6 redenen voor het uitvoeren van audits van leveranciers
Er zijn veel voordelen verbonden aan het uitvoeren van een audit bij uw leverancier. In een eerdere blog schreef ik over waarom je een auditrecht zou moeten uitvoeren. In deze blog bespreken we 6 voordelen voor het uitvoeren van een audit bij uw leverancier.
1. Ken je afhankelijkheden
Door gebruik te maken van een service organisatie ontstaan er vaak gezamenlijke verantwoordelijkheden ten behoeve van de veiligheid van de dienstverlening. Dan aan inloggen, als gebruikers niet uitloggen van actieve sessies en/of hun wachtwoord delen, hoe kan een service organisatie dan garanderen dat er geen ongeautoriseerde gebruikers toegang hebben tot de dienst? Als een leverancier een derden verklaring als ISAE 3402 of SOC 2 uitgeeft staan gezamenlijke verantwoordelijkheden als common criteria benoemd, deze criteria zijn echter wel gebaseerd op het risk en control framework van de leverancier. Gedurende een audit waar de doelstellingen door de gebruikersorganisatie zijn gedefinieerd komt het vaak voor dat verwachte verantwoordelijkheden van de service organisatie gedeelde verantwoordelijkheden blijken te zijn. Het auditen van je service provider geeft transparantie en zal ervoor zorgen dat alle risico’s worden gedekt.
2. Onderzoek incidenten
Heeft je leverancier een cyber security incident gehad en wil je graag weten wat er is gebeurd bij de leverancier die jij vertrouwde? Je kan de leverancier vertrouwen op de blauwe ogen dat hij er verstandig opvolging aan heeft gegeven, maar je kan ook (laten) vaststellen dat incidenten met zorg zijn behandeld. De reden dat dienstverlening wordt geoutsourcet is om ontzorgd te worden. Het beroepen op je ‘right-to-audit’ na een impactvol incident kan je helpen om je vertrouwen terug te winnen.
3. Draag zorg voor privacy
Privacy is enorm belangrijk geworden, en er komt steeds meer wet- en regelgeving in het kader van de privacy van persoonsgegevens. Natuurlijk moet ieder bedrijf zelf zorgdragen dat ze voldoen aan de wet- en regelgeving, maar wat gebeurt er als een bedrijf dat niet doet? Als een leverancier (persoonlijke gegevens niet voldoende beveiligd en beschermd, zal dit niet alleen een negatief effect op de service organisatie die een boete krijgt, maar klanten zullen het ervaren als iets negatiefs van het bedrijf waar zij zaken mee doen. De impact van een incident heeft dus niet alleen betrekking op de leverancier maar ook op het bedrijf dat de diensten heeft uitbesteed. Door leveranciers te auditing op privacy krijg je meer grip op je leveranciers en weet je zeker dat je leveranciers op zijn minst de maatregelen treffen die jij voldoende vindt.
4. Zicht op je leveranciersketen
Weet jij of je leverancier gebruik maakt van andere partijen om diensten aan uit te besteden? Zijn er sub-leveranciers die niet, of juist wel, worden meegenomen in derden verklaringen als ISAE en SOC? Deels kan de keten van leveranciers worden vastgesteld door het lezen van derden verklaringen, maar wat als een sub-leverancier indirect impact heeft op de dienstverlening van jou leverancier (zoals een ticketing systeem wat uitbesteed is)? Als dat een risico kan zijn op je organisatie, dan wil je weten wat de impact kan zijn op jouw organisatie en hoe de uitbesteedde dienst wordt beheerst. Bijvoorbeeld, als je data host bij een leverancier en er wordt een support en monitoring tool gebruikt dat zij hebben uitbesteed aan hun leverancier, wat is de impact als de dienst van de sub-leverancier niet beschikbaar is? De hosting van je data gaat waarschijnlijk gewoon door, echter de monitoring opties vallen uit, die wellicht voor jou cruciaal bent als je zaken aan het testen bent.
Met een goed overzicht van de leveranciersketen kunnen risico’s van leveranciers en sub-leveranciers veel beter inzichtelijk worden gemaakt.
5. Vertrouw je SLA
Heb je wel eens problemen met je leverancier en/of vertrouw je hun SLA rapporten niet? Het kan handig zijn om deze rapporten te auditeren op juistheid, volledigheid en tijdigheid. Misschien heb je een website die 10% van de tijd onbereikbaar is terwijl je leverancier laat zien dat de website 100% van de tijd online was. Door het SLA rapport te laten auditeren kan je vertrouwen krijgen in de eerlijkheid van je leverancier. Het kan zijn dat er op een incorrecte wijze wordt gemonitord, zoals het monitoren van de server uptime maar niet de uptime van de connectiviteit van de webserver. Het kan ook zo zijn dat de leverancier juist meet en dat het probleem ligt bij de internetaansluiting van het kantoor of de internet provider van het kantoor. Een audit op de SLA zal duidelijk maken of je de SLA rapporten van je leverancier wel of niet kan vertrouwen.
6. Vertrouw je facturen
Factureert je leverancier op basis van specifiek gebruik of heb je een discussie over specifieke technische details? Een auditor kan helpen om de juistheid, volledigheid en tijdigheid van data te toetsen en kan de omgeving van de leverancier toetsen op gebruikelijke en wettelijk standaarden. Als je in een patstelling komt kan een audit helpen om de problemen helder te krijgen en kan duidelijkheid scheppen in de aannames en beschuldigingen.
