Input werken met externe partners

Hallo allemaal,

Ik werk als security officer. Er is mij gevraagd, vanuit risico management, om te kijken welke risico's we lopen met werken met externe partijen en wat een ideaal scenario zou zijn.

As-Is is dat we applicaties hebben waar het beheer helemaal in handen is van een externe partner. Dus zowel infra als applicatie ( meestal eigen ontwikkeling externe partner )
Er is ook amper iemand vanuit ons IT team betrokken dus geen zicht op backup, sla's, support, etc.. .
Er zitten applicaties bij met persoonsgegevens en gevoelige dossiers.

De To-Be zou ik nu moeten uitklaren en ik zoek wat inzichten van jullie indien mogelijk.
Waar ik aan denk is om naar de externe partner te stappen met :
- Vanuit onze organisatie een application manager die zaken gaat opvolgen zoals
1/Oplijsten van maatregelen ivm infrastructuur in een document rond backup, sla, monitoring, support flow, rpo & rto, pentest, disaster recovery, etc... ( Ik heb zo'n document voor intern gebruikt )
2/In een document oplijsten welke technische en organisatorische maatregelen er genomen worden gelinkt aan een informatieclassificatie voor de applicatie ( Ik heb zo'n document voor intern gebruik )
- Verplichten om release / change management op te volgen via onze interne applicatie met de nodige governance.
- Verplichten om te kijken naar security certificering op termijn eventueel ( iso 27xxx ). Nu zijn wachtwoorden met 3 tekens bv mogelijk. Iso certificatie zal dit wel niet meer toelaten ....

- andere waar jullie nog aan denken ?

Bedankt !

Orion84 schreef op woensdag 13 september 2023 @ 12:33:
Het is me niet helemaal duidelijk uit je lijstje, maar een van de belangrijke zaken om goede afspraken over te maken is hoe de verantwoordelijkheid verdeeld is. De kans dat dat 100% bij de leverancier ligt is nihil. Bijvoorbeeld iets als wachtwoord policy (en andere zaken rond toegangsbeheer) zou door de partner heel goed gezien kunnen worden als iets wat jullie als gebruiker/klant zelf moeten regelen.

Externe expertise inhuren van een organisatie die vaker met dit bijltje hebben gehakt kan ook een heel goed idee zijn als je hier zelf onvoldoende in thuis bent.

Ja ik had graag een externe audit gehad maar dat is niet doorgegaan. Dat had makkelijk geweest om in te breken.

Die documenten dienen om de afspraken ook scherp te stellen. Toegangsbeheer is een groot topic dat mee valt onder de technische en organisatorische maatregelen.
Dat gaan we sowieso opnemen. We hebben bv geen zicht wie allemaal bij de data kan bij de externe leverancier noch welke rollen er zijn voor de gebruikers en dat deze zijn ingeregeld via least privilege principe. Veel werk nog dus 😉

BytePhantomX schreef op woensdag 13 september 2023 @ 15:34:
Lastig topic wat veel nuances kent. Als ik deze twee dingen combineer: "Nu zijn wachtwoorden met 3 tekens bv mogelijk" en "Er zitten applicaties bij met persoonsgegevens en gevoelige dossiers" dan maak ik me wel zorgen. Zowel over jullie eigen security awareness als die van de derde partij.

Hoog over:
- Wil je security compliance en heb je geen invloed op hoe je leverancier werkt, eis minimaal ISO27001 en als je meer wilt, jaarlijks een pentest waarvan de medium, high en critical bevindingen binnen 180, 90 en 30 dagen worden opgelost. Daarmee toon je aan de buitenwereld aan dat je security serieus neemt en veel meer kun je niet doen.
- Wil je echt security, dan eis je het bovenstaande plus security monitoring (door externe partij) en incident response plannen

Als je zelf meer gaat doen, dan kun je m.i. beter de IT weer in huis halen. Een leverancier hoort hier m.i. enige autonomie in te hebben wil het meerwaarde leveren. Daarnaast ben je ook afhankelijk van wat voor contracten je met je leverancier hebt of je uberhaupt wat kan. Misschien mag je geen audit doen en kun je helemaal geen ISO 27001 eisen.

Ja ik maak me ook zorgen. Daarom dat we meer controle willen en dat ik moet bekijken hoe we dit kunnen bereiken.
Security compliance en iso27001 staan zeker op de planning. Pentest hoort ook bij de maatregelen die ik wil nemen. Voor de technische en organisatorische maatregelen baseer ik me op iso27002 controls.
In huis nemen is geen optie, we hebben daarvoor te weinig resources om dit op een deftige manier te doen spijtig genoeg. Bedankt voor je input !

cat_byte schreef op woensdag 13 september 2023 @ 19:38:
Het klinkt als een flinke klus... Ik heb iets soortgelijks achter de rug, maar dan op 1 softwarepakket en daar ben ik al maanden bezig geweest met überhaupt uitvogelen welke beheersmaatregelen er nu zijn en gewoon het vaststellen van de huidige situatie mbv 27002 controls + de risico's inschatten. En nu heb ik nog het geluk dat er behoorlijk wat is vastgelegd in contracten, er een pentest is geweest en ook een ISMS aanwezig is dat gedeeltelijk af is. Ik moet er niet aan denken dat dat ook allemaal nog geregeld zou moeten worden.

Een externe partij inhuren lijkt me de beste weg. Een audit heeft misschien niet eens zoveel zin als je al weet dat er 1001 dingen aan schorten. De baas mag zich wel realiseren dat de schade als het mis gaat vele malen hoger is dan de investering in expertise.

Ja klopt, ik heb nu ook 1 traject achter de rug en dat heeft 6 maanden geduurd om nog maar gewoon alles op te lijsten, pentest te laten uitvoeren etc... .
Ik heb ook aangegeven dat ik niet voor application manager ga spelen om dit op al de andere applicaties recht te trekken. Ik bezorg de nodige tooling en documentatie.en overzicht wat dient te gebeuren.