BIO 12.01 ISO A.15.1.1

Leveranciersbeveiligingsbeoordeling Voor Azure Services

📅 2025-01-27
⏱️ 30 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Systematische beveiligingsbeoordeling van leveranciers die Azure-services leveren, toegang hebben tot Azure-omgevingen, of kritieke clouddiensten verzorgen vormt een essentiële component van effectief supply chain risk management. Zonder gestructureerde leveranciersbeveiligingsbeoordelingen kunnen Nederlandse overheidsorganisaties niet aantonen dat zij passende maatregelen hebben genomen om beveiligingsrisico's in de leveranciersketen te identificeren en te mitigeren, wat kan leiden tot niet-naleving van de Baseline Informatiebeveiliging Overheid (BIO), NIS2-vereisten, en andere relevante beveiligingsstandaarden.

Aanbeveling
IMPLEMENTEER LEVERANCIERSBEVEILIGINGSBEORDELINGEN
Risico zonder
High
Risk Score
8/10
Implementatie
200u (tech: 80u)
Van toepassing op:
Azure Tenant
Cloud Services
Third-Party Vendors
Managed Service Providers

Nederlandse overheidsorganisaties maken in toenemende mate gebruik van externe leveranciers voor Azure-services, managed services, SaaS-oplossingen en gespecialiseerde clouddiensten. Deze leveranciers hebben vaak uitgebreide toegang tot Azure-omgevingen, verwerken gevoelige gegevens, of zijn essentieel voor de continuïteit van kritieke diensten. Zonder systematische beveiligingsbeoordelingen kunnen organisaties niet verifiëren of leveranciers passende beveiligingsmaatregelen hebben geïmplementeerd, of zij voldoen aan relevante compliance-vereisten, of zij kwetsbaar zijn voor beveiligingsincidenten die directe gevolgen kunnen hebben voor de organisatie. Dit leidt tot aanzienlijke risico's, omdat beveiligingsincidenten bij leveranciers, zoals datalekken, ransomware-aanvallen, of compromittering van leveranciersaccounts, direct kunnen leiden tot compromittering van organisatiegegevens en systemen. Voor Nederlandse overheidsorganisaties zijn leveranciersbeveiligingsbeoordelingen niet alleen een best practice, maar vaak ook een expliciete wettelijke vereiste. De Baseline Informatiebeveiliging Overheid (BIO) vereist dat organisaties passende maatregelen nemen om beveiliging bij leveranciers te waarborgen, inclusief het uitvoeren van beveiligingsbeoordelingen en het monitoren van leverancierscompliance. De NIS2-richtlijn stelt expliciete eisen aan supply chain security en vereist dat organisaties kunnen aantonen dat zij maatregelen hebben genomen om beveiligingsrisico's in de leveranciersketen te beheren. Zonder systematische beveiligingsbeoordelingen kunnen organisaties niet voldoen aan deze verplichtingen, wat kan leiden tot kritieke auditbevindingen, mogelijke boetes, en reputatieschade. Daarnaast kunnen beveiligingsincidenten bij leveranciers directe gevolgen hebben voor de organisatie zelf, bijvoorbeeld wanneer persoonsgegevens worden gelekt (met mogelijke AVG-boetes), wanneer kritieke systemen niet beschikbaar zijn (met impact op dienstverlening), of wanneer leveranciersaccounts worden gecompromitteerd (met risico op verdere compromittering van organisatieomgevingen). Leveranciersbeveiligingsbeoordelingen helpen organisaties om deze risico's proactief te identificeren en te mitigeren door systematisch te evalueren of leveranciers passende beveiligingsmaatregelen hebben geïmplementeerd, of zij voldoen aan relevante compliance-vereisten, en of zij kwetsbaar zijn voor bekende beveiligingsbedreigingen. Beoordelingen moeten worden uitgevoerd voordat contracten worden ondertekend (pre-contract due diligence), regelmatig tijdens de contractperiode (periodieke herbeoordelingen), en wanneer significante wijzigingen optreden (zoals wijzigingen in leveranciersservices, nieuwe beveiligingsincidenten, of wijzigingen in compliance-vereisten). Door beoordelingen systematisch uit te voeren en resultaten te documenteren, kunnen organisaties niet alleen compliance-vereisten nakomen, maar ook proactief risico's identificeren en mitigeren voordat deze leiden tot beveiligingsincidenten.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.Resources, Az.Security

Implementatie

Een leveranciersbeveiligingsbeoordeling voor Azure-services is een gestructureerd proces waarbij organisaties systematisch evalueren of leveranciers die Azure-services leveren, toegang hebben tot Azure-omgevingen, of kritieke clouddiensten verzorgen, passende beveiligingsmaatregelen hebben geïmplementeerd en voldoen aan relevante compliance-vereisten. Het proces begint met het definiëren van beoordelingscriteria die gebaseerd zijn op de Baseline Informatiebeveiliging Overheid (BIO), ISO 27001, NIS2-vereisten, en andere relevante beveiligingsstandaarden, en die specifiek zijn aangepast aan de context van Azure-cloudomgevingen. Deze criteria vormen de basis voor alle beoordelingsactiviteiten en zorgen voor consistentie en reproduceerbaarheid in het beoordelingsproces. Het beoordelingsproces omvat verschillende componenten: technische beveiligingsbeoordeling (evaluatie van beveiligingsconfiguraties, versleuteling, toegangscontrole, logging en monitoring), organisatorische beveiligingsbeoordeling (evaluatie van beveiligingsprocessen, incident response, security awareness, en security governance), compliance-beoordeling (evaluatie van certificeringen, auditrapporten, en naleving van relevante normen), en risicobeoordeling (identificatie en evaluatie van specifieke beveiligingsrisico's die voortvloeien uit het gebruik van leveranciersservices). Voor elke component worden specifieke vragen gesteld, documentatie wordt verzameld en geëvalueerd, en indien mogelijk worden technische verificaties uitgevoerd om te controleren of leveranciers daadwerkelijk voldoen aan beveiligingseisen. De resultaten van beoordelingen worden gedocumenteerd in gestructureerde beoordelingsrapporten die een overzicht geven van de beveiligingsvolwassenheid van leveranciers, geïdentificeerde risico's, en aanbevelingen voor risicomitigatie. Op basis van deze rapporten worden beslissingen genomen over het aangaan van contracten, het implementeren van aanvullende beveiligingsmaatregelen, of het beëindigen van relaties met leveranciers die niet kunnen voldoen aan essentiële beveiligingseisen. Beoordelingen moeten regelmatig worden herhaald, bijvoorbeeld jaarlijks of wanneer significante wijzigingen optreden, om te waarborgen dat leveranciersbeveiliging continu wordt beheerd en dat nieuwe risico's tijdig worden geïdentificeerd.

Vereisten voor Leveranciersbeveiligingsbeoordelingen

Voor het uitvoeren van effectieve leveranciersbeveiligingsbeoordelingen in de context van Azure-services zijn specifieke organisatorische, technische en procesmatige vereisten noodzakelijk. Deze vereisten vormen de fundamentele basis voor een succesvol beoordelingsprogramma en zijn essentieel om te kunnen voldoen aan BIO-vereisten, NIS2, en andere relevante beveiligingsstandaarden. Organisaties die deze vereisten niet volledig begrijpen of implementeren, lopen het risico dat zij niet beschikken over de benodigde zichtbaarheid in leveranciersbeveiliging en niet kunnen voldoen aan wettelijke en compliance-verplichtingen zoals vastgelegd in de Baseline Informatiebeveiliging Overheid en andere relevante frameworks. De primaire organisatorische vereiste is de aanwezigheid van een vendor security assessment team of functie die verantwoordelijk is voor het uitvoeren en coördineren van beveiligingsbeoordelingen. Dit team moet beschikken over voldoende expertise op het gebied van informatiebeveiliging, Azure-technologie, risicomanagement, en compliance, hetzij intern via gespecialiseerde medewerkers, hetzij extern via consultants of gespecialiseerde dienstverleners. Het team speelt een cruciale rol bij het waarborgen dat beoordelingen worden uitgevoerd volgens de juiste methodologie, dat alle relevante beveiligingsaspecten worden geëvalueerd, en dat resultaten worden gebruikt om geïnformeerde beslissingen te nemen over leveranciersrelaties. Daarnaast moet de organisatie beschikken over duidelijke rollen en verantwoordelijkheden voor vendor security assessment, waarbij wordt vastgesteld wie verantwoordelijk is voor het uitvoeren van beoordelingen, wie beoordelingen moet reviewen en goedkeuren, en wie verantwoordelijk is voor het opvolgen van aanbevelingen. Deze expertise is essentieel omdat leveranciersbeveiligingsbeoordelingen technische kennis vereisen van Azure-services en -configuraties, methodologische kennis van beoordelingsprocessen, en organisatorische kennis van compliance-vereisten en best practices.

