VCM_042021_LR

RISK MANAGEMENT 15 V A L U E C H A I N M A N A G E M E N T - A P R I L 2 0 2 1 niet bereiken, dan kost dat je als bedrijf heel veel geld. Een tweede gevaar is ‘ransomware’, die bestanden gijzelt en blokkeert. Ransom- ware kan ook via een derde partij waarmee je als bedrijf samenwerkt in je netwerk komen. Als derde is er ‘phishing’, wat heel vaak voor- komt en allerlei doelen kan hebben. Om data te stelen of iemand valse rekeningen te laten betalen, bijvoorbeeld. De mogelijke impact is per probleem verschillend, maar als je er als bedrijf intrapt, kunnen die bedreigingen een serieuze aderlating betekenen.” Derde partijen VC: De supply chain is een complex verhaal. Waar in de keten bevinden zich doorgaans de grootste gevaren? Jelle Groenendaal: “Vroeger had je als orga- nisatie vaak de volledige controle over je systemen en data. Tegenwoordig is dat anders. Zodra je andere bedrijven toe- stemming geef t om je data te verwerken, bijvoorbeeld bij het gebruik van cloudtoe- passingen, verlies je een deel van de con- trole. Je bent dan deels afhankelijk van die derde partij. Dat is een kwetsbaarheid die je moet beheersen. Enerzijds vanwege de operationele impact wanneer die derde partij opeens uitvalt of ten prooi valt van hackers, anderzijds vanwege het reputa- tierisico. Als bedrijf riskeer je immers dat klanten jou als schuldige zullen aanzien wanneer gegevens zijn gestolen, terwijl het misschien wel de verantwoordelijk- heid van een derde partij was.” “Een andere kwetsbaarheid is dat de sup- ply chains almaar groeien. Een derde partij maakt op zijn beurt gebruik van nog een andere partij. Stel dat je als bedrijf een aantal IT-diensten afneemt van een dienst- verlener, die op zijn beurt zijn lot verbindt aan een cloud provider. Wanneer bij die cloud provider iets misgaat, heef t de hele keten daar dan last van. Dan kun je als bedrijf nog zoveel moeite doen om bij je derde partijen de veiligheid te controle- ren, als ze verderop in de keten allemaal gebruik maken van dezelfde cloudleve- rancier, en die valt uit, dan heb je een pro- bleem. Maar het werkt ook in de andere richting. Als die gemeenschappelijke cloud provider een hyperscaler is, zoals Amazon, Microsof t of Google, dan werk je met een grote en stabiele dienst. Kleine en zelfs grote bedrijven kunnen zelf nooit zo’n stabiele cloudoplossing maken als die grote spelers.” Ethisch hacker VC: Hoe kunnen we ervoor zorgen dat onze partners de spelregels rond de verwerking van data strikt naleven? J. Groenendaal: “Als er persoonsgegevens in spel zijn, stel je altijd een verwerkingsovereen- ent cyberveilig bestaat niet supply chain? Jelle Groenendaal, lector Risk Management & Cybersecurity aan de Haagse Hogeschool: “Cyber security is voor alle sectoren een groot en relevant risico, aangezien zoveel processen gedigitaliseerd zijn. Of je nu bakker bent, verzekeraar of een che- misch bedrijf: je moet er als organisatie sowieso mee aan de slag.” “Van zodra je anderen toestemming geeft om je data te verwerken, verlies je een deel van de controle.”

RkJQdWJsaXNoZXIy MjkyNTU=