Redactie - 15 juli 2021

Hoe kwaadaardig zijn uw softwareleveranciers?

Hoe kwaadaardig zijn uw softwareleveranciers? image

Hoe bouw je een sterke relatie met leveranciers zonder de supply chain-security te verwaarlozen

Leveranciersrisicobeheer is de laatste twaalf maanden een terugkerend discussiepunt geworden als gevolg van een aantal high-profile supply chain-aanvallen. Een belangrijk element van de supply chain zijn softwareleveranciers. IT-teams zijn constant op zoek naar manieren om de risico’s op dit gebied te verkleinen. We willen echter ook allemaal vruchtbare relaties hebben met onze softwareleveranciers. Maar hoe onderhouden we deze partnerships terwijl we er tegelijkertijd voor zorgen dat de organisatie niet blootgesteld staat aan kwetsbaarheden?

In dit artikel leg ik uit hoe organisaties een goede balans kunnen bereiken tussen het in een kwaad daglicht zetten van een leveranciers omwille van supply chain-security en het toezien op de potentiële problemen die kunnen ontstaan door leveranciers niet genoeg onder de loep te nemen. Ik geloof dat security-teams op verschillende manieren vertrouwde relaties kunnen opbouwen waar beide partners op de lange termijn van kunnen profiteren.

Stop data te negeren

Ondanks dat IT-teams omringd zijn door data, gebruiken organisaties deze vaak niet om effectieve beslissingen te maken over het gebruik van software van derde partijen of om de risico’s met betrekking tot de supply chain te begrijpen. Bijvoorbeeld, wanneer organisaties de security-posture van hun leveranciers evalueren op kwetsbaarheden, overwegen zij vaak Extended Enterprise Risk Management (EERM) of Third-Party Risk Management (TPRM). Hoewel dit verstandige stappen zijn om te nemen, gebruiken zij vaak niet zoveel data als mogelijk zou kunnen. Om deze reden blijft er dus onbegrip over hoe data gebruikt kan worden voor risicomanagement. Te lang is software toegepast in non-production- en production-omgevingen zonder vooraf gebruik te maken van data om de juiste risico-analyse te maken.

Wat zijn de gevaren van het verwaarlozen van data in dit proces? En hoe kunnen organisaties stappen ondernemen om dit te veranderen en beter gebruik te maken van hun relatie met softwareleveranciers?

Verwar problemen niet met risico’s

Als het gaat om supply chain-risico’s verwarren veel organisaties ‘problemen’ met ‘risico’s’ - vaak gericht op minder belangrijke 'risico's' om emotionele redenen, in plaats van data te gebruiken om hun denken te informeren.

We definiëren ‘problemen’ als gecompromitteerde software, software supply of tool chains - een bestaand probleem. En zoals je zou verwachten, verwijst ‘risico’ naar de kans dat iets gebeurt in plaats van naar een bestaand probleem. In een notendop:

Risico = impact x waarschijnlijkheid

Het is belangrijk om te kijken naar het grotere plaatje bij het beoordelen van risico’s, hun mogelijke impact en de waarschijnlijkheid van deze risico’s als het gaat om de interactie met softwareleveranciers. De volgende vragen kunnen organisaties daarbij helpen:

  • Welke leverancier is het meest kritiek voor mijn werkzaamheden?
  • Waar bevinden leveranciers zich in mijn omgeving?
  • Wie heeft toegang tot welk onderdeel van mijn omgeving?
  • Wanneer zijn risico’s en security overwogen?
  • Waar maak ik me rationeel zorgen om vs. waar maak ik me emotioneel zorgen om?
  • Welke data heb ik beschikbaar om mij te helpen deze vragen te beantwoorden?

Neem de tijd om risico’s vanaf het begin volledig in te schatten

Helaas is het zeldzaam dat organisaties de antwoorden hebben voor alle hierboven gestelde vragen wanneer zij starten met een nieuwe leverancier - of dat de vragen überhaupt gesteld worden.

IT-teams zijn vaak zo gefocust op het uitrollen van het laatste grote initiatief, zoals Zero Trust-architecturen voor gebruikerstoegang of het implementeren van cloud-platforms om digitale betrokkenheid te stimuleren, dat zij geen tijd hebben om de risico’s van het werken met bepaalde leveranciers goed in te schatten. In plaats daarvan plaatsen zij vaak veel misplaatst vertrouwen in de softwareleverancier. Dit vertrouwen is vooral gebaseerd op de reputatie van deze leverancier: “ze zijn nog nooit gehackt” of “ze vertellen me dat ze miljarden uitgeven aan security, dus het moet wel veilig zijn”.

IT-teams moeten in plaats daarvan vragen stellen als: “weet ik echt hoe goed onze leveranciers hun werkzaamheden beheren?” “Hoe weet ik hoeveel technische schuld zij dragen?” Of “vormt de leverancier die drie jaar geleden is gehackt (en vervolgens een enorm bedrag heeft geïnvesteerd om zijn security te verbeteren) een minder groot risico dan een leverancier die nog nooit een openbaar gemaakte inbreuk heeft gehad?”

Breng de belangrijkste leveranciersprincipes op orde

Als deze vragen eenmaal beantwoord zijn - op basis van data - en een nieuwe relatie met een leverancier gestart is, zouden beide partijen moeten samenwerken om de basis te leggen voor een productieve relatie. Een aantal principes op basis waarvan een gezonde relatie met de leverancier gebouwd kan worden zijn:

  • Bouw strategische, lange termijn relaties
  • Werk samen voor de beste resultaten
  • Sta ervoor open om te leren en deel (de juiste) kennis
  • Probeer de andere kant te begrijpen en wat hen drijft in hun gedrag
  • Werk met de beste, en niet de goedkoopste, mensen
  • Wees op de juiste manier ‘commercially savvy’
  • Vertrouw, maar verifieer

Wanneer je werkt met leveranciers gaat het om de juiste balans: te weinig delen helpt niet bij het bouwen van wederzijds begrip en te veel delen kan de vertrouwelijkheid of NDA’s schenden. Om gezonde relaties met leveranciers te bouwen is het nuttig voor IT-teams om begrip te hebben van onderhandelingstactieken. Dit kan hen helpen ‘de andere kant’ te zien en oplossingen te vinden die voordelig zijn voor alle partijen.

Uiteindelijk moeten organisaties snel opnieuw evalueren hoe ze leveranciersrisico's analyseren. Ze moeten data gebruiken om zichzelf te beschermen tegen toekomstige problemen met de supply chain. In een wereld waar high-profile inbraken op leveranciers het onderwerp leveranciersrisicobeheer hoog op de agenda van de directiekamer hebben gezet, is dit nog nooit zo belangrijk geweest.

Door: Oliver Cronk, Chief IT Architect, EMEA bij Tanium

BW Dutch IT Partner Day tm 11-06-2024 CompTIA Community Benelux BW 7-31 mei
Datacollectief BN 13-05-2024 tm 03-06-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!