6 November 2019

AuditConnect helpt grip op de keten te krijgen

AuditConnect helpt grip op de keten te krijgen

Veel organisaties werken samen met leveranciers en partners om hun dienstverlening te optimaliseren, aan te vullen of te completeren. Maar hoe zorg je ervoor dat informatiebeveiliging ter attentie van uitbestede of gedeelde processen op orde is en blijft? Daar kan AuditConnect bij helpen.

De overheid en samenleving stellen steeds hogere eisen aan de beveiliging van data. Als bedrijf kun je informatiebeveiliging zelf wel op orde hebben, maar dat geldt niet per definitie voor (beoogde) partners en leveranciers. Vaak zijn er (gedeelde) koppelingen waarover ook soms de organisatie eigen data over gaat bij deze partijen. Dat terwijl er veelal wel verantwoording over deze hele keten afgelegd moet kunnen worden aan toezichthouders, klanten, partners en aandeelhouders.

“Wij zien een groeiende vraag naar een schaalbaar te gebruiken framework voor de on-boarding van dergelijke partners en leveranciers”, vertelt Carean Ventevogel van AuditConnect. “Bedrijven hebben steeds vaker behoefte om een normenkader te ontwikkelen op het gebied van informatiebeveiliging en IT, om ter attentie van deze partijen mogelijke risico’s op het gebied van data uitwisseling en informatiebeveiliging voorafgaand aan het koppelen ermee inzichtelijk te maken.”

Die normenkaders zijn veelal erg klant specifiek. “In het geval van een universiteit hangen daar andere wensen, eisen en voorwaarden aan dan bij bijvoorbeeld een bouwmarkt”, aldus Ventevogel. “Wij merken dat klanten hier zoekende in zijn. Ze vragen zich af waar ze rekening mee moeten en kunnen houden, hoe risico’s gedefinieerd en geanalyseerd kunnen worden en hoe hun eigen beveiligingsdoelstellingen door vertaald moeten worden naar hun (potentiële) partners.”

Welke risico’s besteed je uit?

AuditConnect biedt expertise en ondersteuning bij het opzetten van een schaalbaar normenkader. Hierin kunnen klant specifieke- alsmede generieke informatiebeveiligingseisen opgenomen worden en methodes voor controle om te verifiëren of deze normen nageleefd worden. Binnen AuditConnect zit een ervaren team met expertise op dit gebied. “Een bedrijf moet allereerst in kaart brengen aan welke regels het zelf allemaal moet voldoen”, vertelt Kees van Diepen van AuditConnect. “Vervolgens kan je dat door vertalen naar (potentiële) partners en kun je vaststellen welke van deze risico’s aan hen worden uitbesteed.”

Bovendien hebben bedrijven ook allerlei normen waar ze zelf aan willen voldoen, die ook doorvertaald moeten worden naar de partners. AuditConnect kan vanaf het begin van dit proces al ondersteuning bieden, door dit alles in kaart te brengen en te vertalen naar een normenkader dat te gebruiken is voor het on-boarden van partners.

Brug slaan

Die vertaalslag is namelijk niet eenvoudig. “Door als organisatie bepaalde processen uit te besteden, heb en wil je veelal ook geen zeggenschap over hoe het proces bij je partner er precies uitziet. Dit heeft veelal te maken met de expertise en ontzorging die je afneemt van je partner. Dat betekent ook dat je niet het zeggenschap en de verantwoordelijk hebt ter attentie van welke maatregelen op welke manier geïmplementeerd moeten worden in dat proces”, legt Van Diepen uit.

“Je moet dus met elkaar als samenwerkende partijen een bredere doelstelling opzetten, bijvoorbeeld een partner dient maatregelen te treffen om de toegang tot systemen te beveiligen. Hoe de organisatie dat doet, is aan henzelf.” Die verantwoordelijkheid hoort ook daar.

