ICT Concept actueel

Nieuws

Afspraak is afspraak

27/06/2022 -

Kantoren die ervoor kiezen om hun ICT uit te besteden willen vooral één ding: geen omkijken meer naar de techniek. Het moet gewoon werken volgens afspraak. Maar wat zijn die afspraken, en hoe weet ik dat mijn ICT-leverancier zich ook netjes aan die gemaakte afspraken gaat houden? De IT-verantwoordelijkheid in het kantoor veranderd van nadenken over welke technologie nodig is, naar het managen van de leveranciers bij wie je de verschillende IT-componenten als dienst afneemt. We spreken hierover met Joop de Rooij, CISO en verantwoordelijk voor compliance bij ICT Concept.

Leveranciersmanagement, dat klinkt als het bijhouden van met wie je samenwerkt, maar het is complexer dan dat?

“Dat klopt helemaal, we hebben het vaak over de combinatie leveranciersmanagement en assurance. Het heeft eigenlijk bar weinig met techniek te maken, maar richt zich heel erg op de papieren kant van de samenwerking en die kan vrij complex zijn. Zeker als je met meerdere leveranciers te maken hebt. Het gaat om het beheren en laten naleven van Service Level Agreements, overeenkomsten en de borging van alle onderling afgesproken processen. We zien dat onze klanten in de juridische praktijk niet alleen zelf die zekerheid zoeken, maar dat juist de cliënten die vraag ook aan het kantoor stellen. Dat is de assurance kant: hoe ga je als je de IT uitbesteed, aan bijvoorbeeld de NOvA of het BFT laten zien dat je je IT en data onder controle hebt. We hebben in de afgelopen twee jaar de vraag naar ondersteuning bij de beantwoording van dit soort vragen aan onze klanten rap zien stijgen.

Maar is het idee van uitbesteden niet juist dat je de verantwoordelijkheid bij je leverancier legt?

“Nee, allerminst. The buck stops, juridisch gezien, at you. Je bent als kantoor zelf verantwoordelijk voor wat er met data en informatie gebeurt en het is aan jou om aan te tonen dat je je leveranciers controleert. IT is in de totale controle vraag van je cliënt ook vaak maar een stukje van de puzzel. Wat je leverancier wel kan doen is helpen aantonen aan je cliënt of controlerende instantie dat je je zaken op orde hebt. Bijvoorbeeld door te assisteren tijdens een audit of periodieke rapportages aan te leveren. Maar wat ook helpt is als je IT-partner voorzien is van bepaalde certificeringen of verklaringen.”

Wat voor certificeringseisen kun je als klant stellen aan je leverancier?

“De krachtigste certificering die ik zelf in de praktijk nog altijd zie is referenties. Vraag gewoon of je met andere klanten van je leverancier in gesprek mag om hun ervaringen te horen. Maar daarnaast zijn er ook een aantal certificeringen en verklaringen die je kunt opvragen. De bekendste drie zijn ISO 27001, ISAE 3402 en ISAE 3000.

ISO 27001 is een certificering die echt toeziet op informatiebeveiliging en alle processen binnen de organisatie die hier op toezien. ISAE 3402 en ISAE 3000 zijn verklaringen die een externe auditor geeft aan een onderneming als ICT Concept dat ze correct toezien op de beveiliging en uitvoering van processen die in het bijzonder toezien op het uitbesteden van ICT. Bij ISAE zijn er twee type verklaringen: de type 1 verklaring ziet toe op dat de inhoud van je processen klopt, maar type 2 is eigenlijk veel interessanter. Die wordt namelijk pas na een aantal maanden na type 1 afgegeven, als je hebt kunnen bewijzen dat je als organisatie wat er in je plan ook werkelijk zo uitvoert.

Het is wel belangrijk dat je bij zowel ISO als ISAE aan je leverancier vraagt wat er in zijn verklaring staat. Je bepaalt als dienstverlener zelf wat je in je te auditten plan zet, dus het is zaak om als kantoor te checken of de procedures en beloften van je leverancier ook matchen met wat jij wil. De ene ISO 27001 certificering of ISAE 3402 / 3000 verklaring is de andere niet.

Een veelgehoorde misvatting is ook dat deze certificeringen en verklaringen overdraagbaar zijn: als mijn leverancier ISO 27001 compliant is, dan ben ik dat als kantoor dat ook. Maar zo werkt dat niet. De certificering zegt iets over hoe jouw leverancier in de informatiebeveiligingswedstrijd staat, maar als je er zelf vervolgens nog een potje van maakt zegt die certificering van je leverancier helemaal niks.”

Die audits zijn momentopnamen. Hoe check je of je leverancier zijn zaken 365 dagen per jaar op orde heeft?

“Bij ISO 27001 kun je in een openbaar register zien wie er geaccrediteerd zijn, en wanneer deze certificeringen voor het laatst zijn afgegeven. Vraag je leverancier altijd om een recent en geldig certificaat, en daarnaast hebben de meeste ISO 27001 gecertificeerde organisaties ook een verklaring waarin precies staat wat ze in het kader van de certificering doen.

ISAE verklaringen hebben de type 2 verklaring als toetssteen: die wordt pas afgegeven als je aan een onafhankelijke auditor hebt kunnen laten zien dat je verklaring niet enkel een papieren werkelijkheid is. ICT Concept heeft al twee zogenaamd schone verklaringen gekregen. Dat betekent dat er geen verschil zit tussen wat we op papier beloven en hoe we in de praktijk te werk gaan.”

Waarom is het zo belangrijk dat kantoren hun aandacht richten op leveranciersmanagement en assurance?

“De verwachting is dat de komende tijd cliënten en instanties nog strenger gaan worden op hoe je als kantoor je zaken op orde houdt. Denk bijvoorbeeld ook aan cliënten die in het kader van een (overheids)aanbesteding bepaalde eisen stellen aan je organisatie. Bedrijfscontinuïteit is immers nauw verbonden met de continuïteit van je IT. Kijk naar wat er gebeurt als een bedrijf slachtoffer wordt van een ransomware aanval. De kosten lopen dan soms in de tonnen, is het niet om losgeld te betalen dan is het wel om te herstellen. Het is dus niet gek dat we elkaar aan steeds hogere standaarden gaan houden. We moeten als keten van klant tot onze onderaannemers samen zorgen dat we er alles aan doen dat de tent blijft draaien. Daarbij geven certificeringen en verklaringen helaas geen garanties dat een dienstverlener nooit gehackt zal worden. Maar het helpt je als klant bij het selecteren van een dienstverlener wel het kaf van het koren te scheiden.