Leveranciers als risico

IT leveranciers zullen er alles aan doen risico’s voor de klanten te minimaliseren. Daarom zorgen ze voor up to date hard- en software en treffen ze tal van andere maatregelen om de IT veilig te houden. In principe worden alle klanten daar over geïnformeerd. Er is echter een verschil in het soort klant.

Kleine klanten van IT dienstverleners, en daarvoor nemen we als voorbeeld de lokale padvinders die een shared hosting website afnemen, zullen waarschijnlijk op de hoogte worden gehouden van verbeteringen en onderhoud via de website en reguliere servicemails of nieuwsbrieven. Dat is voor grotere klanten, of afnemers van complexere IT, denk aan een bank die de IT aan een derde partij heeft uitbesteed uiteraard een onbruikbaar scenario. Daar is de informatiestroom vele malen groter en ook gedetailleerder. Dar blijft het niet bij: grote klanten onderzoeken zelf pro-actief de kwaliteit en performance van hun IT leveranciers. Dat proces zal de lezer bekend zijn als de periodieke audits en vergelijkbare bezoeken.

Wat daar allemaal in kaart wordt gebracht en onderzocht valt buiten de scope van dit artikel omdat het gewoon te veel is. Wat ISP Today de lezers wel meegeeft is dat vorige week een onderzoek is gepubliceerd dat inzoomt op de cyberrisico’s van leveranciers die financials als klant hebben. Het is onderzoek gedaan door BitSight en het platform Center for Financial Professionals (CeFPro). Er is input gegeven door Amerikaanse en Europese financials die op hun beurt alle leveranciers onder de loep hebben genomen. Dat laatste maakt het onderzoek ook voor een wat grotere hoster of managed service provider relevant. De kans is immers aanwezig dat hij de IT van een leverancier van financials verzorgd. Wat zijn klanten exact doen zal en hoeft hij niet te weten. Wat hij wel moet weten is dat deze groep door financials onder de loep worden genomen en dat de uitkomsten daarvan kunnen tegenvallen.

97% van de financials die aan het onderzoek heeft meegedaan is van mening dat bij de toeleveranciers sprake is van cyberrisico’s. 80% heeft op grond van negatieve cyberrisico bevindingen (dat kunnen net zo goed audits zijn als concrete incidenten) inmiddels afscheid genomen van leveranciers of is in de fase dat te gaan doen. Een op de tien bedrijven die aan het onderzoek hebben meegedaan geeft ook aan menskracht te alloceren aan het dedicated controleren van de cybergezondheid van de leveranciers.

Het zijn cijfers die elke Nederlandse IT leverancier moet weten. Zo wordt inzichtelijk wat het begrip “compliance”, dat vaak wordt gebruikt door multinationals, beursgenoteerde bedrijven en dergelijke, in de praktijk betekent. De hele keten, waar je als provider maar een kleine schakel van uitmaakt, wordt doorgelicht. Als je klant zijn zaakjes niet voor elkaar heeft kan hij zijn opdracht als leverancier of onderaannemer van een financial kwijtraken. De cijfers lijken aan te geven dat zoiets vaker voorkomt en zal voorkomen dan we ons realiseren. Het kan verklaren waarom jij weer klanten en/of omzet kwijtraakt.

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.