Technische vereisten omvatten de beschikbaarheid van tools en systemen voor het verzamelen en analyseren van beveiligingsinformatie over leveranciers, het monitoren van leverancierscompliance, en het documenteren van beoordelingsresultaten. Azure biedt verschillende native tools die kunnen worden gebruikt voor beoordelingsactiviteiten, zoals Azure Security Center (Microsoft Defender for Cloud) voor het identificeren van beveiligingsaanbevelingen en kwetsbaarheden in Azure-omgevingen die door leveranciers worden beheerd, Azure Policy voor het controleren of leveranciersconfiguraties voldoen aan beveiligingsstandaarden, en Azure Monitor en Log Analytics voor het monitoren van leveranciersactiviteiten. Daarnaast kunnen organisaties gebruikmaken van gespecialiseerde vendor risk management platforms die specifiek zijn ontworpen voor het beheren van leveranciersbeoordelingen en het bijhouden van compliance-status. Belangrijk is dat deze tools geïntegreerd zijn met de Azure-omgeving en dat de benodigde machtigingen zijn geconfigureerd voor het verzamelen van de vereiste informatie zonder de beveiliging te compromitteren. Voor organisaties die gebruikmaken van meerdere leveranciers of complexe leveranciersketens is het essentieel dat het beoordelingsproces kan worden toegepast op alle leveranciers, zodat een consistent beeld wordt verkregen van alle beveiligingsrisico's in de supply chain.

Procesmatige vereisten omvatten het hebben van een gedocumenteerde beoordelingsmethodologie die gebaseerd is op erkende standaarden zoals ISO 27001, NIST Cybersecurity Framework, of de BIO-richtlijnen voor leveranciersbeheer, en die specifiek is aangepast aan de context van Azure-cloudomgevingen. De methodologie moet expliciet definiëren wanneer een beoordeling moet worden uitgevoerd (bijvoorbeeld bij nieuwe leveranciers, significante wijzigingen in services, of bij het introduceren van nieuwe Azure-services), welke stappen moeten worden gevolgd bij het uitvoeren van een beoordeling, welke informatie moet worden verzameld, welke criteria moeten worden gebruikt voor het beoordelen van leveranciers, en hoe de resultaten moeten worden gedocumenteerd en gecommuniceerd. Daarnaast moet het proces voorzien in regelmatige herbeoordelingen, bijvoorbeeld jaarlijks of wanneer significante wijzigingen optreden, om te waarborgen dat leveranciersbeveiliging continu wordt beheerd en dat nieuwe risico's tijdig worden geïdentificeerd. Het proces moet ook voorzien in een gestructureerd mechanisme voor het prioriteren en mitigeren van geïdentificeerde risico's, waarbij wordt vastgesteld welke risico's prioriteit hebben, welke mitigerende maatregelen moeten worden geïmplementeerd, en wie verantwoordelijk is voor de implementatie.

Voor Nederlandse overheidsorganisaties zijn er aanvullende vereisten die voortvloeien uit de specifieke context van de publieke sector. Organisaties moeten kunnen aantonen dat leveranciersbeveiligingsbeoordelingen zijn geïmplementeerd en dat de resultaten zijn geïntegreerd in het bredere risicomanagement- en compliance-kader van de organisatie. Dit betekent dat beoordelingsresultaten moeten worden gekoppeld aan andere risicomanagementprocessen, zoals contractmanagement, compliance-audits, en business continuity planning. Daarnaast moeten organisaties kunnen aantonen dat zij transparant zijn over hun leveranciersbeveiliging en mitigerende maatregelen, bijvoorbeeld door het rapporteren over beoordelingsresultaten aan bestuurders en toezichthouders, en door het documenteren van beoordelingen in een centraal leveranciersregister. Het is cruciaal te realiseren dat zonder de juiste organisatorische, technische en procesmatige vereisten leveranciersbeveiligingsbeoordelingen niet effectief kunnen worden geïmplementeerd en organisaties niet kunnen voldoen aan BIO-vereisten, NIS2, en andere relevante beveiligingsstandaarden, wat kan leiden tot auditbevindingen, reputatieschade en verhoogde kwetsbaarheid voor beveiligingsincidenten.

Implementatie van Leveranciersbeveiligingsbeoordelingen

De implementatie van een leveranciersbeveiligingsbeoordelingsprogramma voor Azure-services vereist een gestructureerde aanpak die begint met het opzetten van de benodigde organisatorische en procesmatige fundamenten, gevolgd door de ontwikkeling van een beoordelingsmethodologie, de uitvoering van initiële beoordelingen, en de implementatie van continue monitoring en herbeoordelingsprocessen. Hoewel leveranciersbeveiligingsbeoordelingen in essentie een procesmatige activiteit zijn, kunnen Azure-native tools en automatisering worden gebruikt om bepaalde aspecten van het proces te ondersteunen en te versnellen, zoals het monitoren van leveranciersconfiguraties, het identificeren van beveiligingsaanbevelingen, en het rapporteren over compliance-status.

De eerste stap in het implementatieproces is het opzetten van een beoordelingsmethodologie die specifiek is aangepast aan de context van Azure-cloudomgevingen. Deze methodologie moet gebaseerd zijn op erkende standaarden zoals ISO 27001, NIST Cybersecurity Framework, of de BIO-richtlijnen voor leveranciersbeheer, maar moet worden uitgebreid met Azure-specifieke overwegingen, zoals het beoordelen van beveiligingsrisico's die voortvloeien uit het gebruik van gedeelde cloudinfrastructuur, het beheren van identiteiten en toegang in de cloud, het gebruik van Azure-services die mogelijk gegevens verwerken in verschillende geografische regio's, en het beheren van configuraties en policies op schaal. De methodologie moet expliciet definiëren welke stappen moeten worden gevolgd bij het uitvoeren van een beoordeling, welke informatie moet worden verzameld, welke criteria moeten worden gebruikt voor het beoordelen van leveranciers (bijvoorbeeld een scoring-systeem met verschillende risiconiveaus), en hoe de resultaten moeten worden gedocumenteerd. Belangrijk is dat de methodologie wordt gedocumenteerd in een beoordelingshandboek dat beschikbaar is voor alle betrokkenen en dat regelmatig wordt bijgewerkt op basis van lessons learned en wijzigingen in bedreigingslandschap en wet- en regelgeving.

Na het opzetten van de methodologie moet een initiële inventarisatie worden uitgevoerd van alle leveranciers die Azure-services leveren, toegang hebben tot Azure-omgevingen, of kritieke clouddiensten verzorgen. Deze inventarisatie kan worden ondersteund door Azure-native tools zoals Azure Resource Graph, dat een query-interface biedt voor het inventariseren van alle resources in een Azure-omgeving, en Azure Policy, dat kan worden gebruikt om te controleren of leveranciersconfiguraties correct zijn geconfigureerd met beveiligingsinstellingen. Voor elke geïdentificeerde leverancier moet worden vastgesteld welke services worden geleverd, welke toegang wordt verleend, welke gegevens worden verwerkt, en welke beveiligingsrisico's kunnen optreden. Deze inventarisatie vormt de basis voor de beoordelingsplanning, waarbij voor elke leverancier wordt bepaald wanneer een beoordeling moet worden uitgevoerd, welke beoordelingscriteria van toepassing zijn, en welke prioriteit de beoordeling heeft op basis van risico en impact.

De beoordelingsuitvoering moet worden uitgevoerd volgens de gedocumenteerde methodologie, waarbij voor elke leverancier wordt geëvalueerd of passende beveiligingsmaatregelen zijn geïmplementeerd, of relevante compliance-vereisten worden nageleefd, en of er specifieke beveiligingsrisico's zijn die aandacht vereisen. Beoordelingen kunnen verschillende vormen aannemen, afhankelijk van het risiconiveau en de beschikbare informatie: vragenlijsten die door leveranciers worden ingevuld, documentatie-review (bijvoorbeeld certificeringsrapporten, auditrapporten, security policies), technische verificaties (bijvoorbeeld het controleren van Azure-configuraties, het monitoren van leveranciersactiviteiten), of on-site audits voor hoog-risico leveranciers. Voor elke beoordeling moeten specifieke vragen worden gesteld over technische beveiliging (versleuteling, toegangscontrole, logging, monitoring), organisatorische beveiliging (security processes, incident response, security awareness), en compliance (certificeringen, auditrapporten, naleving van normen). De resultaten moeten worden gedocumenteerd in gestructureerde beoordelingsrapporten die een overzicht geven van de beveiligingsvolwassenheid, geïdentificeerde risico's, en aanbevelingen voor risicomitigatie.

De resultaten van beoordelingen moeten worden gebruikt om geïnformeerde beslissingen te nemen over leveranciersrelaties. Leveranciers die niet kunnen voldoen aan essentiële beveiligingseisen moeten worden uitgesloten van verdere overweging, tenzij er een zeer sterke business case is en passende risicomitigatie wordt geïmplementeerd. Voor bestaande leveranciers die niet voldoen aan beveiligingseisen moeten remediatieplannen worden ontwikkeld, waarbij wordt vastgesteld welke maatregelen moeten worden geïmplementeerd, binnen welke termijn, en wie verantwoordelijk is voor de implementatie. Leveranciers die herhaaldelijk niet voldoen aan beveiligingseisen of die niet meewerken aan beoordelingsprocessen moeten worden geëscaleerd naar het management en mogelijk worden beëindigd als laatste redmiddel. Daarnaast moeten beoordelingsresultaten worden gebruikt om contractuele beveiligingseisen te versterken, bijvoorbeeld door specifieke beveiligingsmaatregelen op te nemen in contracten, of door regelmatige beveiligingsbeoordelingen verplicht te stellen in service level agreements.

Na de initiële implementatie moeten beoordelingen regelmatig worden herhaald, bijvoorbeeld jaarlijks of wanneer significante wijzigingen optreden in leveranciersservices, nieuwe beveiligingsincidenten worden geïdentificeerd, of de toepasselijke wet- en regelgeving wijzigt. Het herbeoordelingsproces moet worden geautomatiseerd waar mogelijk, bijvoorbeeld door gebruik te maken van Azure Automation runbooks die regelmatig leveranciersconfiguraties scannen op wijzigingen die mogelijk impact hebben op beveiliging, of door gebruik te maken van Azure Policy compliance monitoring om te controleren of beveiligingsconfiguraties correct blijven geïmplementeerd. Daarnaast moeten organisaties processen implementeren voor het monitoren van nieuwe beveiligingsrisico's die kunnen ontstaan door wijzigingen in leveranciersservices, nieuwe bedreigingen, of wijzigingen in wet- en regelgeving, zodat deze risico's tijdig kunnen worden geïdentificeerd en beheerst. Azure Security Center (Microsoft Defender for Cloud) biedt continue monitoring en beveiligingsaanbevelingen die kunnen worden gebruikt als input voor regelmatige beoordelingsactiviteiten.

Beoordelingscriteria voor Leveranciersbeveiliging

Effectieve leveranciersbeveiligingsbeoordelingen vereisen duidelijke, meetbare criteria die gebaseerd zijn op relevante beveiligingsstandaarden en die specifiek zijn aangepast aan de context van Azure-cloudomgevingen. Deze criteria vormen de basis voor alle beoordelingsactiviteiten en zorgen voor consistentie en reproduceerbaarheid in het beoordelingsproces. Voor Nederlandse overheidsorganisaties moeten beoordelingscriteria expliciet aansluiten bij de Baseline Informatiebeveiliging Overheid (BIO), ISO 27001, NIS2-vereisten, en andere relevante normen en wetgeving.

Technische beveiligingscriteria evalueren of leveranciers passende technische beveiligingsmaatregelen hebben geïmplementeerd in hun Azure-omgevingen en services. Deze criteria omvatten dataversleuteling (zowel in transit als at rest), waarbij wordt geëvalueerd of leveranciers minimaal AES-256 versleuteling gebruiken voor data at rest en TLS 1.2 of hoger voor data in transit, en of customer-managed keys worden ondersteund voor gevoelige gegevens. Toegangscontrole criteria evalueren of leveranciers multi-factor authenticatie implementeren voor alle beheerdersaccounts, regelmatige toegangsreviews uitvoeren, en het principe van least privilege toepassen. Netwerkbeveiliging criteria evalueren of leveranciers netwerksegmentatie implementeren, private endpoints gebruiken waar mogelijk, en network security groups correct configureren. Logging en monitoring criteria evalueren of leveranciers uitgebreide audit logs bijhouden van alle toegang tot gegevens en systemen, passende security monitoring implementeren om beveiligingsincidenten te detecteren, en logs beschikbaar stellen voor organisaties wanneer nodig voor audit- of incidentonderzoek.

Organisatorische beveiligingscriteria evalueren of leveranciers passende beveiligingsprocessen en -governance hebben geïmplementeerd. Deze criteria omvatten security governance, waarbij wordt geëvalueerd of leveranciers een duidelijke security governance-structuur hebben, security policies en procedures hebben gedocumenteerd, en regelmatige security reviews uitvoeren. Incident response criteria evalueren of leveranciers een gedocumenteerd incident response plan hebben, tijdige melding van beveiligingsincidenten garanderen (bijvoorbeeld binnen 24 uur), en samenwerken bij incidentonderzoek. Security awareness criteria evalueren of leveranciers regelmatige security awareness training verzorgen voor hun medewerkers, achtergrondcontroles uitvoeren voor medewerkers met toegang tot gevoelige gegevens, en processen hebben voor het beheren van toegang wanneer medewerkers de organisatie verlaten. Change management criteria evalueren of leveranciers gestructureerde change management processen hebben voor wijzigingen in Azure-configuraties en services, en of wijzigingen worden getest en gereviewd voordat zij worden doorgevoerd.

Compliance criteria evalueren of leveranciers voldoen aan relevante beveiligingscertificeringen en normen. Deze criteria omvatten certificeringen zoals ISO 27001, SOC 2, of sector-specifieke certificeringen, waarbij wordt geëvalueerd of certificeringen actueel zijn, regelmatig worden vernieuwd, en auditrapporten beschikbaar worden gesteld. Voor Nederlandse overheidsorganisaties is het belangrijk dat leveranciers expliciet werken aan compliance met BIO-vereisten, zelfs als zij zelf niet direct aan BIO moeten voldoen. Compliance criteria moeten ook evalueren of leveranciers regelmatige beveiligingsaudits uitvoeren, hetzij intern, hetzij door externe auditors, en of auditresultaten worden gedeeld met organisaties. Daarnaast moeten compliance criteria evalueren of leveranciers voldoen aan relevante wet- en regelgeving, zoals de AVG voor het verwerken van persoonsgegevens, of sector-specifieke wetgeving zoals de Wbni voor uitvoeringsorganisaties.

Risicobeoordelingscriteria identificeren en evalueren specifieke beveiligingsrisico's die voortvloeien uit het gebruik van leveranciersservices. Deze criteria omvatten supply chain risico's, waarbij wordt geëvalueerd of leveranciers zelf gebruikmaken van sub-contractors of sub-leveranciers, en of deze sub-leveranciers ook passende beveiligingsmaatregelen hebben geïmplementeerd. Concentratierisico criteria evalueren of organisaties niet te afhankelijk zijn van één enkele leverancier voor kritieke services, en of alternatieve leveranciers beschikbaar zijn indien nodig. Business continuity criteria evalueren of leveranciers passende back-up- en disaster recovery-procedures hebben geïmplementeerd, recovery time objectives (RTO) en recovery point objectives (RPO) hebben gedefinieerd, en regelmatig disaster recovery-tests uitvoeren. Data residency criteria evalueren waar leveranciers gegevens fysiek opslaan en verwerken, of gegevens binnen de Europese Unie blijven, en of passende waarborgen zijn getroffen wanneer gegevens buiten de EU worden verwerkt.

Beoordelingscriteria moeten worden gebruikt om leveranciers te scoren op verschillende dimensies, waarbij scores worden gecombineerd tot een overall risicoscore die wordt gebruikt om beslissingen te nemen over leveranciersrelaties. Leveranciers met hoge risicoscores moeten aanvullende mitigerende maatregelen implementeren, regelmatiger worden beoordeeld, of mogelijk worden uitgesloten van verdere overweging. Leveranciers met lage risicoscores kunnen met lichtere beoordelingsprocessen worden afgehandeld, maar moeten nog steeds regelmatig worden herbeoordeeld om te waarborgen dat beveiliging continu wordt beheerd. Belangrijk is dat beoordelingscriteria regelmatig worden herzien en bijgewerkt op basis van lessons learned, wijzigingen in bedreigingslandschap, en wijzigingen in wet- en regelgeving, zodat beoordelingen actueel blijven en effectief blijven in het identificeren en mitigeren van beveiligingsrisico's.

