Eerder schreef ik al over de risico’s van ketenafhankelijkheid, en hoe je dit als organisatie voorkomt. Maar in een tijd waarin dienstenmodellen centraal staan, oftewel: uitbesteden wat je kan uitbesteden, worden er ook aan de lopende band nieuwe risico’s geïntroduceerd. Gelukkig heb je altijd de traditionele afdeling security, ook wel bekend als ‘de afdeling die altijd nee zegt’. Daarom stel ik me vandaag graag verder aan je voor: Mijn naam is Siebe, Siebe Security. Van mij mag alles, zolang je de risico’s maar kent en accepteert.
We zien wel wat de impact is
Als er een security-vraagstuk op tafel komt weten organisaties mij altijd te vinden. En als ik een vraagstuk niet uit mijn hoofd op weet te lossen dan heb ik het antwoord altijd snel gevonden. Voor een security officer en risk manager ben ik misschien ook als ‘best wel optimistisch’ en ‘meegaand’ te omschrijven, maar als ik dingen hoor als “we zien wel wat de impact is” dan gaan mijn nekharen rechtovereind staan.
Ik probeer mensen altijd zelf na te laten denken. Hameren op ketens overzien om risico’s in te schatten is eerder regel dan uitzondering. Vroeger waren we ook afhankelijk van softwareleveranciers, maar had je als organisatie zelf de controle om de keten te bewaken en een noodverbandje aan te leggen waar nodig.
Was vroeger echt alles beter?
Over de vraag of hier geldt dat vroeger alles beter was, valt de discussiëren. Het hangt tenslotte af van de eigen moeite die je erin steekt. Hoe belangrijker de keten voor de organisatie, hoe hoger de effort om de controle te behouden. Dit betekent echter ook een investering qua mensen, kennis en tijd. Uit deze afweging komt vaak de beslissing om het uit te besteden, en dat is wanneer mijn gehamer op de risico’s begint.
Zorg ervoor dat wanneer een keten cruciaal is voor je bedrijfsproces, je over schakels beschikt die sterk zijn en sterk blijven. Dit geldt voor de functionaliteit, maar zeker ook voor het niveau van beveiliging. Want het acceptatieniveau voor risico’s dat je als organisatie hebt, moet wel overeenkomen met het acceptatieniveau dat jouw SaaS-leveranciers (en hun onderleveranciers) erop nahouden.
De risico’s van een niet passend acceptatieniveau
Het heeft geen zin om een keten te bouwen of af te nemen die een veel hoger security-niveau heeft dan nodig. Niet alleen zorgt dit voor onnodig hoge kosten, het maakt ook dat procedures strakker geregeld moeten zijn dan dat ze werkbaar zijn voor jou organisatie. Net zomin heeft het zin om een veel te laag acceptatieniveau te aanvaarden, omdat leveranciers niet aan de eisen kunnen voldoen waar jouw risico’s om vragen. Doe je dit wel, dan accepteer je dus risico’s die je helemaal niet wilt.
Dus, lieve organisaties, zie de afdeling cyber security eens als de afdeling Siebe security. Een afdeling waar je altijd een “ja” krijgt op je verzoek, mits je de risico’s maar kent en accepteert. En kun je wel wat hulp gebruiken bij jouw afdeling Siebe security? Dan weet je me vanaf nu te vinden.