Toenemend belang van leveranciersmanagement voor informatiebeveiliging

Organisaties in de zorg en de overheid besteden steeds meer diensten uit. Maar hoe houd je grip op iets wat je hebt uitbesteed? Bij uitbesteding van ICT-beheerdiensten schiet informatiebeveiliging er nog wel eens bij in. Het is immers uitbesteed "dus het zal wel goed zijn". Voor de informatieveiligheid kan dit grote risico’s met zich meebrengen waarvan de opdrachtgever zich niet altijd bewust is. Organisatie blijven eindverantwoordelijk voor de informatiebeveiliging. Aan de basis ligt hier een actieve rol voor leveranciersmanagement op het gebied van informatieveiligheid.

Organisaties besteden meer uit

Organisaties besteden steeds meer ICT-diensten uit aan leveranciers omdat het snel toegang biedt tot technologie en vaardigheden die ze zelf niet hebben. Ook de krapte op de arbeidsmarkt is daarbij een drijfveer om toegang te krijgen tot voldoende beheercapaciteit. 

Verantwoordelijkheid

Gevolg van uitbesteden is dat organisaties voor de beveiliging van hun ICT-landschap steeds meer leunen op de inzet van externe ICT-diensten. Dit heeft gevolgen voor de informatieveiligheid. Toepassingen die eerst door de organisatie zelf werden beheerd en beveiligd worden nu namelijk door de leverancier beheerd en beveiligd. Hoe gaat de uitbestedende organisatie als opdrachtgever daar mee om?

Om de bedrijfscontinuïteit te garanderen hebben organisaties een groot belang dat hun gegevens veilig worden bewaard. Uitval van betrouwbare informatie betekent in veel gevallen de uitval van (delen van) bedrijfsprocessen. Diverse governance codes wijzen op de verantwoordelijkheid van de bestuurder om in control te zijn op de organisatie (waaronder informatieveiligheid). En ook de AVG wijst erop dat de opdrachtgever als verantwoordelijke partij (dus de partij die doel van en de middelen voor de verwerking van persoonsgegevens vaststelt) in control moet zijn over informatieveiligheid.

Als uw organisatie processen uitbesteedt stelt u het doel en de middelen vast en is de organisatie eindverantwoordelijk. De opdrachtgever (vaak bestuurder) is dan verantwoordelijk voor de veiligheid van gegevens bij een externe leverancier. 

Afstemming tussen opdrachtgever en externe dienstverlener

Bij uitbesteding geldt dat een deel van de diensten, die voorheen door de organisatie zelf werden geregeld, voortaan buiten de deur liggen. Daarmee ligt ook de informatiebeveiliging voor deze diensten buiten de directe invloedssfeer van de organisatie. Om die reden moet een koppelvlak tussen organisaties worden ingericht die de afstemming tussen de opdrachtgever en de dienstverlener inregelt. Hiermee wordt bedoeld dat op strategisch, tactisch en operationeel niveau wordt ingeregeld hoe, waarover en wanneer tussen de organisaties wordt afgestemd. En hoe de gemaakte afspraken en de naleving kunnen worden gecontroleerd.

Het proces van inkopen, management van leveranciers en contracten is natuurlijk niet nieuw. Daar kan vanuit informatieveiligheidsperspectief prima bij aangesloten worden. De verdeling van taken op strategisch, tactisch en operationeel niveau biedt houvast. 

1. Richtinggevend (strategisch) niveau - Leveranciersmanagement

Leveranciersmanagement gaat over het vaststellen, inrichten, onderhouden en monitoren van de leveranciersrelaties. Leveranciersmanagement gaat hierbij over de aansluiting van het portfolio op de strategische richting van de organisatie.

Daar waar de primaire dienstverlening vaak onderwerp is van gesprek met de externe dienstverlener, sneeuwt het onderwerp informatieveiligheid nog wel eens onder. Als de opdrachtgever deze rol niet pakt loopt de organisatie het risico dat de dienstverlening steeds minder aansluit bij de wensen van de organisatie en het vereiste niveau voor informatieveiligheid. Ook hier moet de dienstverlening van de leverancier meebewegen met de vraag van de uitbestedende organisatie.

2. Sturend (tactisch) niveau - Contractmanagement

Contractmanagement richt zich op een intensieve samenwerking met leveranciers. Het gaat over het maken van goede en adequate afspraken over de dienstverlening door de ICT-leveranciers, het bewaken van deze afspraken en het zo nodig verbeteren van deze afspraken.