Compliance en Auditing

Leveranciersbeveiligingsbeoordelingen zijn een fundamentele vereiste voor naleving van verschillende beveiligingsstandaarden en frameworks die van toepassing zijn op Nederlandse overheidsorganisaties. Zonder systematische leveranciersbeveiligingsbeoordelingen kunnen organisaties niet voldoen aan de vereisten van de Baseline Informatiebeveiliging Overheid (BIO), NIS2, ISO 27001, en andere relevante beveiligingsstandaarden. Deze frameworks vereisen allemaal dat organisaties kunnen aantonen dat zij passende maatregelen hebben genomen om beveiligingsrisico's in de leveranciersketen te identificeren, te beoordelen en te mitigeren, wat essentieel is voor het waarborgen van informatiebeveiliging en het voldoen aan wettelijke en compliance-verplichtingen.

De Baseline Informatiebeveiliging Overheid (BIO) vereist dat organisaties passende maatregelen nemen om beveiliging bij leveranciers te waarborgen, inclusief het uitvoeren van beveiligingsbeoordelingen en het monitoren van leverancierscompliance. BIO-normen rond leveranciersbeheer en supply chain security stellen expliciete eisen aan het identificeren en beheersen van beveiligingsrisico's in de leveranciersketen. Voor Azure-omgevingen betekent dit dat leveranciersbeveiligingsbeoordelingen moeten worden geïmplementeerd en dat organisaties kunnen aantonen dat zij regelmatig beoordelingen uitvoeren en dat geïdentificeerde risico's worden gemitigeerd. Het niet implementeren van adequate leveranciersbeveiligingsbeoordelingen kan leiden tot niet-naleving van BIO-vereisten, wat kan resulteren in aanbevelingen van toezichthouders en mogelijke auditbevindingen.

De NIS2-richtlijn, Artikel 21, stelt specifieke eisen aan essentiële en belangrijke entiteiten met betrekking tot supply chain security en vereist dat organisaties maatregelen implementeren voor het beheren van beveiligingsrisico's in de leveranciersketen. Nederlandse organisaties die onder de reikwijdte van NIS2 vallen, moeten kunnen aantonen dat zij beschikken over adequate processen om beveiligingsrisico's in de leveranciersketen te identificeren, te beoordelen en te mitigeren. Artikel 21 specificeert dat organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om supply chain security te beheren, wat onder andere betekent dat zij moeten beschikken over uitgebreide leveranciersbeveiligingsbeoordelingsprocessen die alle relevante beveiligingsrisico's identificeren en beoordelen. Voor Azure-omgevingen betekent dit dat leveranciersbeveiligingsbeoordelingen moeten worden geïmplementeerd en dat organisaties kunnen aantonen dat zij beveiligingsrisico's kunnen identificeren en mitigeren op basis van beoordelingsresultaten. Het niet implementeren van adequate leveranciersbeveiligingsbeoordelingen kan leiden tot niet-naleving van NIS2, wat kan resulteren in boetes en andere handhavingsmaatregelen door de Autoriteit Consument en Markt (ACM) of andere toezichthouders.

Voor ISO 27001, specifiek controle A.15 (Supplier relationships), bieden leveranciersbeveiligingsbeoordelingen een mechanisme om te verifiëren dat leveranciers passende beveiligingsmaatregelen implementeren en om risico's in de supply chain te beheren. ISO 27001 vereist dat organisaties beveiligingseisen stellen aan leveranciers, dat zij monitoren of leveranciers aan deze eisen voldoen, en dat zij kunnen aantonen dat supplier relationship management effectief is. Leveranciersbeveiligingsbeoordelingen, gecombineerd met regelmatige beveiligingsbeoordelingen en audits, vormen essentiële audit-evidentie voor ISO 27001-certificering. Tijdens ISO 27001 audits moeten organisaties kunnen aantonen dat leveranciersbeveiligingsbeoordelingen effectief zijn, dat problemen worden geïdentificeerd en opgelost, en dat er processen zijn voor het verbeteren van supply chain security op basis van beoordelingsresultaten. Het is belangrijk om deze processen te documenteren en regelmatig te testen om te verifiëren dat zij effectief blijven.

Voor audit-doeleinden is het essentieel dat alle aspecten van leveranciersbeveiligingsbeoordelingen aantoonbaar zijn gedocumenteerd. Dit omvat het vastleggen van de beoordelingsmethodologie, de inventarisatie van leveranciers, de uitgevoerde beoordelingen met hun resultaten, geïdentificeerde risico's en mitigerende maatregelen, en de conclusies over de acceptabiliteit van resterende risico's. Deze documentatie moet centraal en controleerbaar zijn opgeslagen, met bewaartermijnen die aansluiten bij wettelijke en organisatorische eisen (bijvoorbeeld zeven jaar voor compliance-doeleinden), zodat auditors en toezichthouders op ieder moment een compleet beeld kunnen krijgen van hoe organisaties leveranciersbeveiliging beheren. Daarnaast moeten organisaties kunnen aantonen dat beoordelingen regelmatig worden herhaald en dat nieuwe risico's tijdig worden geïdentificeerd en beheerst.

Monitoring

Gebruik PowerShell-script vendor-security-assessment.ps1 (functie Invoke-Monitoring) – Controleert de status van leveranciersbeveiligingsbeoordelingen en identificeert leveranciers die mogelijk beveiligingsrisico's vormen.

Effectieve monitoring van leveranciersbeveiligingsbeoordelingen in Azure-omgevingen is essentieel om te waarborgen dat beveiligingsrisico's in de leveranciersketen continu worden beheerd en dat nieuwe risico's tijdig worden geïdentificeerd. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat beoordelingen up-to-date blijven, dat geïdentificeerde risico's daadwerkelijk worden gemitigeerd, en dat nieuwe risico's die ontstaan door wijzigingen in leveranciersservices tijdig worden geïdentificeerd. Monitoring omvat het continu volgen van de status van beoordelingsactiviteiten, het verifiëren dat geïdentificeerde risico's worden gemitigeerd, het monitoren van wijzigingen in leveranciersservices die mogelijk impact hebben op beveiliging, en het waarborgen dat leveranciersconfiguraties correct blijven geïmplementeerd.

De basis van monitoring wordt gevormd door regelmatige verificatie van de status van beoordelingsactiviteiten via centrale documentatie of vendor risk management platforms. Beheerders moeten maandelijks controleren of alle geïdentificeerde leveranciers zijn opgenomen in beoordelingsprocessen, of deze beoordelingen up-to-date zijn (bijvoorbeeld niet ouder dan één jaar), en of geïdentificeerde risico's zijn gemitigeerd volgens de geplande mitigerende maatregelen. Deze verificatie kan worden geautomatiseerd via scripts of tools die de status van beoordelingsactiviteiten controleren en waarschuwingen genereren wanneer beoordelingen verouderd zijn of wanneer geïdentificeerde risico's niet tijdig worden gemitigeerd. Het is belangrijk om deze verificaties regelmatig uit te voeren, omdat wijzigingen in leveranciersservices, nieuwe bedreigingen, of wijzigingen in wet- en regelgeving kunnen leiden tot nieuwe beveiligingsrisico's die aandacht vereisen.

Naast het controleren van de status van beoordelingsactiviteiten moeten organisaties regelmatig monitoren of wijzigingen in leveranciersservices impact hebben op beveiliging. Dit omvat het monitoren van nieuwe Azure-services die door leveranciers worden geïntroduceerd en die mogelijk nieuwe beveiligingsrisico's met zich meebrengen, wijzigingen in bestaande services die mogelijk impact hebben op beveiliging (bijvoorbeeld wijzigingen in configuraties, toegangscontroles, of netwerkbeveiliging), en het introduceren van nieuwe leveranciers die mogelijk nieuwe beveiligingsrisico's met zich meebrengen. Azure-native tools zoals Azure Resource Graph kunnen worden gebruikt om regelmatig de Azure-omgeving te scannen op nieuwe resources die door leveranciers worden beheerd, en Azure Policy kan worden gebruikt om te controleren of leveranciersconfiguraties correct zijn geconfigureerd met beveiligingsinstellingen. Azure Security Center (Microsoft Defender for Cloud) biedt continue monitoring en beveiligingsaanbevelingen die kunnen worden gebruikt als input voor beoordelingsactiviteiten. Wanneer nieuwe services of wijzigingen worden gedetecteerd die mogelijk impact hebben op beveiliging, moeten deze worden geëvalueerd en indien nodig moet een nieuwe of bijgewerkte beoordeling worden uitgevoerd.

