijk voor elk bedrijf
Bedrijven vertrouwen nu op derden voor een breed scala aan diensten. Het is ook niet ongebruikelijk dat ze toegang krijgen tot beveiligde netwerken en verantwoordelijk zijn voor het opslaan van persoonlijke klantinformatie. In dit scenario kan een aanval op zo'n partij grote gevolgen hebben.
Risicobeheer door derden is een steeds belangrijker onderdeel van het beveiligen van een bedrijf. Alle bedrijven moeten duidelijk begrijpen met wie ze werken, welke risico's ze met zich meebrengen en hoe ze die risico's kunnen beperken.