Een beveiligingsvragenlijst, ook wel een security questionnaire genoemd, is een reeks vragen die zijn ontworpen om een organisatie te helpen potentiële zwakke punten in cybersecurity te identificeren bij haar leveranciers, zakenpartners en dienstverleners. Dit is een hulpmiddel wat door veel organisaties ingezet wordt om te bepalen of het volwassenheidsniveau op het gebied van cyber security van hun (mogelijke) leveranciers goed genoeg is. Het belangrijkste doel van een dergelijke vragenlijst is het bepalen van risico’s: Stel dat Leverancier X geen screenings uitvoert op hun personeel, wat betekent dat voor mijn data dat wordt verwerkt door de leverancier?, of Leverancier Y heeft een heeft geen centraal incident management proces, wat voor invloed heeft dat voor onze organisatie indien er cyber security incidenten plaats kunnen vinden? In dit artikel is meer informatie te vinden over het inzetten van deze security questionnaires om een beter inzicht te krijgen in het risicoprofiel van (mogelijke) leveranciers.
Organisaties gebruiken beveiligingsvragenlijsten om geïnformeerde beoordelingen van leveranciersrisico’s te verkrijgen. Ze stellen organisaties in staat potentiële leveranciers en andere derde partijen te beoordelen door ervoor te zorgen dat hun informatiebeveiligingspraktijken en beveiligingsbeleid zowel interne (het beleid van uw organisatie die de leverancier zou willen inhuren ) als externe vereisten (wet- en regelgeving) naleven. Beveiligingsvragenlijsten bieden duidelijk en uitgebreid inzicht in de beveiligingsstatus van derde partijen. Organisaties kunnen ze snel gebruiken om eventuele beveiligingslacunes in hun leveranciersomgeving te identificeren en onmiddellijke corrigerende maatregelen te verzoeken om zakelijke relaties te beginnen en voort te zetten.
Een beveiligingsvragenlijst wordt meestal naar een mogelijke leverancier gestuurd in de vroege stadia van het evaluatie- en selectieproces van die leverancier. Dit gebeurt vaak in de precontractuele fase, wanneer een organisatie overweegt om met een nieuwe leverancier of derde partij samen te werken. Het doel is om de beveiligingspraktijken van de potentiële leverancier te beoordelen voordat er een contract wordt gesloten of voordat er daadwerkelijke gegevensuitwisseling of samenwerking begint. Door deze beveiligingsvragenlijst te sturen, kan de organisatie belangrijke informatie verzamelen over hoe de leverancier omgaat met informatiebeveiliging, privacy en andere relevante beveiligingskwesties. Op basis van de antwoorden van de leverancier kan de organisatie bepalen of de leverancier voldoet aan de beveiligingsvereisten en -normen die de organisatie nodig heeft om een vertrouwensrelatie op te bouwen.
Wat is de toegevoegde waarde van een beveiligingsvragenlijst?
Beveiligingsvragenlijsten zijn met name belangrijk omdat ze uw organisatie in staat stellen om leveranciers verantwoord te beoordelen voordat u doorgaat met het aan boord brengen en het inschakelen van derden voor gegevensverwerking. Een leverancier kan in aanraking komen met gevoelige informatie van uw organisatie, waardoor het belangrijk is om te weten dat zij er ook veilig mee om kunnen gaan. Het nalaten om deze risico’s te beheren door gepaste zorgvuldigheid (due diligence genoemd) uit te voeren en een effectief programma voor risicobeheer van derden (Third-Party Risk Management, TPRM) te hebben, kan uw organisatie blootstellen aan cyber security incidenten zoals datalekken, financiële gevolgen, juridische procedures, reputatieschade en kan de mogelijkheid van uw organisatie om nieuwe klanten aan te trekken of bestaande te behouden, belemmeren.
Een beveiligingslijst kan overgeslagen worden als een (mogelijke) leverancier bewijs kan aandragen dat zij hun security op orde hebben. Dit wordt veelal gedaan door het delen van het ISO 27001 certificaat, wat laat zien dat er een management systeem aanwezig is dat ervoor zorgt dat security onderdeel is van belangrijke activiteiten van het bedrijf. Een ander voorbeeld is een zogeheten SOC 2 assurance statement. Dit is een gedetailleerd rapport wat laat zien of controls wel/niet effectief zijn. Denk bijvoorbeeld aan het halfjaarlijks uitvoeren van een review op toegangsrechten op een belangrijk systeem. Als dit op een juiste wijze uitgevoerd wordt, zal in het rapport te vinden zijn dat dit control effectief is.
Welke onderwerpen behandelt een beveiligingsvragenlijst?
Beveiligingsvragenlijsten kunnen betrekking hebben op een van de talloze onderwerpen die bijdragen aan de beveiligingsstatus van een derde partij, zoals:
- Informatiebeveiliging en privacy;
- Fysieke en datacenterbeveiliging;
- Beveiliging van applicaties en systemen;
- Infrastructuurbeveiliging;
- Informatiebeveiligingsbeleid;
- Bedrijfscontinuïteitsbeheer;
- Weerbaarheid;
- Planning voor incidentrespons;
- Governance, risk en compliance (bestuur, risicobeheer en compliance);
- Bedreigings- en kwetsbaarheidsbeheer;
- Third-party risk management;
- Toegangsbeheer.
Op het internet zijn vele beveiligingsvragenlijsten te vinden. De meeste vragenlijsten zijn alleen betaald te verkrijgen en mogen niet doorgestuurd worden naar andere organisaties. Indien gewenst en bij interesse kan CW Greenport zelf een vragenlijst ontwikkelen die gebruikt kan worden.