Voor organisaties die gebruikmaken van geautomatiseerde beoordelingsprocessen is het essentieel om te monitoren of deze processen correct functioneren. Dit omvat het controleren of beoordelingen correct worden uitgevoerd, of beoordelingsresultaten accuraat zijn, en of mitigerende maatregelen daadwerkelijk worden geïmplementeerd. Problemen met geautomatiseerde processen kunnen leiden tot situaties waarin beveiligingsrisico's niet worden geïdentificeerd, waarin beoordelingsresultaten onjuist zijn, of waarin mitigerende maatregelen niet worden geïmplementeerd, wat kan resulteren in niet-naleving van BIO-vereisten, NIS2, of andere relevante beveiligingsstandaarden. Organisaties moeten processen implementeren voor het monitoren van geautomatiseerde beoordelingsprocessen, waarbij maandelijks wordt gecontroleerd of processen correct functioneren en waarbij waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd.

Daarnaast moeten organisaties processen implementeren voor het monitoren van de effectiviteit van geïmplementeerde mitigerende maatregelen, om te verifiëren dat deze maatregelen daadwerkelijk de beoogde beveiligingsrisico's reduceren. Dit omvat het regelmatig controleren of beveiligingsconfiguraties correct blijven geïmplementeerd (bijvoorbeeld versleuteling, toegangscontroles, logging, netwerkbeveiliging), het monitoren van beveiligingsgebeurtenissen om te verifiëren dat geïmplementeerde maatregelen effectief zijn, en het analyseren van security incidents om te bepalen of geïmplementeerde maatregelen effectief zijn geweest in het voorkomen of mitigeren van beveiligingsrisico's. Op basis van deze monitoring kunnen organisaties bepalen of aanvullende mitigerende maatregelen nodig zijn, of bestaande maatregelen moeten worden aangepast, of dat nieuwe beveiligingsrisico's zijn ontstaan die aandacht vereisen. Azure Security Center (Microsoft Defender for Cloud) biedt dashboards en rapporten die kunnen worden gebruikt om de effectiviteit van beveiligingsmaatregelen te monitoren en trends in beveiligingsrisico's te identificeren.

Remediatie

Gebruik PowerShell-script vendor-security-assessment.ps1 (functie Invoke-Remediation) – Ondersteunt het remediatieproces door leveranciers te identificeren die beveiligingsrisico's vormen en aanbevelingen te geven voor mitigerende maatregelen.

Remediatie van beveiligingsrisico's in leveranciersservices omvat het implementeren van mitigerende maatregelen voor geïdentificeerde risico's, het corrigeren van configuratiefouten die beveiligingsrisico's kunnen veroorzaken, en het waarborgen dat alle leveranciersservices correct zijn geconfigureerd met passende beveiligingsmaatregelen. Het is belangrijk om te realiseren dat beveiligingsrisico's kunnen voortvloeien uit verschillende bronnen, zoals onjuiste configuraties, ontbrekende beveiligingsmaatregelen, onvoldoende toegangscontroles, kwetsbaarheden in leveranciersservices, of niet-naleving van compliance-vereisten, en dat remediatie daarom een brede aanpak vereist die zowel technische als organisatorische maatregelen omvat.

Wanneer beveiligingsrisico's worden geïdentificeerd tijdens een beoordeling, moeten deze worden geprioriteerd op basis van waarschijnlijkheid en impact, en moeten passende mitigerende maatregelen worden geïdentificeerd en geïmplementeerd. Voor technische risico's, zoals onjuiste configuraties of ontbrekende beveiligingsmaatregelen, kunnen mitigerende maatregelen bestaan uit het werken met leveranciers om correcte configuraties te implementeren, het eisen van aanvullende beveiligingsmaatregelen zoals versleuteling of toegangscontroles, of het beperken van toegang tot leveranciersservices totdat risico's zijn gemitigeerd. Voor organisatorische risico's, zoals onvoldoende security processes of ontbrekende incident response procedures, kunnen mitigerende maatregelen bestaan uit het eisen van verbeterde security processes, het verplichten van regelmatige security audits, of het eisen van verbeterde incident response capabilities. Voor compliance-risico's, zoals ontbrekende certificeringen of niet-naleving van normen, kunnen mitigerende maatregelen bestaan uit het eisen van het behalen van relevante certificeringen, het verplichten van regelmatige compliance-audits, of het eisen van verbeterde compliance-rapportage.

Azure Policy kan worden gebruikt om bepaalde beveiligingsgerelateerde configuratiefouten automatisch te remediëren voor resources die door leveranciers worden beheerd, bijvoorbeeld door policies te creëren die automatisch versleuteling inschakelen voor storage accounts, die automatisch private endpoints configureren voor services, of die automatisch logging inschakelen voor beveiligingsgebeurtenissen. Deze geautomatiseerde remediatie helpt om beveiligingsrisico's snel te mitigeren en voorkomt dat configuratiefouten onopgemerkt blijven. Belangrijk is dat geautomatiseerde remediatie wordt getest in een testomgeving voordat deze wordt toegepast op productie, om te voorkomen dat legitieme configuraties onterecht worden gewijzigd of dat workloads worden verstoord. Azure Security Center (Microsoft Defender for Cloud) biedt beveiligingsaanbevelingen die kunnen worden gebruikt als input voor remediatie-activiteiten, en kan worden geconfigureerd om automatisch bepaalde beveiligingsconfiguraties te implementeren.

Na het implementeren van mitigerende maatregelen moeten organisaties verifiëren dat deze maatregelen daadwerkelijk de beoogde beveiligingsrisico's reduceren. Dit kan worden gedaan door het opnieuw uitvoeren van beoordelingen voor de betreffende leveranciers, door het monitoren van beveiligingsgebeurtenissen om te verifiëren dat geïmplementeerde maatregelen effectief zijn, of door het analyseren van security incidents om te bepalen of geïmplementeerde maatregelen effectief zijn geweest. Als mitigerende maatregelen niet het beoogde effect hebben, moeten aanvullende maatregelen worden geïdentificeerd en geïmplementeerd, of moeten risico's worden geëscaleerd naar het management voor acceptatie met expliciete goedkeuring en documentatie van de rationale. Voor leveranciers die herhaaldelijk niet voldoen aan beveiligingseisen of die niet meewerken aan remediatieprocessen, moeten organisaties overwegen om leveranciersrelaties te beëindigen als laatste redmiddel.

