-

Zes beveiligingsvragen die je iedere third party zou moeten stellen

Bedrijven en organisaties begrijpen onderhand wel wat voor gevolgen een datalek of een gerichte aanval op hun systemen kan hebben. Maar wat zijn de beveiligingsrisico’s bij derde partijen (third parties), zoals leveranciers waarmee wordt samengewerkt? 

Er zijn altijd organisaties die toegang hebben tot (een deel van) de bedrijfsgegevens. Het kan het accountantskantoor zijn, het bedrijf dat de administratie verwerkt of een bedrijf dat na een overname in handen van de organisatie is gekomen. Misschien gaat het om gegevens van medewerkers, klanten of patiënten, maar ook strategische bedrijfsinformatie kan in sommige gevallen bij een derde partij liggen. 

Met de komst van de AVG (Algemene verordening gegevensbescherming) zouden met name persoonsgegevens beter beschermd moeten zijn. Maar lang niet iedere organisatie haalt al het niveau om data – ook bij derde partijen – veilig te houden.

Meer derde partijen = meer datalekken

Uit onderzoek van het Ponemon Institute en Opus (een bedrijf dat zich richt op compliance-oplossingen) onder ruim duizend IT-professionals uit de Verenigde Staten en het Verenigd Koninkrijk blijkt dat 61 procent van de bedrijven in 2018 met een datalek te maken kreeg via een third party. In 2016 was dat nog 49 procent. Het percentage is dus aan het stijgen. Volgens de onderzoekers komt dat door de populariteit van het uitbesteden van IT-diensten en de enorme toename van het aantal derde partijen waar organisaties mee van doen hebben.

Zie alle data die gedeeld wordt met een rits andere partijen maar eens veilig te houden. Een bekend voorbeeld is het datalek bij het Groene Hart Ziekenhuis in Gouda in 2012. Niet via het ziekenhuis zelf, maar via een combinatie van slecht wachtwoordbeheer en kwetsbare FTP-servers in een datacenter, allen in beheer bij een externe partij. Hierdoor bleek een hacker toegang te hebben tot ruim 493.000 patiëntgegevens. Iets dat voor het ziekenhuis een verregaande impact had op haar bedrijfsvoering en reputatie.

Hoe kunt uw zich beschermen?

Veel datalekken hadden voorkomen kunnen worden door bewuster om te gaan met het mitigeren van kwetsbaarheden van de organisatie. Denk hierbij niet alleen aan technische systemen binnen uw organisatie, maar ook aan de kwaliteit van processen en het bewustzijn van medewerkers. Zowel binnen de organisatie als bij je leveranciers en partners.

Een van de eenvoudigste en meest effectieve manieren om bewustzijn te ontwikkelen, is de inzet van doelgerichte training. Door medewerkers te leren welke gevaren en uitdagingen er zijn omtrent datalekken, en ze te trainen in hoe ze daarmee moeten omgaan, verhoog je de totale beveiligingsgraad en weerbaarheid van de organisatie. Betrek hierbij ook je derde partijen. Leg contractueel vast dat zij hun personeel van eenzelfde training voorzien, en laat ze bewijslast leveren over de effectiviteit van de trainingen. Want trainen op zichzelf is nooit een doel, het gaat uiteindelijk om daadwerkelijk veiliger handelen.

De AVG biedt organisaties nog een aantal handvatten. Zo moeten organisaties die specifieke persoonsgegevens verwerken (kerken, politieke partijen) een Functionaris Gegevensbescherming aanstellen en is er een toetsingsmodel om de veiligheid van gegevens in kaart te brengen. 

Wat moet je te weten komen?

Voor bedrijven en organisaties die geen functionaris hoeven hebben en misschien (nog) niet de middelen hebben om uitgebreide audits uit te voeren bij derde partijen, zijn er de volgende zes vragen te beantwoorden:

  1. Heeft deze partij toegang nodig tot onze systemen?
  2. Welke data delen we met deze partij?
  3. Waar wordt de data door hen opgeslagen, en voor hoe lang?
  4. Met welke derde partijen werken zij samen?
  5. Welke maatregelen treffen zij om de data te beveiligen?
  6. Wat voor bewijs kunnen ze leveren dat de data veilig is bij hen?

Deze ‘mini-audit’ geeft een vrij goed beeld van de zorg waarmee een derde partij zich om data bekommert. Let op: als een partij geen bewijs kan leveren (in de vorm van een rapport of recente beveiligingsscan) dat de gegevens van de organisatie veilig zijn bij hen, is het waar mogelijk verstandiger om met een andere speler in zee te gaan. De uiteindelijke verantwoordelijkheid en het risico voor de veilige verhandeling en opslag van data blijft ten slotte bij uw organisatie.

Het is van groot belang om het aantal datalekken zo laag mogelijk te houden; niet alleen vanwege het belang van individuele organisaties, maar ook vanwege de veiligheid van het grote publiek. Hackers zijn erop uit om de kwetsbaarheden van je organisatie te misbruiken. En zij gebruiken daarbij alle middelen die voorhanden zijn. Ongeacht of dit binnen de organisatie of binnen die van je toeleveranciers en partners is. 

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond