In mijn wereld, een wereld die in het teken staat van cyber security, SaaS en vele aanverwante onderwerpen, kom ik veel in aanraking met ketens. Jij als organisatie besteedt iets uit, de dienst die je hiervoor inschakelt doet dit op zijn beurt ook en zo ontstaat al snel een keten. Alleen, de keten is zo sterk als de zwakste schakel. Ken je niet de hele keten? Dan kan het dus misgaan. Maar hoe zorg je ervoor dat je wél de nodige diensten uitbesteedt, maar dan zónder de risico’s van ketenafhankelijkheid?

Een keten is niet te overzien

Als voorbeeld van een keten gebruik ik graag een SaaS-dienst. Deze diensten bieden eindeloos veel functionaliteiten aan, waarvan je er als afnemer vaak maar enkelen echt gebruikt. Echter, je wil wel het overzicht houden van wie welke functionaliteiten gebruikt, en welke functies daar precies bij horen. Klinkt complex? Is het ook. Precies dit is waar ik me in mijn dagelijks werk graag mee bezig houd.

Als eindgebruiker zie je meestal echt niet meer hoe het geregeld is binnen de keten. Wat automatisch tot risico’s leidt. Ondanks dat ik al ruim 17 jaar werkzaam ben als security officer en risk manager, overzie ik zo’n keten ook niet. Dat de meeste SaaS-leveranciers niet 100% transparant zijn over hun ketens helpt hier overigens ook niet bij.

Microsoft als een van de schakels

Een van de schakels in een bestaande SaaS-keten, Microsoft, stopt dit jaar met een manier van authenticatie. Niet alleen gaven ze dit al een paar jaar geleden aan, ruim vóór de stop, ook boden ze verschillende alternatieven. Het enige dat organisaties moesten doen was deze wijziging doorvoeren in hun softwarepakket. Wilde je de oude manier blijven gebruiken? Ook geen probleem, alleen was er dan geen sprake meer van bewaking door Microsoft. Niet echt een goede optie dus.

De reden dat het geen goede optie is? Omdat de meeste organisaties niet dezelfde monitor capaciteiten hebben als Microsoft. Denk aan een integrale SIEM oplossing (Security Incident & Event Monitoring), voldoende SOC analisten met kennis van de diverse bouwstenen en 7×24 ‘eyes on the glass’. Daarbij komt ook dat Microsoft in staat is om veel bredere gebeurtenissen te plaatsen (correleren) dan wanneer je alleen naar jouw (zeer beperkte) stukje kijkt. Dit in combinatie met de hele bedoeling van SAAS dat het als een service draait, maakt dat je weet waarom het geen goed idee is.

Heeft jouw SaaS-leverancier zitten slapen? Dan heb je dit alternatief niet op tijd in je softwarepakket kunnen integreren en loop je ineens een groot risico. Of is de echte vraag eigenlijk of je wel zo afhankelijk wil zijn van een leverancier, omdat je dan het risico loopt dergelijke cruciale veranderingen te missen? Daar hebben we de koe bij de spreekwoordelijke hoorns.

Inzicht is key

Daarom luidt het devies: besteed je als organisatie diensten uit (en die kans is vrij aanwezig)? Wees je dan allereerst bewust van alle schakels die daarbij horen en zorg dat je deze inzichtelijk hebt. Zorg er vervolgens ook voor dat binnen deze keten zowel functionaliteit en security geborgd zijn. Hierbij is tweezijdige communicatie essentieel:

• De eerste schakel moet weten welke functionaliteiten en security-onderdelen van belang zijn, en geeft dit door aan schakel twee.
• Deze keten loopt vervolgens door, maar de schakels moeten ook terug blijven communiceren of er iets verandert in functionaliteiten en security-onderdelen.

Denk hierbij eens aan een Chinese whisper: stel je voor dat degene die de gefluisterde boodschap doorgeeft, dit altijd even bij de vorige fluisteraar mag checken. Dan is de kans dat de boodschap tussen de eerste en laatste fluisteraar intact blijft vrij groot, toch?

Kortom, zorg er als organisatie voor dat de juiste mensen zich bewust zijn van de risico’s die ze lopen. Het grootste risico is tenslotte het risico dat je niet kent. Heb je het idee dat je hierbij wel wat hulp kan gebruiken? Of heb je een ander vraagstuk rondom cyber security? Aarzel dan niet om contact op te nemen, ik vind het altijd leuk om mee te denken.