TPF-partner Eric Westhoek scherpt ons in de nieuwsbrief van maart 2022 aan met zes aandachtspunten die (vooral) van belang zijn wanneer je diensten bij een ICT- leverancier hebt ondergebracht.
Ben jij eigenlijk wel scherp op en tevreden met jouw ICT-leverancier(s)? Veel organisaties maken in meer of mindere mate gebruik van serviceproviders voor het leveren van diensten op het gebied van ICT. Dat kan heel eenvoudig zijn, denk aan het leveren van Office 365 diensten voor email en documentopslag, tot heel complex zoals het volledig uitbesteden van (deel)processen als Purchase to Pay of technisch en functioneel applicatiebeheer.
Onze ervaring is dat er nogal eens te weinig aandacht is voor het monitoren en beoordelen van de diensten die deze ICT service-providers leveren. Uitbesteding van werkzaamheden betekent nog niet dat de verantwoordelijkheid is verlegd! Iedere organisatie dient – uiteraard afhankelijk van de ermee gemoeide risico’s – een vorm van monitoring en controle in te richten om vast te stellen of de services tegen de gewenste kwaliteit, maar vooral ook veilig en betrouwbaar worden geleverd. Nog meer van belang is dat er altijd verantwoordelijkheden bij de organisatie zelf blijven liggen. Te vaak zien wij dat bij uitbesteding al snel wordt gedacht dat de leverancier ‘het wel regelt’. Maar, er blijven altijd interne controles aan de gebruikerszijde noodzakelijk. In dit blog benoemen we 6 aandachtspunten die vooral van belang zijn wanneer je diensten bij een ICT- leverancier hebt ondergebracht.
1. Ken je afhankelijkheden
Door gebruik te maken van een serviceorganisatie ontstaan er vaak gezamenlijke verantwoordelijkheden ten behoeve van de veiligheid van de dienstverlening. Als gebruikers bijvoorbeeld niet uitloggen van actieve sessies en/of hun wachtwoord delen, hoe kan een service organisatie dan garanderen dat er geen ongeautoriseerde gebruikers toegang hebben tot de dienst? Als een leverancier een derden-verklaring als een ISAE 3402 of SOC 2 uitgeeft, staan gezamenlijke verantwoordelijkheden als common criteria benoemd. Deze criteria zijn gebaseerd op het risk en control framework van de leverancier. Gedurende een audit waar de doelstellingen door de gebruikersorganisatie zijn gedefinieerd, komt het vaak voor dat verwachte verantwoordelijkheden van de service organisatie gedeelde verantwoordelijkheden blijken te zijn. Het beoordelen van de auditrapporten van je serviceprovider (of het zelf auditen van hun diensten) geeft transparantie en zal ervoor zorgen dat alle risico’s worden gedekt. Dan pas wordt ook goed duidelijk welke controles aan de zijde van de organisatie noodzakelijk blijven (de user entity controls).
2. Onderzoek incidenten
Heeft je leverancier een cybersecurity incident gehad en wil je graag weten wat er is gebeurd bij de leverancier die jij vertrouwde? Je kunt de leverancier natuurlijk vertrouwen op zijn blauwe ogen dat hij er verstandig opvolging aan heeft gegeven, maar je kan ook (laten) vaststellen dat incidenten met zorg zijn behandeld. De reden dat dienstverlening wordt geoutsourcet, is om ontzorgd te worden. Het beroepen op je ‘right-to-audit’ na een impactvol incident kan jou helpen je vertrouwen terug te winnen. Zeker anno vandaag met onrust en zelfs oorlog in de wereld, is cybercrime - ook voor kleine organisaties- ICT risico nummer 1. Blijf hierover dus in contact met je leverancier.
3. Draag zorg voor de privacy van gegevens
Privacy is enorm belangrijk geworden. Nog steeds komt er meer wet- en regelgeving in het kader van de privacy van persoonsgegevens. Natuurlijk moet ieder bedrijf zelf zorgdragen voor het voldoen aan de wet- en regelgeving. Maar wat gebeurt er als een bedrijf dat niet doet? Als een leverancier (persoonlijke) gegevens niet voldoende beveiligd en beschermt, zal dit niet alleen een negatief effect op de service organisatie hebben die een boete krijgt, maar klanten zullen het ook als negatief ervaren. De impact van zo’n incident heeft dus niet alleen betrekking op de leverancier, maar ook op het bedrijf dat de diensten heeft uitbesteed. Door leveranciers te auditen op privacy, krijg je meer grip op je leveranciers en weet je zeker dat je leveranciers op zijn minst de maatregelen treffen die jij noodzakelijk vindt.
4. Heb zicht op de keten
Weet jij of je leverancier gebruik maakt van andere partijen om diensten aan uit te besteden? Zijn er subleveranciers die niet, of juist wel, worden meegenomen in derden verklaringen als ISAE en SOC? Deels kan de keten van leveranciers worden vastgesteld door het lezen van derden-verklaringen, maar wat als een subleverancier indirect impact heeft op de dienstverlening van jouw leverancier zoals bijvoorbeeld de hosting en housing van de hardware en applicaties? Juist managed service providers hebben vaak hun platformen ondergebracht bij datacenters. De vraag is of die voldoen een de minimale eisen van beveiliging en betrouwbaarheid. Worden die subleveranciers wel beoordeeld? Uiteindelijk liggen ook daar mogelijk risico’s voor jouw organisatie. Zorg tenminste voor een analyse van die keten én beoordeel wat de impact kan zijn op jouw organisatie en hoe de uitbestede dienst wordt beheerst.
Met een goed overzicht van de leveranciersketen kunnen risico’s van leveranciers en subleveranciers veel beter inzichtelijk worden gemaakt.
5. Beoordeel SLA-rapportages
Heb je wel eens problemen met je leverancier en/of vertrouw je hun SLA-rapporten niet? Het kan handig zijn om deze rapporten te auditeren op juistheid, volledigheid en tijdigheid. Misschien heb je een website die 10% van de tijd onbereikbaar is terwijl je leverancier laat zien dat de website 100% van de tijd online was. Door het SLA-rapport te laten auditeren, kun je vertrouwen krijgen in de eerlijkheid van je leverancier. Het kan zijn dat er op een incorrecte wijze wordt gemonitord. Denk bijvoorbeeld aan het monitoren van de server uptime, maar niet de uptime van de connectiviteit van de webserver. Het kan ook zo zijn dat de leverancier juist meet en dat het probleem ligt bij de internetaansluiting van het kantoor of de internet provider van het kantoor. Een audit op de SLA zal duidelijk maken of je de SLA-rapporten van je leverancier wel of niet kunt vertrouwen.
6. Beoordeel facturering
Factureert je leverancier op basis van specifiek gebruik of heb je een discussie over specifieke technische details? Een auditor kan helpen om de juistheid, volledigheid en tijdigheid van data te toetsen en kan de omgeving van de leverancier toetsen op gebruikelijke en wettelijk standaarden. Als je onverhoopt in een patstelling komt, kan een audit duidelijkheid scheppen en helpen om de problemen helder te krijgen. Handig als je te maken krijgt met (onjuiste) aannames en beschuldigingen.
Heb je vragen naar aanleiding van dit blog, of heb je interesse in één van de genoemde mogelijkheden om de kwaliteit van je ICT-leverancier te beoordelen, neem dan contact op met Eric.