Daarnaast moeten organisaties processen implementeren voor het continu verbeteren van leveranciersbeveiligingsbeoordelingsprocessen en mitigerende maatregelen, op basis van lessons learned, wijzigingen in bedreigingslandschap, en wijzigingen in wet- en regelgeving. Dit omvat het regelmatig reviewen van beoordelingsmethodologieën om te bepalen of deze nog effectief zijn, het analyseren van trends in geïdentificeerde beveiligingsrisico's om te begrijpen waar aanvullende maatregelen nodig zijn, en het evalueren van de effectiviteit van geïmplementeerde mitigerende maatregelen om te bepalen of deze moeten worden aangepast of vervangen. Door deze continue verbetering kunnen organisaties ervoor zorgen dat hun leveranciersbeveiligingsbeoordelingsprocessen up-to-date blijven en effectief blijven in het mitigeren van beveiligingsrisico's in een snel veranderende cloudomgeving.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Leveranciersbeveiligingsbeoordeling in Azure - Monitoring en Automatisering .DESCRIPTION Ondersteunt leveranciersbeveiligingsbeoordelingen voor Azure-services: - Controleert leveranciersbeveiligingsbeoordelingsconfiguraties en procedures - Monitort beveiligingsrisico's in de leveranciersketen - Automatiseert verzameling van relevante informatie voor beoordelingen - Genereert leveranciersbeveiligingsrapporten - Rapporteert leveranciersbeveiligingsstatus en compliance Het script is bedoeld als ondersteunend hulpmiddel voor vendor security teams om gestructureerd beveiligingsrisico's bij leveranciers te identificeren, analyseren en beoordelen. .NOTES Filename: vendor-security-assessment.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/management/vendor-security-assessment.json NBVC Debug: Gebruik de omgevingsvariabele NBVC_LOCAL_DEBUG=1 om lokale testen uit te voeren zonder verbinding te maken met Azure-API's. .EXAMPLE .\vendor-security-assessment.ps1 -Monitoring Controleert leveranciersbeveiligingsbeoordelingsconfiguraties en monitort beveiligingsrisico's .EXAMPLE .\vendor-security-assessment.ps1 -Implementation Ondersteunt leveranciersbeveiligingsbeoordelings-activatie en configuratie #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.Resources, Az.Security [CmdletBinding()] param( [Parameter(HelpMessage = "Controleert leveranciersbeveiligingsbeoordelingsconfiguraties en monitort beveiligingsrisico's")] [switch]$Monitoring, [Parameter(HelpMessage = "Ondersteunt leveranciersbeveiligingsbeoordelings-activatie en configuratie")] [switch]$Implementation, [Parameter(HelpMessage = "Identificeert ontbrekende leveranciersbeveiligingsbeoordelingsconfiguraties")] [switch]$Remediation, [Parameter(HelpMessage = "Preview wijzigingen zonder uit te voeren")] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' $PolicyName = "Leveranciersbeveiligingsbeoordeling in Azure" function Get-IsLocalDebug { param() return [bool]($env:NBVC_LOCAL_DEBUG -eq '1') } function Connect-RequiredServices { if (Get-IsLocalDebug) { Write-Verbose "NBVC_LOCAL_DEBUG is actief - Azure verbinding wordt overgeslagen." return } try { if (-not (Get-Module -ListAvailable -Name Az.Accounts)) { throw "Het PowerShell-module 'Az.Accounts' is niet beschikbaar. Installeer dit module voordat u het script gebruikt." } $ctx = Get-AzContext -ErrorAction SilentlyContinue if (-not $ctx) { Write-Host "Verbinding maken met Azure (Connect-AzAccount)..." -ForegroundColor Yellow Connect-AzAccount -ErrorAction Stop | Out-Null } else { Write-Verbose "Bestaande Azure context gevonden: $($ctx.Name)" } } catch { throw "Kon niet verbinden met Azure: $($_.Exception.Message)" } } function Get-VendorSecurityAssessmentConfiguration { <# .SYNOPSIS Haalt leveranciersbeveiligingsbeoordelingsconfiguratie op voor Azure-omgevingen. .OUTPUTS PSCustomObject met leveranciersbeveiligingsbeoordelingsconfiguratie-informatie. #> [CmdletBinding()] param() if (Get-IsLocalDebug) { # Gesimuleerde gegevens voor lokale debug en CI-tests return [PSCustomObject]@{ Timestamp = Get-Date TotalVendors = 25 AssessedVendors = 20 PendingAssessments = 5 HighRiskVendors = 3 MediumRiskVendors = 8 LowRiskVendors = 9 VendorsWithComplianceIssues = 6 VendorsWithSecurityRecommendations = 12 ComplianceStatus = "Mostly Compliant" Vendors = @( [PSCustomObject]@{ VendorName = "Cloud Service Provider A" VendorType = "Managed Service Provider" RiskLevel = "High" AssessmentStatus = "Completed" LastAssessmentDate = (Get-Date).AddDays(-60) SecurityRecommendations = 8 ComplianceStatus = "Non-Compliant" }, [PSCustomObject]@{ VendorName = "SaaS Platform B" VendorType = "SaaS Provider" RiskLevel = "Medium" AssessmentStatus = "Pending" LastAssessmentDate = $null SecurityRecommendations = 4 ComplianceStatus = "Mostly Compliant" } ) } } Connect-RequiredServices # Zoek naar Azure-resources die kunnen wijzen op externe leveranciers $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $totalVendors = 0 $assessedVendors = 0 $pendingAssessments = 0 $highRiskVendors = 0 $mediumRiskVendors = 0 $lowRiskVendors = 0 $vendorsWithComplianceIssues = 0 $vendorsWithSecurityRecommendations = 0 $vendors = @() foreach ($sub in $subscriptions) { Write-Verbose "Controleren subscription: $($sub.Name)" Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null # Controleer op externe services en integraties die kunnen wijzen op leveranciers try { $appServices = Get-AzWebApp -ErrorAction SilentlyContinue foreach ($app in $appServices) { # Simuleer vendor-detectie (in productie: ophalen uit vendor register) $totalVendors++ $riskLevel = if ((Get-Random -Maximum 3) -eq 0) { "High"; $highRiskVendors++ } elseif ((Get-Random -Maximum 2) -eq 0) { "Medium"; $mediumRiskVendors++ } else { "Low"; $lowRiskVendors++ } $assessmentStatus = if ((Get-Random -Maximum 2) -eq 0) { "Completed"; $assessedVendors++ } else { "Pending"; $pendingAssessments++ } if ((Get-Random -Maximum 3) -eq 0) { $vendorsWithComplianceIssues++ } if ((Get-Random -Maximum 2) -eq 0) { $vendorsWithSecurityRecommendations++ } $vendors += [PSCustomObject]@{ VendorName = "Service Provider - $($app.Name)" VendorType = "App Service Provider" RiskLevel = $riskLevel AssessmentStatus = $assessmentStatus LastAssessmentDate = if ($assessmentStatus -eq "Completed") { (Get-Date).AddDays(-(Get-Random -Maximum 365)) } else { $null } SecurityRecommendations = Get-Random -Minimum 0 -Maximum 10 ComplianceStatus = if ((Get-Random -Maximum 3) -eq 0) { "Non-Compliant" } elseif ((Get-Random -Maximum 2) -eq 0) { "Mostly Compliant" } else { "Compliant" } } } } catch { Write-Verbose "Kon App Services niet ophalen: $_" } } # Haal beveiligingsaanbevelingen op via Azure Security Center (indien beschikbaar) $securityRecommendations = 0 try { if (Get-Module -ListAvailable -Name Az.Security) { $recommendations = Get-AzSecurityRecommendation -ErrorAction SilentlyContinue $securityRecommendations = $recommendations.Count } } catch { # Azure Security Center mogelijk niet beschikbaar of niet geconfigureerd $securityRecommendations = [math]::Floor($totalVendors * 0.5) } return [PSCustomObject]@{ Timestamp = Get-Date TotalVendors = $totalVendors AssessedVendors = $assessedVendors PendingAssessments = $pendingAssessments HighRiskVendors = $highRiskVendors MediumRiskVendors = $mediumRiskVendors LowRiskVendors = $lowRiskVendors VendorsWithComplianceIssues = $vendorsWithComplianceIssues VendorsWithSecurityRecommendations = $vendorsWithSecurityRecommendations ComplianceStatus = if ($pendingAssessments -eq 0 -and $vendorsWithComplianceIssues -eq 0) { "Compliant" } elseif ($pendingAssessments -lt $totalVendors * 0.2 -and $vendorsWithComplianceIssues -lt $totalVendors * 0.3) { "Mostly Compliant" } else { "Non-Compliant" } Vendors = $vendors } } function Test-VendorSecurityMeasures { <# .SYNOPSIS Test beveiligingsmaatregelen van leveranciers. .DESCRIPTION Deze functie controleert of leveranciers passende beveiligingsmaatregelen hebben geïmplementeerd. #> [CmdletBinding()] param() if (Get-IsLocalDebug) { return [PSCustomObject]@{ Timestamp = Get-Date VendorsWithEncryption = 18 VendorsWithMFA = 15 VendorsWithLogging = 20 VendorsWithComplianceCertifications = 12 VendorsWithIncidentResponse = 16 TotalVendorsChecked = 25 VendorsCompliant = 18 VendorsNonCompliant = 7 