Door: Redactie - 12 mei 2022 |
Nu bedrijven een nieuw niveau van digitalisering bereiken, mogelijk gemaakt door snellere connectiviteit, biedt het gebruik van data een belangrijke kans om risico’s beter te bewaken, te analyseren, te voorspellen en te beperken. De bescherming van data en van de systemen die deze data verwerken, overdragen en opslaan, is daarom van cruciaal belang. Volgens de laatste Annual Global CEO Survey van PwC (1) is cyberbeveiliging nu wereldwijd een van de topprioriteiten. De strategie voor risicobeheer op het gebied van cyberbeveiliging mag dus niet langer worden gezien als een zaak die alleen de CTO en IT-directeur aangaat, maar moet ook op de agenda staan van elke supply chain manager en technisch directeur.
Data heeft het potentieel om risicobeheer te transformeren. Met de juiste data, analyse- en rapportagetools kan worden vastgesteld waar de kans op toekomstige risico’s het grootst is. Zo kunt u zich concentreren op de gebieden waar de hoogste waarde op het spel staat. Het gebruik van deze meetmethoden kan ook helpen om emotionele vooringenomenheid bij de besluitvorming te voorkomen: de risico’s waarvan we aannemen dat ze groter zijn, zijn niet altijd de risico’s die in het oog moeten worden gehouden.
Wanneer u dit inzichtelijk heeft, kunt u doeltreffender inspecties of audits uitvoeren en u richten op de activiteiten met een hoger risico.
Een ervaren digital assurance-partner kan advies geven over welke gegevens moeten worden gecontroleerd, hoe deze moeten worden geanalyseerd en hoe daarop moet worden gereageerd.
Digitale transformatie biedt veel mogelijkheden, maar de ervaring leert ons dat de implementatie van een managementsysteem voor informatiebeveiliging een uitdaging kan zijn. De aanpak is vaak versnipperd. Uit een onderzoek uit 2020 bleek dat van de digitale upgrades die aan het begin van de pandemie waren doorgevoerd, 59% kortetermijnoplossingen nodig hadden om problemen op te lossen die het gevolg waren van overhaaste invoeringen (2). Dit had kunnen worden vermeden als assurance en risicobeperking beter in het veranderingsproces waren geïntegreerd.
Een veelgemaakte fout is een technologie-gedreven aanpak. Het is van cruciaal belang dat het uitgangspunt voor organisaties die hun activiteiten en programma’s voor de bepaling van risicobeheer willen digitaliseren, de problemen kennen, niet de technologie of databron die volgens hen ontbreekt. Dit vereist een samenhangende digitale assurance-strategie die de juiste mix van mensen, processen en technologie omvat.
Door de toenemende digitalisering en datastromen nemen ook de potentiële kwetsbaarheden toe. Kwaadwillende kunnen deze uitbuiten. Leveranciers zijn een vitale bron van data voor elk bedrijf dat een volledig beeld wil krijgen van zijn activiteiten en kwaliteitsborging. Maar deze digitale supply chain moet ook worden beveiligd. Organisaties moeten zich niet alleen bewust zijn van hun eigen risicobeheer-strategie voor cybersecurity, maar ook van het potentieel van cyberdreigingen die zich kunnen voordoen in de supply chain.
In de afgelopen jaren hebben we een verschuiving gezien in de vorm van cyberdreigingen. Ransomware is niet alleen in frequentie verdubbeld (3), het is nu goed voor 10% van alle inbreuken. Ook wordt er steeds vaker gericht op supply chains via sleeper ransomware. Bij deze aanvallen worden niet alleen privileges op het hostnetwerk verkregen, maar wordt ook gekeken hoe het hele ecosysteem kan worden getroffen. De wereldwijde supply chains vergroten de potentiële impact van deze aanvallen, waardoor het belang van risicomanagement op het gebied van cybersecurity toeneemt.
Door deze huidige ontwikkelingen zijn traditionele audits en een jaarlijkse risicobeoordeling van cybersecurity niet langer toereikend. Ze bieden slechts een momentopname van systemen en houden geen rekening met nieuwe kwetsbaarheden of tussentijds vereiste wijzigingen aan het systeem.
Daarnaast hebben veel organisaties er in het verleden voor gekozen om het risicobeheer van hun cybersecurity over te dragen aan een verzekeringsmaatschappij. Het volume en de complexiteit van cyberaanvallen hebben de premies echter opgedreven, zodat verzekeraars steeds vaker van organisaties eisen dat ze de risico’s proactief beperken om gedekt te blijven. Investeringen in robuuste zekerheid kunnen zelfs de kosten van de verzekeringspolis verlagen.
Een oplossing voor deze beide problemen is Continuous Controls Monitoring. Hiermee kunnen organisaties in realtime de data bijhouden die nodig is voor een risicobeoordeling op het gebied van cybersecurity, inclusief de data die worden verkregen van leveranciers. Threat intelligence-platforms en dashboards kunnen een continue en proactieve controleaanpak vergemakkelijken.
Door samen te werken met leveranciers en specialisten kan een organisatie grote vooruitgang boeken bij het ontwikkelen van een slimmere aanpak van risk assurance en bij het vaststellen van de juiste informatie assurance op het gebied van cybersecurity.
De eis van certificering naar wereldwijde managementsysteemnormen, zoals ISO 27001, en het recht om IT-beveiliging te auditen en te beoordelen, wordt steeds belangrijker. Het Cybersecurity Framework van het National Institute of Standards and Technology (NIST) wint ook terrein als een wereldwijde norm die rekening houdt met de noodzaak om naar de controles van leveranciers te kijken. Dit levert wederzijdse voordelen op voor beide partijen, waarbij inkopers helpen bij het opleiden en bijscholen van leveranciers, waardoor de competentie en veerkracht in de hele keten toeneemt. De verschuiving naar digitale assurance en een continu model van monitoring heeft ook het potentieel om de kosten en verstoringen te verminderen die worden veroorzaakt door onnodige inspecties van de supply chain.
Bij het nemen van beslissingen over leveranciers, nieuwe productontwikkeling en groei naar nieuwe regio’s en gebieden, moet cybersecurity deel uitmaken van de discussie. Risicobeheer op het gebied van cybersecurity moet deel uitmaken van een robuuste en doorlopende assurance-strategie – en niet slechts een controlepunt waaraan moet worden voldaan in de eerste fase van onboarding.
Naarmate de industrie digitaliseert, groeit de behoefte aan slimmere, real-time assurance voor zowel traditionele risico’s als cybersecurity. Dit alles wijst op de noodzaak om bestendig te zijn door middel van digitale risicoborgingsprogramma’s, en integratie van managementsysteem voor informatiebeveiliging (ISO 27001) op een manier die is afgestemd op het bedrijf. De bedreigingen waarvan u zich bewust bent, worden aangepakt en er wordt rekening gehouden met de bedreigingen waarvan u zich niet bewust bent. Continue en gezamenlijke bewaking van operationele data en informatiebeveiliging, kwetsbaarheden en bedreigingen biedt de mogelijkheid om risico’s beter te beperken, de efficiëntie te verhogen en beter geïnformeerde besluitvorming te vergemakkelijken.
Kijk voor meer informatie over effectief risicobeheer en cybersecurity op LRQA.
Auteur: Nick Prescot, Senior GRC Consultant at Nettitude
Lees ook:
Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.