De samenwerking tussen partijen vindt door toenemende digitale mogelijkheden steeds sneller en op mondiaal niveau plaats. De huidige coronacrisis toont echter duidelijk de impact aan van een wereldwijde epidemie op de leveranciersketens. Waar de impact van beperkte bevoorradingen al vroeg duidelijk werd, worden nu ook andere gevolgen zichtbaar. Denk aan de exponentiële af- of juist toename van bestellingen en aanpalende wijzigingen in de keuze van leveranciers. De coronacrisis fungeert voor veel organisaties als katalysator voor het heroverwegen van dit soort strategieën en processen. Een van die heroverwegingen betreft, mede door de toenemende invloed van ICT-aspecten, het borgen van informatiebeveiliging & privacy bij de selectie van een leverancier.
Nagenoeg alle organisaties hebben een relatie met meerdere toeleveranciers. Daarnaast zitten veel organisaties ergens midden in een keten, waardoor ze ook zelf weer leveranciers zijn voor andere organisaties. Dit geheel gaat continu door en deze leveringsketen, ofwel de supply chain, die zich in diverse gedaanten en diepgangen voordoet, is altijd essentieel geweest voor de bedrijfscontinuïteit.
Daar waar de veranderingen van en vooral binnen organisaties hebben plaatsgevonden naar een steeds digitalere omgeving, is dat ook niet aan de leveranciers, en daarmee, aan de supply chain voorbij gegaan. Deze digitalisering zorgt voor een toename van cybercriminaliteit (hacks, ransomware, phishing, of iets dergelijks) bij organisaties en raakt in het verlengde daarvan veelal een hele keten van leveranciers onderling.
Het specifiek, als apart onderdeel van de bedrijfsvoering, beheren van supply chains is in de afgelopen jaren steeds belangrijker geworden voor het concurrentievermogen van bedrijven. Het mondiale(re) en digitale(re) karakter van de toeleveringsketen, maar ook de complexiteit ervan, vergroot de kans dat vanuit de supply chain digitale problemen bij organisaties binnendringen, die mogelijk weer worden doorgegeven binnen de gehele keten. Indien er bij een organisatie sprake is van een toeleverancier die de organisatie rechtstreeks levert aan de eindgebruiker, zal de kans op een (criminele) inbreuk van buitenaf normaal gesproken in aantallen kleiner zijn dan in het geval de keten bestaat uit een groot aantal (internationale) organisaties.
Daarbij komt dat de focus, die geruime tijd heeft gelegen op supply chain-optimalisatie om kosten te minimaliseren, buffers heeft verminderd. Het opvangen van vertragingen en verstoringen wordt daardoor steeds moeilijker.
De coronacrisis heeft voor velen versneld aangetoond dat bestaande strategieën en processen niet altijd effectief genoeg zijn. Om hier tijdig op te kunnen reageren is (voortschrijdend) inzicht nodig in de kans en impact van risico’s op vitale organisatieonderdelen binnen de gehele leveranciersketen. Een beproefde manier om hier inzicht in te verkrijgen is het toepassen van risicomanagement.
Risicomanagement is een continu proces waarbij ten aanzien van een doelstelling - in dit geval het borgen van ketenrisico’s - risico’s worden geïdentificeerd, beoordeeld en behandeld. Als een organisatie de leveranciersketen als integraal onderdeel van risicomanagement ziet, zorgt men impliciet voor een gedegen basis voor het beredeneerd kiezen van maatregelen passend bij een bepaald risicoprofiel.
Om uzelf beter te wapenen tegen mogelijke aanvallen, is het risico voortkomend uit de supply chain een reëel risico om rekening mee te houden. Hoe groot het risico is moet worden ingeschat en is onder meer afhankelijk van de risicobereidheid van leveranciers. Immers, hoe groter het risico is dat zij accepteren, des te groter is de kans op een risico bij de klantorganisatie. Ook de volwassenheid van een organisatie aangaande het risicobeleid speelt een grote rol. Is men heel ver met het 'in control zijn' van risico’s, of is er nauwelijks enige vorm van bewustzijn. Ook dat dient u te onderzoeken. Niet alleen bij uw eigen organisatie, maar ook bij uw toeleveranciers.
U dient zich daarbij te realiseren dat u vaak met meerdere supply chains te maken heeft en daarom meerdere onderzoeken dient te verrichten. Uw organisatie zal namelijk zaken doen met meerdere leveranciers en die maken allemaal weer deel uit van een 'eigen' supply chain.
De supply chain is naast de hiervoor genoemde toeleveranciers mogelijk groter dan u denkt, want u heeft ook te maken met min of meer universele leveranciers. Denk hierbij bijvoorbeeld aan uw websitebouwer, die technisch gezien wellicht bijna alles binnen uw organisatie aanraakt of heeft aangeraakt en misschien iets heeft achtergelaten. Ook in andere software binnen uw organisatie kunnen zaken zitten die u liever niet binnen gehaald had willen hebben.
Maar, hoe weet u wanneer uw leverancier, vanuit informatiebeveiligingsoptiek, de juiste is? Het is om te beginnen belangrijk dat u begrijpt welke risico’s u loopt, wat u zelf overdraagt aan uw leverancier en hoe u dat zelf zou beveiligen. Denk hierbij bijvoorbeeld aan het overdragen van kritieke informatie of het geven van toegang tot uw infrastructuur en kritieke systemen. Daarnaast is het van belang dat uw toeleverancier inzicht biedt in zijn eigen risico’s en welke maatregelen er zijn genomen om dit te mitigeren. U kunt uw (toekomstige) leverancier en uzelf in ieder geval het volgende vragen:
Is de informatie die ik overdraag aan mijn leverancier of het proces waar mijn leverancier onderdeel van is kritiek voor mijn bedrijfsvoering?
Wordt dit voldoende beschermd?
Hoe wordt de continuïteit geborgd?
Waar wordt mijn kritieke informatie opgeslagen?
Welke systemen, processen en infrastructuur van de leverancier zijn kritiek?
Hoe wordt de continuïteit hiervan geborgd?
Zijn genomen maatregelen en infrastructuur van beide partijen vergelijkbaar?
Zijn werknemers kundig?
Met welke leveranciers werkt de leverancier zelf samen?
Door een goed antwoord te krijgen op onder meer bovengenoemde vragen krijgt u een helder(der) beeld van de stand van zaken met betrekking tot partijen binnen uw supply chain(s) en de mogelijke risico’s over informatiebeveiliging binnen uw supply chain(s). Als u deze zaken in acht neemt kunt u, als u in zee gaat met een leverancier, passende eisen stellen over de beveiliging van informatie bij deze leverancier om via die weg uw eigen organisatie te beschermen.