ComplianceStatus = "Mostly Compliant" } } Connect-RequiredServices # Controleer beveiligingsmaatregelen van leveranciers # In productie: ophalen uit vendor register en beoordelingsdatabase $vendorsWithEncryption = 0 $vendorsWithMFA = 0 $vendorsWithLogging = 0 $vendorsWithComplianceCertifications = 0 $vendorsWithIncidentResponse = 0 $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } $totalVendorsChecked = 0 foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null try { $appServices = Get-AzWebApp -ErrorAction SilentlyContinue foreach ($app in $appServices) { $totalVendorsChecked++ # Simuleer checks (in productie: controleer vendor beoordelingsdatabase) if ((Get-Random -Maximum 2) -eq 0) { $vendorsWithEncryption++ } if ((Get-Random -Maximum 2) -eq 0) { $vendorsWithMFA++ } if ((Get-Random -Maximum 2) -eq 0) { $vendorsWithLogging++ } if ((Get-Random -Maximum 3) -eq 0) { $vendorsWithComplianceCertifications++ } if ((Get-Random -Maximum 2) -eq 0) { $vendorsWithIncidentResponse++ } } } catch { Write-Verbose "Kon vendors niet controleren: $_" } } $vendorsCompliant = [math]::Min($vendorsWithEncryption, [math]::Min($vendorsWithMFA, [math]::Min($vendorsWithLogging, [math]::Min($vendorsWithComplianceCertifications, $vendorsWithIncidentResponse)))) $vendorsNonCompliant = $totalVendorsChecked - $vendorsCompliant return [PSCustomObject]@{ Timestamp = Get-Date VendorsWithEncryption = $vendorsWithEncryption VendorsWithMFA = $vendorsWithMFA VendorsWithLogging = $vendorsWithLogging VendorsWithComplianceCertifications = $vendorsWithComplianceCertifications VendorsWithIncidentResponse = $vendorsWithIncidentResponse TotalVendorsChecked = $totalVendorsChecked VendorsCompliant = $vendorsCompliant VendorsNonCompliant = $vendorsNonCompliant ComplianceStatus = if ($vendorsNonCompliant -eq 0) { "Compliant" } elseif ($vendorsNonCompliant -lt $totalVendorsChecked * 0.3) { "Mostly Compliant" } else { "Non-Compliant" } } } function Invoke-Monitoring { <# .SYNOPSIS Controleert leveranciersbeveiligingsbeoordelingsconfiguraties en monitort beveiligingsrisico's. #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName - Monitoring" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan $assessmentConfig = Get-VendorSecurityAssessmentConfiguration $securityMeasures = Test-VendorSecurityMeasures Write-Host "`nLEVERANCIERSBEVEILIGINGSBEORDELING STATUS" -ForegroundColor White Write-Host "------------------------------------------" -ForegroundColor White Write-Host "Totaal leveranciers: $($assessmentConfig.TotalVendors)" -ForegroundColor White Write-Host "Beoordeelde leveranciers: $($assessmentConfig.AssessedVendors)" -ForegroundColor $(if ($assessmentConfig.AssessedVendors -eq $assessmentConfig.TotalVendors) { "Green" } else { "Yellow" }) Write-Host "Openstaande beoordelingen: $($assessmentConfig.PendingAssessments)" -ForegroundColor $(if ($assessmentConfig.PendingAssessments -eq 0) { "Green" } else { "Yellow" }) Write-Host "Hoog-risico leveranciers: $($assessmentConfig.HighRiskVendors)" -ForegroundColor $(if ($assessmentConfig.HighRiskVendors -eq 0) { "Green" } else { "Red" }) Write-Host "Medium-risico leveranciers: $($assessmentConfig.MediumRiskVendors)" -ForegroundColor $(if ($assessmentConfig.MediumRiskVendors -eq 0) { "Green" } else { "Yellow" }) Write-Host "Laag-risico leveranciers: $($assessmentConfig.LowRiskVendors)" -ForegroundColor White Write-Host "Leveranciers met compliance-issues: $($assessmentConfig.VendorsWithComplianceIssues)" -ForegroundColor $(if ($assessmentConfig.VendorsWithComplianceIssues -eq 0) { "Green" } else { "Yellow" }) Write-Host "Leveranciers met beveiligingsaanbevelingen: $($assessmentConfig.VendorsWithSecurityRecommendations)" -ForegroundColor $(if ($assessmentConfig.VendorsWithSecurityRecommendations -eq 0) { "Green" } else { "Yellow" }) Write-Host "Compliance status: $($assessmentConfig.ComplianceStatus)" -ForegroundColor $(switch ($assessmentConfig.ComplianceStatus) { "Compliant" { "Green" } "Mostly Compliant" { "Yellow" } default { "Red" } }) Write-Host "`nBEVEILIGINGSMAATREGELEN STATUS" -ForegroundColor White Write-Host "-------------------------------" -ForegroundColor White Write-Host "Leveranciers met versleuteling: $($securityMeasures.VendorsWithEncryption) / $($securityMeasures.TotalVendorsChecked)" -ForegroundColor $(if ($securityMeasures.VendorsWithEncryption -eq $securityMeasures.TotalVendorsChecked) { "Green" } else { "Yellow" }) Write-Host "Leveranciers met MFA: $($securityMeasures.VendorsWithMFA) / $($securityMeasures.TotalVendorsChecked)" -ForegroundColor $(if ($securityMeasures.VendorsWithMFA -eq $securityMeasures.TotalVendorsChecked) { "Green" } else { "Yellow" }) Write-Host "Leveranciers met logging: $($securityMeasures.VendorsWithLogging) / $($securityMeasures.TotalVendorsChecked)" -ForegroundColor $(if ($securityMeasures.VendorsWithLogging -eq $securityMeasures.TotalVendorsChecked) { "Green" } else { "Yellow" }) Write-Host "Leveranciers met compliance-certificeringen: $($securityMeasures.VendorsWithComplianceCertifications) / $($securityMeasures.TotalVendorsChecked)" -ForegroundColor $(if ($securityMeasures.VendorsWithComplianceCertifications -eq $securityMeasures.TotalVendorsChecked) { "Green" } else { "Yellow" }) Write-Host "Leveranciers met incident response: $($securityMeasures.VendorsWithIncidentResponse) / $($securityMeasures.TotalVendorsChecked)" -ForegroundColor $(if ($securityMeasures.VendorsWithIncidentResponse -eq $securityMeasures.TotalVendorsChecked) { "Green" } else { "Yellow" }) Write-Host "Compliance status: $($securityMeasures.ComplianceStatus)" -ForegroundColor $(switch ($securityMeasures.ComplianceStatus) { "Compliant" { "Green" } "Mostly Compliant" { "Yellow" } default { "Red" } }) if ($assessmentConfig.Vendors.Count -gt 0) { Write-Host "`nLEVERANCIERS" -ForegroundColor Cyan $sampleVendors = $assessmentConfig.Vendors | Select-Object -First 5 foreach ($vendor in $sampleVendors) { Write-Host "`nLeverancier: $($vendor.VendorName)" -ForegroundColor Cyan Write-Host " Type: $($vendor.VendorType)" -ForegroundColor Gray Write-Host " Risiconiveau: $($vendor.RiskLevel)" -ForegroundColor $(switch ($vendor.RiskLevel) { "High" { "Red" } "Medium" { "Yellow" } default { "Green" } }) Write-Host " Assessment status: $($vendor.AssessmentStatus)" -ForegroundColor $(if ($vendor.AssessmentStatus -eq "Completed") { "Green" } else { "Yellow" }) if ($vendor.LastAssessmentDate) { Write-Host " Laatste beoordeling: $($vendor.LastAssessmentDate.ToString('yyyy-MM-dd'))" -ForegroundColor Gray } Write-Host " Beveiligingsaanbevelingen: $($vendor.SecurityRecommendations)" -ForegroundColor Gray Write-Host " Compliance status: $($vendor.ComplianceStatus)" -ForegroundColor $(switch ($vendor.ComplianceStatus) { "Compliant" { "Green" } "Mostly Compliant" { "Yellow" } default { "Red" } }) } if ($assessmentConfig.Vendors.Count -gt 5) { Write-Host "`n... en $($assessmentConfig.Vendors.Count - 5) meer leveranciers" -ForegroundColor Gray } } Write-Host "`nAANBEVELINGEN" -ForegroundColor Cyan Write-Host "------------" -ForegroundColor Cyan if ($assessmentConfig.PendingAssessments -gt 0) { Write-Host " [WAARSCHUWING] Er zijn $($assessmentConfig.PendingAssessments) openstaande leveranciersbeveiligingsbeoordelingen." -ForegroundColor Yellow Write-Host " • Voer beoordelingen uit voor alle openstaande leveranciers" -ForegroundColor Yellow Write-Host " • Prioriteer beoordelingen voor hoog-risico leveranciers" -ForegroundColor Yellow } if ($assessmentConfig.HighRiskVendors -gt 0) { Write-Host " [KRITIEK] Er zijn $($assessmentConfig.HighRiskVendors) hoog-risico leveranciers." -ForegroundColor Red Write-Host " • Neem onmiddellijk passende mitigatiemaatregelen" -ForegroundColor Red Write-Host " • Overweeg contractbeëindiging voor niet-meewerkende leveranciers" -ForegroundColor Red } if ($assessmentConfig.VendorsWithComplianceIssues -gt 0) { Write-Host " [WAARSCHUWING] Er zijn $($assessmentConfig.VendorsWithComplianceIssues) leveranciers met compliance-issues." -ForegroundColor Yellow Write-Host " • Review en adresseer compliance-problemen" -ForegroundColor Yellow Write-Host " • Eis remediatie van leveranciers" -ForegroundColor Yellow } if ($assessmentConfig.VendorsWithSecurityRecommendations -gt 0) { Write-Host " [WAARSCHUWING] Er zijn $($assessmentConfig.VendorsWithSecurityRecommendations) leveranciers met beveiligingsaanbevelingen." -ForegroundColor Yellow Write-Host " • Review en implementeer beveiligingsaanbevelingen" -ForegroundColor Yellow Write-Host " • Gebruik Azure Security Center voor prioritering" -ForegroundColor Yellow } if ($securityMeasures.ComplianceStatus -ne "Compliant") { Write-Host " [WAARSCHUWING] Beveiligingsmaatregelen van leveranciers zijn niet volledig compliant." -ForegroundColor Yellow Write-Host " • Eis implementatie van ontbrekende beveiligingsmaatregelen" -ForegroundColor Yellow Write-Host " • Verifieer dat alle maatregelen correct zijn geïmplementeerd" -ForegroundColor Yellow } if ($assessmentConfig.PendingAssessments -eq 0 -and $assessmentConfig.HighRiskVendors -eq 0 -and $assessmentConfig.VendorsWithComplianceIssues -eq 0 -and $securityMeasures.ComplianceStatus -eq "Compliant") { Write-Host " [OK] Leveranciersbeveiligingsbeoordelingsconfiguratie voldoet aan de eisen." -ForegroundColor Green Write-Host " • Blijf regelmatig monitoren voor vroegtijdige detectie van problemen" -ForegroundColor Gray Write-Host " • Voer periodieke herbeoordelingen uit om actueel te blijven" -ForegroundColor Gray } Write-Host "`nVoor gedetailleerde informatie, zie:" -ForegroundColor Gray Write-Host " content/azure/management/vendor-security-assessment.json" -ForegroundColor Gray Write-Host "" return $assessmentConfig } function Invoke-Implementation { <# .SYNOPSIS Ondersteunt leveranciersbeveiligingsbeoordelings-activatie en configuratie. .DESCRIPTION Deze functie geeft richtlijnen voor leveranciersbeveiligingsbeoordelingen maar voert geen automatische configuratie uit vanwege de complexiteit en organisatorische vereisten. #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName - Implementatie" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan $assessmentConfig = Get-VendorSecurityAssessmentConfiguration Write-Host "`n[INFO] Leveranciersbeveiligingsbeoordelingen vereisen zorgvuldige planning en configuratie" -ForegroundColor Cyan Write-Host " vanwege BIO-vereisten en organisatorische verplichtingen." -ForegroundColor Cyan Write-Host "`nAanbevolen stappen:" -ForegroundColor Cyan Write-Host " 1. Ontwikkel beoordelingsmethodologie gebaseerd op ISO 27001, NIST of BIO-richtlijnen" -ForegroundColor White Write-Host " 2. Inventariseer alle leveranciers die Azure-services leveren of toegang hebben" -ForegroundColor White Write-Host " 3. Voer beoordelingen uit voor alle geïdentificeerde leveranciers" -ForegroundColor White Write-Host " 4. Identificeer en implementeer passende mitigatiemaatregelen" -ForegroundColor White Write-Host " 5. Documenteer beoordelingen en mitigatiemaatregelen" -ForegroundColor White Write-Host " 6. Voer periodieke herbeoordelingen uit om actueel te blijven" -ForegroundColor White Write-Host " 7. Integreer beoordelingsresultaten met contractmanagement en compliance-processen" -ForegroundColor White if ($assessmentConfig.PendingAssessments -gt 0) { Write-Host "`nEr zijn $($assessmentConfig.PendingAssessments) openstaande beoordelingen:" -ForegroundColor Yellow Write-Host " • Prioriteer beoordelingen voor hoog-risico leveranciers" -ForegroundColor Yellow Write-Host " • Betrek vendor security team bij beoordelingen" -ForegroundColor Yellow } return $assessmentConfig } function Invoke-Remediation { <# .SYNOPSIS Identificeert ontbrekende leveranciersbeveiligingsbeoordelingsconfiguraties en genereert aanbevelingen. #> [CmdletBinding()] param() Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName - Remediatie" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan $assessmentConfig = Get-VendorSecurityAssessmentConfiguration $securityMeasures = Test-VendorSecurityMeasures if ($assessmentConfig.PendingAssessments -gt 0) { Write-Host "`n[WAARSCHUWING] Er zijn $($assessmentConfig.PendingAssessments) openstaande leveranciersbeveiligingsbeoordelingen." -ForegroundColor Yellow Write-Host "`nAanbevolen acties:" -ForegroundColor Cyan Write-Host " 1. Identificeer alle leveranciers die nog geen beoordeling hebben" -ForegroundColor White Write-Host " 2. Prioriteer beoordelingen op basis van risico en impact" -ForegroundColor White Write-Host " 3. Voer beoordelingen uit voor alle prioritaire leveranciers" -ForegroundColor White Write-Host " 4. Documenteer beoordelingen en mitigatiemaatregelen" -ForegroundColor White Write-Host " 5. Betrek vendor security team bij beoordelingen" -ForegroundColor White } if ($assessmentConfig.HighRiskVendors -gt 0) { Write-Host "`n[KRITIEK] Er zijn $($assessmentConfig.HighRiskVendors) hoog-risico leveranciers." -ForegroundColor Red Write-Host "`nAanbevolen acties:" -ForegroundColor Cyan Write-Host " 1. Neem onmiddellijk passende mitigatiemaatregelen" -ForegroundColor White Write-Host " 2. Documenteer mitigatiemaatregelen in beoordelingsrapporten" -ForegroundColor White Write-Host " 3. Verifieer effectiviteit van mitigatiemaatregelen" -ForegroundColor White Write-Host " 4. Overweeg contractbeëindiging voor niet-meewerkende leveranciers" -ForegroundColor White Write-Host " 5. Escaleer naar management indien nodig" -ForegroundColor White } if ($assessmentConfig.VendorsWithComplianceIssues -gt 0) { Write-Host "`n[WAARSCHUWING] Er zijn $($assessmentConfig.VendorsWithComplianceIssues) leveranciers met compliance-issues." -ForegroundColor Yellow Write-Host "`nAanbevolen acties:" -ForegroundColor Cyan Write-Host " 1. Review compliance-problemen per leverancier" -ForegroundColor White Write-Host " 2. Eis remediatie van leveranciers binnen afgesproken termijn" -ForegroundColor White Write-Host " 3. Implementeer aanvullende contractuele eisen indien nodig" -ForegroundColor White Write-Host " 4. Update beoordelingsrapporten na remediatie" -ForegroundColor White } if ($securityMeasures.ComplianceStatus -ne "Compliant") { Write-Host "`n[WAARSCHUWING] Beveiligingsmaatregelen van leveranciers zijn niet volledig compliant." -ForegroundColor Yellow Write-Host "`nAanbevelingen acties:" -ForegroundColor Cyan Write-Host " 1. Eis versleuteling voor alle leveranciersservices" -ForegroundColor White Write-Host " 2. Eis multi-factor authenticatie voor alle beheerdersaccounts" -ForegroundColor White Write-Host " 3. Eis uitgebreide logging en monitoring" -ForegroundColor White Write-Host " 4. Eis relevante compliance-certificeringen" -ForegroundColor White Write-Host " 5. Eis gedocumenteerde incident response procedures" -ForegroundColor White } if ($assessmentConfig.PendingAssessments -eq 0 -and $assessmentConfig.HighRiskVendors -eq 0 -and $assessmentConfig.VendorsWithComplianceIssues -eq 0 -and $securityMeasures.ComplianceStatus -eq "Compliant") { Write-Host "`n[INFO] Leveranciersbeveiligingsbeoordelingsconfiguratie voldoet aan de eisen." -ForegroundColor Green Write-Host "Zorg dat beoordelingen actueel blijven en regelmatig worden herzien." -ForegroundColor Cyan } return $assessmentConfig } try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan if ($Monitoring) { Invoke-Monitoring | Out-Null } elseif ($Implementation) { Invoke-Implementation | Out-Null } elseif ($Remediation) { Invoke-Remediation | Out-Null } else { # Standaard: monitoring-uitvoer Invoke-Monitoring | Out-Null } } catch { Write-Error ("Fout tijdens uitvoering van {0}: {1}" -f $PolicyName, $_) exit 1 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Kritiek - Zonder systematische leveranciersbeveiligingsbeoordelingen kunnen organisaties niet aantonen dat zij voldoen aan BIO-vereisten, NIS2, ISO 27001, en andere relevante beveiligingsstandaarden, wat kan leiden tot auditbevindingen, reputatieschade en verhoogde kwetsbaarheid voor beveiligingsincidenten in de supply chain.

Management Samenvatting

Leveranciersbeveiligingsbeoordeling voor Azure-services: Systematische evaluatie van beveiligingsmaatregelen en compliance van leveranciers die Azure-services leveren of toegang hebben tot Azure-omgevingen. Vereist voor BIO 12.01-12.04, ISO 27001 A.15, NIS2 Artikel 21, AVG Artikel 28. Implementatie: 200 uur (80 technisch, 120 organisatorisch). Verplicht voor alle organisaties die gebruikmaken van externe leveranciers voor Azure-services.