Aan de andere kant zien partners juist graag duidelijkheid over wat er van hen gewenst wordt. Te vage afspraken kunnen dus ook tegenwerken. “Daarom is het belangrijk dat er een brug geslagen wordt tussen de partijen”, vertelt Van Diepen. “Vanuit het IT Assurance werkveld hebben we ervaring in het toetsen door een hele keten heen. En kan AuditConnect daardoor goed een vertaalslag maken van de doelstellingen van een bedrijf naar opties voor maatregelen bij de leverancier of partner.”

Hoe controleer je?

Als de maatregelen opgesteld en geïmplementeerd zijn, weet je als organisatie nog niet zeker of ze ook daadwerkelijk nageleefd worden. Daarom is reguliere toetsing op de gemaakte afspraken ook belangrijk. Nu kun je ervoor kiezen om bijvoorbeeld bij alle partners regulier audits uit te voeren, maar volgens Van Diepen is er meer nuance nodig.

“Afhankelijk van de partner wil je meer of minder inzicht hebben, legt hij uit. “Als een bedrijf een kritieke rol speelt in bijvoorbeeld het toeleveringsproces, wil je een bredere en diepgaander onderzoek hetgeen kan in de vorm van een audit uitvoeren dan wanneer dat niet het geval is. In de minst kritische gevallen kan bijvoorbeeld een vragenlijst met een self assessment afdoende zijn.”

AuditConnect heeft een aantal methodieken die als basis kunnen dienen voor een raamwerk dat naast de partners gelegd kunnen worden, om zo tot een rationeel advies te komen voor de controle. Daar wordt vervolgens nog samen naar gekeken, om ervoor te zorgen dat de beoogde controle ook echt bij de partner en zijn situatie past.

Maatwerk bij iedere stap

AuditConnect levert dus in iedere stap van het proces ondersteuning, maar vooral ook maatwerk. Dat kan bijvoorbeeld ook belangrijk zijn als een partner al een audit heeft laten uitvoeren. “Dan kun je met de klant bekijken in hoeverre deze vorm van audit toereikend is of dat er nog aanvullend specifiek onderzoek ter attentie van de eigen bedrijfsvoering gewenst is.”

AuditConnect heeft samen met haar partner DigiTrust bovendien alles in huis om bij ieder onderzoek te ondersteunen. “We kunnen ondersteuning bieden bij bijvoorbeeld risicoanalyses en het opzetten van een plan van aanpak, maar ook bij audits. Is er een penetratietest of een ISO-certificering nodig, dan kunnen wij dat ook aanbieden”, aldus Van Diepen.

AuditConnect levert verder een gestandaardiseerd dashboard, dat toezicht biedt op de keten. Daarmee kunnen bedrijven ook direct verantwoording afleggen aan toezichthouders. Op die manier levert AuditConnect dus een compleet, allesomvattend pakket om met een nieuwe partner te gaan samenwerken.

Ondersteuning nodig bij het opstellen van een normenkader of wil je meer informatie? Neem dan contact op met AuditConnect. Bel 055-3010100, mail naar info@auditconnect.nl of neem een kijkje op onze website!

AuditConnect werkt onder andere voor de volgende bedrijven:
logo ActuIT - referentie ActuIT - AuditConnect Logo Axxerion - Axxerion - AuditConnect Logo Berkman Trading - Berkman Trading - AuditConnect logo Capgemini - referentie Capgemini - AuditConnect logo Connexys - referentie Connexys - AuditConnect Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect Gemeente Borne - Gemeente Borne - AuditConnect Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect Logo HR2day - HR2day - AuditConnect INERGY - INERGY - AuditConnect logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect Logo ITON - ITON - AuditConnect Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect Logo Mirabeau - Mirabeau - AuditConnect logo Caresharing - NEN7510 Caresharing - AuditConnect Logo Parnassia - Parnassia Groepp - AuditConnect Logo Progress - Progress - AuditConnect Logo RID De Liemers - RID De Liemers - AuditConnect logo RoutIT - referentie RoutIT - AuditConnect logo Salure - Salure - AuditConnect logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect logo UNI-learning - UNI-Learning - AuditConnect logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect VSV Noorderpoort - VSV Noorderpoort - AuditConnect