Leveranciersmanagement centraal thema in Kennisnetwerk Informatieveiligheid

Op 28 maart was een mooie club CISO’s uit verschillende organisaties te gast in Assen bij het Wilhelminaziekenhuis. CISO Jan Metselaar ontving het Kennisnetwerk Informatieveiligheid, dat elk kwartaal op een andere locatie bijeenkomt.  

De spreker deze keer was Wilfred Hanekamp, CISO a.i. bij de Veiligheidsregio Fryslân. Hij gaf een interessante presentatie over leveranciersmanagement vanuit het perspectief van informatiebeveiliging. Een belangrijk onderwerp dat met de komst van de NIS2 op toegenomen belangstelling mag rekenen. Goed leveranciersmanagement is zowel in de project- als de procesfase van outsourcing een belangrijke waarborg om incidenten te helpen voorkomen. Drie aandachtspunten stonden centraal in zijn verhaal. 
 
1. Eisen stellen 
Denk goed na over (zinvolle) eisen die je aan leveranciers wilt stellen. Checklists en kaders kunnen hierbij helpend zijn, maar vaar er niet blind op: het blijft maatwerk op basis van een gezonde risico-inschatting. 
 
2️. Proces inrichten 
Zoek de samenwerking op met inkoop zodat informatiebeveiliging een volwaardige plek krijgt in het inkoopproces. Door met elkaar de dialoog aan te gaan en actief betrokken te zijn, voorkom je dat ‘het lastige security-lijstje’ te laat in het proces nog moet worden afgevinkt. 
 
3. Afspraken monitoren 
Gemaakte afspraken dienen periodiek te worden gecontroleerd. Hoe vaak en met welke diepgang is afhankelijk van – alweer- risico-inschatting. Ook hier is een samenwerking met inkopers van grote meerwaarde, bijvoorbeeld door informatiebeveiliging onderdeel te laten zijn van reeds geplande Service-Level-Management-gesprekken. 
 
Levendige discussie 

Dat dit onderwerp leeft bleek ook uit de levendige discussie die onder de deelnemers ontstond. Welke concrete eisen stel je bijvoorbeeld aan leveranciers en tot waar moet je kunnen vertrouwen op de deskundigheid en professionaliteit van de leverancier zelf? In hoeverre moet en wil je invloed hebben op ‘onderaannemers’? En wat zegt de NIS2 eigenlijk over dit onderwerp? Een ding staat als een paal boven water: inzicht in de keten is essentieel. De twee uren van de bijeenkomst waren eigenlijk te kort voor zo’n veelomvattend onderwerp.  
 
Samen met de kartrekkers van dit kennisnetwerk Lars de Haan, Esther de Jong en Bert Moorlag zijn we trots dat dit kennisnetwerk al vele jaren een plek biedt voor CISO’s om cross-sectoraal kennis uit te wisselen en elkaar te ontmoeten.  

Meer informatie over het Kennisnetwerk Informatieveiligheid is te vinden op onze website. Faciliterend programmamanager vanuit Samenwerking Noord is Linn Zuidema.