Door toenemende afhankelijkheden van leveranciers, partners en externe dienstverleners verschuift een aanzienlijk deel van je risico’s buiten de directe controle van de eigen organisatie. Bijvoorbeeld door een verstoring bij je cloudprovider heb je geen toegang meer tot bedrijfsbestanden. Data die opgeslagen waren bij een derde partij zijn gelekt. Een kwetsbaarheid in een library van door jou gebruikte software veroorzaakt hoge stress.
Het zijn deze situaties waar het effectief beheersen van ketenrisico’s het verschil kunnen maken. Dat vereist een gestructureerde aanpak, passend bij het volwassenheidsniveau van jouw organisatie. Wij bieden je de helpende hand over ketenrisico’s.
Aan de slag gaan met ketenrisico’s is niet iets wat je ineens in de vingers hebt. Dat moet groeien. We beschrijven de stappen die jij kunt zetten om te groeien in het beheersen van ketenrisico’s aan de hand van de routekaart risicomanagement. Welke kennis, processen en maatregelen heb jij nodig om ketenrisico’s te integreren in je risicomanagement? We doen dat stapsgewijs in vier stappen: first steps, next steps, groeien en in control blijven. Kies hieronder de stap die het beste bij jou past en ga aan de slag met de ketenrisico’s in jouw organisatie.
Je weet dat je iets met de keten moet doen. Maar waar begin je? Het zetten van de eerste stappen kan ingewikkeld zijn want hoe krijg je grip op de risico’s van een ander? Het begint bij het weten waar ketenrisico’s zich in jouw organisatie bevinden en op welke wijze die een bedreiging kunnen vormen voor jouw bedrijfsvoering.
De basis is gelegd. Je hebt een eerste indruk van de ketenrisico’s en al eerste stappen gezet tot het mitigeren van deze risico’s. Naarmate je organisatie groeit, meer afhankelijkheden kent, of in een complexere omgeving opereert, is het van belang om het mitigeren van ketenrisico’s verder te optimaliseren. We gaan hier in op welke vervolgstappen jij kunt zetten om meer grip te krijgen op de ketenrisico’s in jouw organisatie.
Omgaan met ketenrisico’s is niet meer nieuw voor jou. Je weet waar ketenrisico’s jouw belangen kunnen raken, hebt overeenkomsten met leveranciers gesloten hoe deze te mitigeren en je monitort je Key Risk Indicators (KRI’s).
Het managen van ketenrisico’s is in jouw organisatie al professioneel ingericht. Met leveranciersmanagement krijg je grip op afhankelijkheden tussen jou en de leverancier. Je weet ook dat ketenrisico’s verder gaan dan het managen van je rechtstreekse leveranciers, ook toeleveranciers komen in beeld. Ketenrisico’s zijn complex want afhankelijkheden in soft- en hardware vormen mogelijk een bedreiging voor jouw belangen. Daarom wil jij in control blijven.
Leveranciersrisico’s, supplychainrisico’s, toeleveranciers. Het zijn termen die veelvuldig naar voren komen in het werkveld van cybersecurity. Het is daarom goed stil te staan bij wat we er precies mee bedoelen, om zo verwarring te voorkomen. Wij hanteren de volgende definities:
Hoewel de termen overlappen, ligt het verschil vooral in de schaal en complexiteit van de risico’s. Leveranciersrisico’s zijn vaak het meest tastbaar en direct te beïnvloeden, terwijl supply chain en met name ketenrisico’s vragen om bredere governance, monitoring en samenwerking binnen het ecosysteem. Wij hanteren de term ketenrisico’s. Dit doen we omdat deze term het meest alomvattend is als we spreken over risicomanagement en digitale weerbaarheid.
Wees je er verder van bewust dat het beheersen van ketenrisico’s een gezamenlijke inspanning vraagt. Niet alleen securitypersoneel, ook - en misschien wel vooral - inkoop en operationele afdelingen hebben een belangrijke rol.
