Blog

| BLOG: INFORMATIE BEVEILIGING IN DE SUPPLY CHAIN |


 

Informatie delen met leveranciers verhoogt het risico dat informatie wordt aangetast en het risico van cyberaanvallen, maar het is essentieel voor de continuïteit van uw organisatie. Maar wat zijn deze risico’s, welke uitdagingen hebben organisaties, wat is de black-hole waar organisaties mee te maken krijgen, welke soorten leveranciers zijn er en hoe kan informatie in de supply chain worden beveiligd? Al deze onderwerpen en vragen komen aan bod in deze blog.

Informatie delen

In de afgelopen jaren hebben we ontdekt dat steeds meer waardevolle en gevoelige informatie – van intellectuele eigendommen, zoals technische tekeningen tot klantgegevens – wordt gedeeld met leveranciers die niet dezelfde moeite doen om deze informatie te beschermen. Wanneer informatie wordt gedeeld in de toeleveringsketen, gaat directe controle verloren en vergroot het risico dat de vertrouwelijkheid, integriteit of de beschikbaarheid van informatie in het gedrang komt. Indien informatie ergens in de supply chain wordt aangetast, kan dat net zo veel impact hebben als dat het in de organisatie gebeurt. Dat is de reden dat ik dit onderwerp deze maand wil bespreken in mijn blog .

Uitdagingen

Risico’s in de toeleveringsketen zijn moeilijk te identificeren en moeilijk te kwantificeren, en het kan de relatie met leveranciers verstoren.

Er zijn drie belangrijke uitdagingen waarmee organisaties te maken kunnen krijgen wanneer ze  informatie delen in hun supply chain:

  1. Gebrek aan bewustzijn van de gevoelige informatie die wordt gedeeld in contracten.
  2. Te veel contracten om individueel te kunnen beoordelen.
  3. Gebrek aan zichtbaarheid en controle omdat informatie wordt gedeeld door leveranciers in hun supply chain.

Het gaat niet om wie zich in uw supply chain bevindt, maar het is wie gevoelige informatie heeft en of zij deze informatie beschermen zoals u dat doet, of zelfs beter.

Zwarte gat

Naast de directe leveranciers staan ​​organisaties voor een zwart gat; Wanneer leveranciers informatie delen met hun leveranciers, wordt het risico verder verspreid in de toeleveringsketen. Er is geen gemakkelijke manier om zelfs maar een beetje controle te krijgen over wat er gebeurt met de informatie buiten de leveranciers waarmee de organisatie een overeenkomst sluit. Maar als er een incident is, kunnen de gevolgen net zo schadelijk zijn.

Soorten leveranciers

Er zijn verschillende soorten leveranciers, de “traditionele” leveranciers (bijvoorbeeld leverancier van goederen), leveranciers van uitbestedingen, leveranciers met  Remote Access en aanbieders van clouddiensten. Leveranciers met Remote Access verhogen het risico van stagnatie. Als ze externe toegang tot uw kernsystemen hebben, kunnen zij of een cybercrimineel met één klik op de “verkeerde” knop, voor een stagnatie van uw organisatieproces zorgen. Cloud computing (cloudiensten) kan zorgen voor co-mingling; Co-mingling vindt plaats wanneer meer dan één organisatie informatie heeft op dezelfde fysieke server, virtuele server, database of harde schijf bevindt.

Al deze leveranciers moeten anders worden benaderd en in overeenstemming met de mogelijke risico’s en het belang van de leverancier worden beschermd.

Zoals u ziet is het erg belangrijk om uw gevoelige informatie in de supply chain te beschermen, om de continuïteit van uw bedrijf te waarborgen. Om uw informatie in de supply chain te beschermen en te controleren, moet er een informatie beveiligingsprocess worden gedefinieerd.

Supply chain beveiligingsproces

Allereerst moet u beginnen met het creëren van bewustzijn in de organisatie en het proces van de informatie beveiliging in de supply chain fundering geven. Zonder dit zal er geen draagvlak zijn voor dit proces.

Ten tweede moeten alle leveranciers worden geïdentificeerd en gecategoriseerd op basis van de gevoeligheid en kritikaliteit van de informatie die ze hebben. Onderzoek de leveranciers vervolgens op basis van de relatie die zij hebben met het bedrijf en identificeer indirecte leveranciers. Zoek uit of er belangrijke commerciële, overheids-, juridische en regulerende factoren zijn die optreden bij het delen van informatie met de leveranciers. Als uw organisatie te veel contracten heeft om individueel te benaderen, is een andere aanpak noodzakelijk.

Bepaal vervolgens de vereisten waaraan de leveranciers moeten voldoen op basis van de kritische en gevoelige informatie ze heeft. Onderzoek de contracten en beoordeel in hoeverre leveranciers voldoen aan de vereiste afspraken/eisen. Als het contract eenmaal juist afgestemd is, moeten de informatiebeveiligingsprestaties van de leverancier worden gecontroleerd en geëvalueerd.

Als de leverancier belangrijk is, maar zich niet aan alle eisen kan houden, moeten er alternatieve eisen/regelingen worden aangeboden en getroffen. Opmerking: als een contract wordt beëindigd, is het belangrijk dat de informatie en de activa worden verwijderd/teruggestuurd.

Informatiebeveiliging is een continu proces. Leveranciers moeten worden gemonitord, nieuwe leveranciers moeten worden geïdentificeerd en nieuwe risico’s moeten in kaart worden gebracht.

Wilt u meer informatie over de informatie beveiliging in de supply chain of de prestatie van uw organisatie? Neem gerust contact met ons op!