Wat IT-leveranciers je niet vertellen over security (deel 1/5)

Als een deel van een bedrijfsproces door een leverancier wordt uitgevoerd, hoe kun je dan als klant vaststellen of je leverancier daadwerkelijk veilige diensten levert? De meeste IT-leveranciers hebben wel een verhaal over de beveiliging van hun diensten, de uitdaging is echter om de hiaten in dat verhaal te vinden en om een goed beeld te krijgen van de beveiliging van de dienst in kwestie. In een serie blogs ga ik in op praktische manieren om leveranciers op het juiste beveiligingsniveau te houden. Deze keer de aftrap: security management over de leveringsketen.

Security management over de leveringsketen

Uitbesteding van IT-diensten is niet tegen te houden. Het is niet alleen goedkoper, maar zeker bij het midden- en kleinbedrijf geldt dat het ook ondoenlijk is om de benodigde expertise aan te trekken en vast te houden. De leveranciers maken op hun beurt weer gebruik van platformen die ze van een cloud provider als Google, Microsoft, Oracle of Amazon afnemen. De leveringsketen kan daardoor erg versnipperd zijn. Hoe deze ook wordt ingevuld, uiteindelijk gaat het om bedrijfskritische informatie waarvoor de uitbestedende organisatie zelf verantwoordelijk is. Hoe weet je als organisatie dat je leveranciers voldoende veilig zijn?

Om het vraagstuk beter te kunnen aanpakken is het nuttig om de IT-dienstverlening op te delen in verschillende lagen. Zo worden de verantwoordelijkheden en afhankelijkheden helder. Een gangbare indeling is in onderstaande figuur weergegeven. Deze is ontleend aan TOGAF (zie ‘Integrating Risk and Security within a TOGAF® Enterprise Architecture’, www.opengroup.org/bookstore/catalog/g152.htm).

 

Chain

 

Wat wil dit zeggen? Stel, je neemt internet connectivity af van KPN. Om te weten of het beveiligingsniveau van deze dienst passend is, dienen de security requirements op netwerkniveau helder te zijn. Deze requirements staan in het eigen netwerkbeleid. De security specificaties van de netwerk-dienst dienen hiertegen te worden gevalideerd. Deze specificaties kunnen staan in de SLA, in de leveringsvoorwaarden of bijvoorbeeld in het netwerkbeleid van de leverancier. Je bent dus niet geïnteresseerd in het hele security policy framework van KPN, maar alleen op dat deel wat relevant is voor de internet connectivity dienstverlening.

Hoe stel je vast of een externe leverancier voldoende veilig is?

Voor het vaststellen of een leverketen of dienst voldoende veilig is kan gebruik worden gemaakt van verschillende standaarden. Een common-sense aanpak wordt gegeven door het Information Security Forum (ISF). Het is terug te vinden in de publicatie ‘Securing external suppliers and supply chains: the ISF approach’, door Davis (2011). De aanpak is in onderstaande diagram weergegeven.

BP

Figuur 1. TOGAF-model voor IT-architectuur met afbakening security management domeinen.

De lagen uit de figuur zijn:

  • bedrijfsproces – de (primaire) bedrijfsprocessen en de organisatie ervan
  • informatie – de informatievoorziening die hoort bij de bedrijfsprocessen.
  • applicatie – de bedrijfsapplicaties waarmee de informatie wordt verwerkt.
  • Infrastructuur – de servers, het netwerk en basisvoorzieningen zoals e-mail en internettoegang.

Beveiliging ligt over alle lagen heen. Om goed zicht te krijgen en sturing te geven dient informatiebeveiliging in elke laag te worden aangepakt. De business en informatie-lagen liggen doorgaans bij de organisatie zelf, uitbesteding gebeurt veelal in de onderliggende lagen. In de volgende diagram is een voorbeeld uitgewerkt. Hierin staan de donkere blokken voor uitbestede diensten.

BP2

Figuur 2.  Voorbeeld-invulling van de enterprise architectuur, met focus op rollen van leveranciers 

Het model helpt om te zien welk deel van de IT-stack door leveranciers wordt geleverd. Hieruit kan ook de aansturing worden afgeleid: de bovenliggende laag stuurt de onderliggende laag aan via het stellen van requirements. Deze requirements zijn onderdeel van de security policy, welke moet passen bij het laagje waarop de dienst wordt geleverd en de aard van de dienst.

BP3

Figuur 3. Aanpak voor beveiligen van bedrijfsvoering met externe leveranciers

In hoofdlijnen bestaat deze aanpak uit:

  1. Het inventariseren van de leveranciers, hun diensten en het benodigde security niveau van de diensten. Tevens het prioriteren van assessments op basis van het risicoprofiel van de leverancier.
  2. Het definiëren van de eisen op het vlak van security en privacy. Deze set van eisen dient te zijn afgestemd in de lever-overeenkomst.
  3. Het toetsen van de beveiliging van de dienstverlening aan de vastgestelde set van eisen. Dit is een terugkerende activiteit.
  4. Het voorzien in een veilige beëindiging van de dienstverlening, waarbij overdracht en vertrouwelijk houden van data een belangrijk aspect is.

Met bovenstaande modellen is het mogelijk om de leveranciers te positioneren in de IT-architectuur zodat duidelijk wordt op welk niveau aansturing nodig is. Dit komt van pas in stap A van de aanpak om de security van leveranciers te valideren. In volgende blogs wordt elk van de onderdelen van deze aanpak verder uitgewerkt.

Er is ook een webinar geweeest over dit dit onderwerp. Daar zijn de onderstaande onderwerpen aan bod gekomen:

  • Het structureren van de diensten en sub-processen, zodat de security domeinen duidelijk worden.
  • Enkele praktische manieren om de beveiliging van de dienstverlener te controleren
  • Een lichtgewicht scan van de internet footprint van een leverancier, met verbazingwekkende resultaten.

Webinar gemist? Klik dan hier voor de video

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten