Op 28 maart was een mooie club CISO’s uit verschillende organisaties te gast in Assen bij het Wilhelminaziekenhuis. CISO Jan Metselaar ontving het Kennisnetwerk Informatieveiligheid, dat elk kwartaal op een andere locatie bijeenkomt.  

De spreker deze keer was Wilfred Hanekamp, CISO a.i. bij de Veiligheidsregio Fryslân. Hij gaf een interessante presentatie over leveranciersmanagement vanuit het perspectief van informatiebeveiliging. Een belangrijk onderwerp dat met de komst van de NIS2 op toegenomen belangstelling mag rekenen. Goed leveranciersmanagement is zowel in de project- als de procesfase van outsourcing een belangrijke waarborg om incidenten te helpen voorkomen. Drie aandachtspunten stonden centraal in zijn verhaal. 
 
1. Eisen stellen 
Denk goed na over (zinvolle) eisen die je aan leveranciers wilt stellen. Checklists en kaders kunnen hierbij helpend zijn, maar vaar er niet blind op: het blijft maatwerk op basis van een gezonde risico-inschatting. 
 
2️. Proces inrichten 
Zoek de samenwerking op met inkoop zodat informatiebeveiliging een volwaardige plek krijgt in het inkoopproces. Door met elkaar de dialoog aan te gaan en actief betrokken te zijn, voorkom je dat ‘het lastige security-lijstje’ te laat in het proces nog moet worden afgevinkt. 
 
3. Afspraken monitoren 
Gemaakte afspraken dienen periodiek te worden gecontroleerd. Hoe vaak en met welke diepgang is afhankelijk van – alweer- risico-inschatting. Ook hier is een samenwerking met inkopers van grote meerwaarde, bijvoorbeeld door informatiebeveiliging onderdeel te laten zijn van reeds geplande Service-Level-Management-gesprekken. 
 
Levendige discussie 

Dat dit onderwerp leeft bleek ook uit de levendige discussie die onder de deelnemers ontstond. Welke concrete eisen stel je bijvoorbeeld aan leveranciers en tot waar moet je kunnen vertrouwen op de deskundigheid en professionaliteit van de leverancier zelf? In hoeverre moet en wil je invloed hebben op ‘onderaannemers’? En wat zegt de NIS2 eigenlijk over dit onderwerp? Een ding staat als een paal boven water: inzicht in de keten is essentieel. De twee uren van de bijeenkomst waren eigenlijk te kort voor zo’n veelomvattend onderwerp.  
 
Samen met de kartrekkers van dit kennisnetwerk Lars de Haan, Esther de Jong en Bert Moorlag zijn we trots dat dit kennisnetwerk al vele jaren een plek biedt voor CISO’s om cross-sectoraal kennis uit te wisselen en elkaar te ontmoeten.  

Meer informatie over het Kennisnetwerk Informatieveiligheid is te vinden op onze website. Faciliterend programmamanager vanuit Samenwerking Noord is Linn Zuidema.

De hele maand oktober staat in het teken van cybersecurity. Om een steentje bij te dragen, wijzen we graag op een aantal initiatieven die kunnen helpen om jouzelf en je organisatie veilig te houden.  

Zo houdt het Digital Trust Center op haar website een actuele lijst bij met bekende (kritieke) kwetsbaarheden in veelgebruikte bedrijfssoftware en ICT-systemen. Je kunt ervoor kiezen om automatische een bericht te ontvangen als een nieuwe kwetsbaarheid bekend wordt door de RSS-feed te gebruiken of door je aan te melden bij de DTC-community.  

Ook nuttig: het Digital Trust Center heeft diverse infographics met handige informatie voor jouzelf of om binnen jouw organisatie te delen. Wat dacht je bijvoorbeeld van een phishing-bingokaart, een brochure met mythen en feiten over cybersecurity of de vijf basisprincipes van veilig digitaal ondernemen. Als je daarnaast klaar wil zijn voor de toekomst, kun je leren over manieren om je organisatie te beschermen tegen de dreigingen van quantumcomputers en AI tijdens een webinar van de AIVD. Of kijk naar een van de vele andere activiteiten op de website van Alert Online. Kortom, genoeg te doen in oktober!