• Definitie requirements
  Bij het afspreken van een SLA wordt er regelmatig voorbijgegaan aan de organisatie-eisen ten aanzien van informatiebeveiliging waaraan de leverancier moet voldoen. De basis voor goede eisen is de business impactanalyse en dataclassificatie. Welke eisen stelt de organisatie aan de beschikbaarheid, integriteit en vertrouwelijkheid van data? Als hoge beschikbaarheid en integriteit van data belangrijk is dan moet dit contractueel met de leverancier worden ingeregeld en moet de leverancier over de realisatie van deze voorwaarden rapporteren. Zonder business requirements worden SLA’s op onderbuikgevoel afgesloten en mist de aansluiting met de eisen uit de bedrijfsvoering. Dit kan betekenen dat er sprake is van over- of underdelivery. Bij overdelivery in de SLA betaalt de opdrachtgever te veel voor de diensten die hij nodig heeft. Bij underdelivery loopt de opdrachtgever het risico dat de impact bij uitval van of schade aan systemen groter is dan het zich wil of kan veroorloven.
• Heldere taakverdeling
  In de samenwerking moet glashelder zijn welke beveiligingstaken door de opdrachtgever worden uitgevoerd en welke door de leverancier. Voor de inhoud en kwaliteit van de dienstverlening (inclusief informatieveiligheid) moeten afspraken gemaakt worden en helder gerapporteerd worden over het behaalde niveau van de dienstverlening en de staat van informatiebeveiliging. Ook kan in het contract met de leverancier het recht opgenomen worden om periodiek een onafhankelijke audit te laten uitvoeren.

3. Operationeel niveau - Operationele ICT-aansturing en specificeren

Op uitvoerend niveau gaat het over de operationele afstemming met de leverancier.

Als er afspraken met de externe dienstverlener worden gemaakt over het niveau van de dienstverlening wil je als opdrachtgever ook rapportages ontvangen over de afgesproken prestaties. Dit geldt ook voor specifieke afspraken die zijn gemaakt rond informatieveiligheid zoals de criteria rond beveiligingsincidenten.

Tijdens de looptijd van het contract moeten de prestaties van de leverancier op het gebied van de borging van informatieveiligheid tegen het licht gehouden worden en waar nodig bijgestuurd.

Als opdrachtgever wil je erop kunnen vertrouwen dat de leverancier de processen op het gebied van informatieveiligheid heeft ingericht en dat deze processen werken voor de dienstverlening die wordt afgenomen door de opdrachtgever. Maar contractuele afspraken op papier zeggen niets over de daadwerkelijke werking van de afspraken tijdens de looptijd van het contract. Hiervoor zijn assurance rapportages nodig die daarbij meer zekerheid bieden dan een NEN7510- of ISO27001-certificering.

De leverancier kan jaarlijks assurance rapportages aanleveren zoals SOC2, ISAE3402/SSAE16 type 2 of TPM. De leverancier kan deze door een externe auditor of accountant laten opstellen en verstrekken aan de klant. 

Actieve rol van het leveranciersmanagement

Aan de basis ligt er dus een actieve rol van het leveranciersmanagement op het gebied van informatieveiligheid. De verdeling van taken op strategisch, tactisch en operationeel niveau kan hier houvast bij bieden. 

Bij de uitbesteding van ICT-beheerdiensten gaat het bij aanvang van contractonderhandelingen soms mis omdat de service levels niet aansluiten bij de business requirements van de organisatie. Zonder heldere business requirements is de veiligheid van informatie niet te garanderen. Zonder de juiste ingrediënten drijft de dienstverlening van de leverancier steeds verder weg van de wensen van de organisatie en nemen de risico's rond informatiebeveiliging ongezien toe. 

Meer weten?

Neem voor meer informatie over leveranciersmanagement, informatiebeveiliging en outsourcing vrijblijvend contact met ons op.

M&I/Partners adviseert en begeleidt organisaties bij het bepalen van de juiste sourcingstrategie, het begeleiden van selectietrajecten, het uitvoeren van contractmanagement en bij succesvolle regievoering. Wij zorgen er samen met u voor dat informatieveiligheid en privacy (blijven) aansluiten bij de processen van de organisatie.