De opkomst van risico's van derden beheren strategieën voor beter toezicht

In het huidige, sterk verbonden zakelijke landschap vertrouwen organisaties meer dan ooit op derden, cloudleveranciers, SaaS-aanbieders, partners in de toeleveringsketen en aannemers. Hoewel dit ecosysteem innovatie en efficiëntie versnelt, vergroot het ook de blootstelling aan risico’s. Zoals het gezegde luidt: “Uw organisatie is zo veilig als de zwakste schakel in je netwerk van derden.” 

Bijna een derde van de organisaties die zijn ondervraagd door de International Data Corporation (IDC) ziet risicobeheer bij derden als een grote zwakte, waarmee het een van de meest genoemde tekortkomingen in alle sectoren is. Naast het beheren van kwetsbaarheden blijft dit gebrek aan toezicht bijdragen aan vermijdbare, externe dreigingen. De boodschap is duidelijk: organisaties moeten hun aanpak van het beheren van risico's bij derden herzien. 

Waarom het risico bij derden toeneemt 

Het risico bij derden groeit snel door wereldwijde en digitale druk. Geopolitieke spanningen, gefragmenteerde toeleveringsketens en de nasleep van COVID-19 hebben gezorgd voor verstoringen in wat ooit voorspelbaar was. Handelsbeperkingen, veranderende regelgeving en regionale instabiliteit maken relaties met leveranciers minder stabiel, vooral voor middelgrote organisaties die internationaal actief zijn. 

Tegelijkertijd is het aanvalsoppervlak vergroot. Elke nieuwe leverancier vormt een extra toegangspoort tot de organisatie. Bekende datalekken tonen aan hoe aanvallers misbruik maken van vertrouwde partners om grote financiële, operationele en reputatieschade aan te richten. Het op grote schaal delen van gegevens maakt het nog uitdagender, omdat gevoelige informatie buiten de grenzen van de organisatie stroomt. 

Veel leiders geven toe dat ze niet goed voorbereid zijn. Uit hetzelfde IDC-onderzoek blijkt dat risico’s in de toeleveringsketen op de tweede plaats staan van risico’s waarvoor bedrijfsleiders zich het minst voorbereid voelen. Hoewel aanvallen via de toeleveringsketen tot de top drie cyberdreigingen behoren, krijgen ze vaak een veel lagere prioriteit op de agenda van bestuurders. Het probleem is niet het gebrek aan bewustzijn, maar het gebrek aan uitvoering. 

Toezichtpraktijken zijn vaak verouderd. Verantwoordelijkheid voor risico’s bij derden is vaak versnipperd over inkoop, IT en beveiliging, zonder duidelijke eindverantwoordelijkheid. Leveranciersbeoordelingen worden meestal slechts eenmalig uitgevoerd bij onboarding, en bedrijven vertrouwen nog te vaak op statische vragenlijsten en jaarlijkse audits in plaats van de realtime monitoring die nodig is om gelijke tred te houden met de huidige dreigingen. 

Een veerkrachtig programma voor risicobeheer bij derden opbouwen 

Het herkennen van de uitdagingen is slechts de eerste stap. De echte kans ligt in het opzetten van een TPRM (third-party risk management) programma dat veerkrachtig is, uitnodigt tot samenwerking en gebaseerd is op informatie. In plaats van het toezicht op leveranciers te behandelen als een checklist, komt veerkracht voort uit het verankeren van risicobeheer in de gehele levenscyclus van leveranciers, van selectie tot actieve samenwerking en een veilige exit. 

Voor onboarding: de basis leggen 

• Voer een grondige due diligence uit en pas risicoclassificatie toe om kritieke leveranciers te identificeren.
• Neem duidelijke eisen op in contracten en SLA's en stem af met inkoop en juridische zaken om vanaf dag één verantwoordelijkheid vast te leggen.
• Informeer derden over uw beveiligingsbeleid en -normen en stel duidelijke verwachtingen. 
• Diversifieer door middel van flexisourcing (nearshoring: het uitbesteden van werk aan een nabijgelegen land en friendshoring: het uitbesteden van werk aan landen die als politiek en economisch betrouwbaar worden beschouwd) om de afhankelijkheid van risicovolle regio's te verminderen en de continuïteit van de toeleveringsketen te versterken. 

Tijdens de samenwerking: actief monitoren en samenwerken 

• Stap over van jaarlijkse beoordelingen naar continue monitoring met behulp van analytics, automatisering en AI voor realtime inzichten.
• Werk samen met leveranciers om gedeelde standaarden te gebruiken (ISO, NIST, GDPR, HIPAA) om vertrouwen en consistentie op te bouwen. 
• Gebruik regelmatige audits, gezamenlijke oefeningen en resultaatgerichte metingen (zoals minder incidenten, snellere detectie, sneller herstel) om succes te meten. 

Na de samenwerking: veilige exit 

• Trek toegang in, laat gevoelige gegevens verwijderen of teruggeven, en controleer of verplichtingen zijn nagekomen. 
• Voer evaluaties uit na afloop van de samenwerking en verwerk geleerde lessen in governance- en inkoopprocessen. 

Conclusie

Risico’s bij derden zullen blijven toenemen naarmate zakelijke netwerken verder worden verbonden, maar dat hoeft innovatie niet in de weg te staan. Met de juiste governance, continu toezicht en veerkrachtige leveranciersrelaties kunnen organisaties het tij keren. Door proactieve toezichtstrategieën te gebruiken, technologie optimaal in te zetten en cybersecurity te integreren in leveranciersrelaties, bouwen organisaties aan veerkracht en vertrouwen. 

In een wereld vol verbonden risico’s is het effectief beheren van relaties met derden essentieel om veilig te kunnen opschalen, met vertrouwen te innoveren en voorbereid te zijn op wat komen gaat. Benieuwd naar alle inzichten? Download het IDC-onderzoek. 

DOWNLOAD ONDERZOEK