Waar denk jij aan als je aan de cyberbeveiliging van je bedrijfsdata denkt? Aan de gegevens in de Cloud? Of de data op de server? Die twee zijn belangrijk. Maar data-beveiliging gaat verder. Tegenwoordig hebben veel organisaties hun gegevens ook in beheer bij derden. Denk aan administratieve gegevens als salarisgegevens of aan medische gegevens. Maar ook bedrijfsgevoelige data als omzet, productspecificaties of (fysieke) beveiligingsinformatie. Met deze bedrijfsdata in beheer bij derden loop je mogelijk verschillende risico’s.
Vaak wordt er – onterecht – vanuit gegaan dat de ‘zwakke plek’ van de beveiliging bij de organisatie zelf ligt en dat derden de beveiliging wel op orde zullen hebben. Maar niets is minder waar. Het risico van de derde partij is vaak een blinde vlek, die in kaart moet worden gebracht én waar de medewerkers zich bewust van moeten zijn.
Wereldwijde cijfers laten zien dat de risico’s van bedrijfsdata bij derden steeds groter zijn geworden, met grotere gevolgen. Inmiddels heeft meer dan 50% van de bedrijven een datalek door derden ervaren met lichte of zware consequenties. Heb je tot nu toe nog niet nagedacht over hoe de cyberbeveiliging bij leveranciers, serviceproviders of in de toeleveringsketen je bedrijfsvoering kan beïnvloeden? Dan geven we je met de volgende cijfers wat stof tot nadenken.
Om te illustreren hoe makkelijk het mis kan gaan wanneer je data in beheer hebt bij derden, hebben we een aantal sprekende voorbeelden voor je.
Een administratief medewerker bestelt kantoorartikelen bij een leverancier via een online-account. Ze gebruikt hetzelfde wachtwoord voor dit account, als voor haar Microsoft (Office) 365-account. Vervolgens heeft de kantoorartikelenleverancier een datalek, is haar wachtwoord onderschept én ligt dus ook haar Microsoft-wachtwoord op straat.
“Laat de verantwoordelijkheid van het wachtwoordbeleid niet bij de medewerkers liggen en neem zelf het initiatief met een one-time-login oplossing.”
De salarisadministratie gebruikt cloudgebaseerde software via een boekhoudbedrijf, om wekelijks de salarisadministratie te kunnen uitvoeren. Deze dienstverlener bezit alle financiële informatie, gevoelige informatie over het personeel en veel persoonlijk identificeerbare informatie over werknemers. Heeft deze boekhoudkundige dienstverlener een datalek? Dan komt gevoelige financiële of privacygevoelige informatie op straat te liggen. Ook kan een concurrent een hacker inschakelen, om actief informatie naar boven te halen die interessant is voor de concurrentie of een overname.
Je koopt al jaren verschillende componenten van je product – die je zelf niet kunt produceren – in bij een vertrouwde partner. Hij heeft alle technische gegevens en specificaties van jouw product in huis. Ontstaat bij hem een datalek? Bijvoorbeeld door een hack of doordat een medewerker ongeoorloofd toegang heeft tot een systeem en met de gegevens aan de haal gaat? Dan kan dit ernstige gevolgen hebben.
“Data Loss Prevention (DLP) -software houdt alle bewegingen van files op het netwerk in de gaten en geeft achteraf een rapportage wie een bestand heeft geopend of gekopieerd”
Je besteedt de automatisering uit aan een ICT-dienstverlener. Die dienstverlener gebruikt software waardoor alle servers en clients gemanaged kunnen worden. Oftewel: de dienstverlener beschikt letterlijk over álle digitale toegangssleutels van het netwerk, alle wachtwoorden en login-gegevens. Wanneer de ICT-dienstverlener gehackt wordt, hebben cybercriminelen dus de volledige toegang tot jouw bedrijfsnetwerk en alle gegevens.
Niet voor niets zijn ICT-bedrijven tegenwoordig een geliefd doelwit voor cybercriminelen. Heeft jouw ICT-dienstverlener cybersecurity niet als absolute nummer één binnen de bedrijfsvoering staan, bekijk dan kritisch of deze partner geen te groot bedrijfsrisico vormt.
Meestal kun je de gegevens bij derden niet beschermen. Wat je wel kunt doen, is de risico’s van je bedrijfsdata bij derden in kaart brengen. Daarbij kun je door middel van een analyse evalueren of dit aanvaardbare risico’s zijn, of dat er aanvullende maatregelen nodig zijn bij de derde partij. Volg daarvoor deze praktische stappen:
Daarnaast kun je natuurlijk eisen stellen aan je partners. Zoals het gebruikt van bepaalde beveiligingsmiddelen, software die activiteiten monitort of een cybersecurityplan. Ook kun je een ISO 27001-certificering vereisen. In je eigen organisatie kun je ook stappen zetten, waardoor je minder risico loopt wanneer een partner wordt gehackt. Welke stappen dit precies zijn verschilt per organisatie en type data. Volg bijvoorbeeld deze richtlijnen:
Benieuwd hoe het zit met de risico’s van jouw bedrijfsdata bij derden? De security-experts van HCA Groep kijken graag met je mee. Neem nu contact met ons op.