Leveranciersrisico

Hoe veilig is je leverancier eigenlijk?

Een praktische manier om leveranciers te beoordelen zonder dat het een fulltime baan wordt.

#leveranciersrisico

In mijn vorige blogs had ik het over risico’s, risk appetite en het kiezen van maatregelen. De oplettende lezer heeft misschien gedacht: leuk allemaal, maar een groot deel van mijn risico’s zit helemaal niet in mijn eigen organisatie. Denk aan IT-leveranciers, cloud diensten, boekhoudsoftware of partijen die toegang hebben tot je data.

Met andere woorden: leveranciers.

En daar zit meteen een praktisch probleem. Want als je alle frameworks en normen moet geloven (ISO27001, NIS2, noem maar op) zou je eigenlijk elke leverancier uitgebreid moeten beoordelen, audits moeten doen en stapels vragenlijsten moeten versturen.

Dat klinkt al snel als een fulltime baan.

Gelukkig kan het ook een stuk eenvoudiger. In deze blog laat ik zien hoe je leveranciers concreet kunt beoordelen zonder dat het een bureaucratisch monster wordt.

Eerst even een stap terug: waarom leveranciers beoordelen?

Veel organisaties besteden tegenwoordig een groot deel van hun IT uit. Je gebruikt bijvoorbeeld:

  • Microsoft 365 of Google Workspace
  • een cloud CRM systeem
  • een IT-beheerpartij
  • een salarisadministratiekantoor
  • een marketingbureau met toegang tot je website

Al die partijen kunnen – direct of indirect – invloed hebben op jouw informatiebeveiliging.

Een simpel voorbeeld.

Stel je voor dat je een klein architectenbureau hebt. Je bewaart al je ontwerpbestanden in een online cloudomgeving. Die omgeving wordt beheerd door een externe partij.

Als daar iets misgaat (bijvoorbeeld een datalek of langdurige storing), dan heb jij een probleem. Niet je leverancier.

Je kunt het risico dus niet volledig uitbesteden. Je kunt hooguit beoordelen of het risico acceptabel is voor jouw organisatie. Dat principe komt rechtstreeks uit risicomanagement waar ik eerder over schreef.

De grootste fout: iedereen hetzelfde behandelen

Een veelgemaakte fout is dat organisaties alle leveranciers hetzelfde behandelen.

Iedereen krijgt dezelfde vragenlijst van 120 vragen.

Dat levert drie problemen op:

  1. Het kost jou veel tijd
  2. Het kost de leverancier veel tijd
  3. Het levert vaak weinig nuttige informatie op

De truc is daarom: eerst bepalen hoe belangrijk een leverancier eigenlijk is.

Stap 1: verdeel leveranciers in drie categorieën

Je kunt leveranciers vrij eenvoudig indelen in drie groepen.

1. KritiekAls deze partij uitvalt of gehackt wordt, heb je direct een serieus probleem.

Voorbeelden:

  • IT-beheerpartij
  • cloud opslag van bedrijfsdata
  • software waar je primaire proces op draait

2. BelangrijkHet is vervelend als hier iets misgaat, maar je bedrijf ligt niet meteen stil.

Bijvoorbeeld:

  • HR software
  • marketing tools
  • CRM systemen

3. OndersteunendHeeft weinig tot geen impact op je informatiebeveiliging.

Bijvoorbeeld:

  • kantoorartikelen leverancier
  • schoonmaakbedrijf
  • catering

Nu hoef je dus niet alle leveranciers uitgebreid te beoordelen. Alleen de eerste categorie verdient echt aandacht.

Dat scheelt vaak al 80% van het werk.

Stap 2: stel vijf simpele vragen

Voor kritieke leveranciers hoef je echt geen auditteam op pad te sturen. Met een paar gerichte vragen kom je vaak al een heel eind.

Bijvoorbeeld deze vijf:

  1. **Waar staat onze data opgeslagen?**In de EU, VS of ergens anders?
  2. **Hoe wordt data beveiligd?**Bijvoorbeeld encryptie, toegangscontrole, logging.
  3. **Wat gebeurt er bij een datalek of incident?**Hoe snel word je geïnformeerd?
  4. **Hoe maken jullie backups?**En hoe snel kan data worden hersteld?
  5. **Hebben jullie certificeringen?**Bijvoorbeeld ISO27001 of SOC2.

Het gaat hier niet om het perfecte antwoord. Het gaat er vooral om dat je een beeld krijgt van hoe serieus een leverancier beveiliging neemt.

Een leverancier die geen enkele vraag kan beantwoorden over beveiliging is meestal geen goed teken.

Stap 3: let op signalen (de “onderbuiktest”)

Naast inhoudelijke antwoorden kun je ook letten op een paar signalen.

Goede signalen:

  • duidelijke documentatie
  • security pagina op de website
  • transparante communicatie over incidenten
  • bestaande certificeringen

Minder goede signalen:

  • vage antwoorden
  • “dat regelt AWS voor ons”
  • geen idee waar data staat
  • geen contactpersoon voor security vragen

Het is een beetje zoals bij een garage. Als je monteur niet kan uitleggen wat er onder de motorkap gebeurt, ga je je ook afvragen of je auto wel in goede handen is.

Stap 4: bepaal of het risico acceptabel is

Na je beoordeling komt eigenlijk dezelfde vraag terug als bij je eigen risico’s:

Is dit acceptabel voor mij als ondernemer?

Een voorbeeld.

Je gebruikt een relatief kleine SaaS-leverancier voor projectmanagement. Ze hebben geen ISO certificering, maar:

  • data staat in Europa
  • ze maken dagelijkse backups
  • ze reageren snel op vragen
  • andere klanten zijn positief

Voor een multinational zou dat misschien onvoldoende zijn.

Voor een MKB bedrijf kan dat prima acceptabel zijn.

Dat hangt weer samen met je risk appetite (hoeveel risico je bereid bent te nemen).

Kader: je hoeft het niet perfect te doen

Veel ondernemers denken dat leveranciersbeoordeling een enorm ingewikkeld proces moet zijn.

Dat hoeft niet.

Zelfs grote organisaties hebben moeite om dit perfect te doen. De ketens van leveranciers worden namelijk steeds langer.

Het doel is daarom niet perfectie.

Het doel is dat je bewust hebt nagedacht over de belangrijkste leveranciers.

De versimpelde versie

Vind je zelfs dit nog te veel werk? Dan kun je het nog simpeler maken.

Doe het volgende:

  1. maak een lijst van je 5 belangrijkste leveranciers
  2. stel ze een paar basisvragen over beveiliging
  3. noteer kort de antwoorden
  4. bepaal of je je er comfortabel bij voelt

Dat hele proces kost je waarschijnlijk een middag.

En het grote voordeel: als er ooit iets misgaat, kun je in ieder geval zeggen dat je bewust hebt gekeken naar de risico’s.

Dat is altijd beter dan er nooit over nagedacht hebben.

Tot slot

Leveranciers beoordelen klinkt vaak ingewikkelder dan het is. In de praktijk gaat het vooral om drie dingen:

  • bepaal welke leveranciers echt belangrijk zijn
  • stel een paar gerichte vragen
  • bepaal of het risico acceptabel is

Je hoeft er geen fulltime baan van te maken.

Maar er helemaal niets mee doen is een beetje hetzelfde als een struisvogel die zijn kop in het zand stopt. Dat voelt misschien even veilig, maar als er een leeuw langskomt helpt het je niet echt verder.

Klaar met lezen?

CISO Essentials helpt je je gedachten te vertalen naar een concrete aanpak — zonder dure tools of een fulltime CISO.

Intake aanvragen
Alle artikelen