Door: Caroline Willemse en André Biesheuvel
Aanleiding
Riskmanagement beschouwen wij als een proces van het identificeren, het beoordelen en het nemen van passende maatregelen gericht op het borgen van de continuïteit van de bedrijfsvoering. Elke organisatie kent risicogebieden waarin riskmanagement nodig is. De risicogebieden kunnen betrekking hebben op strategische, financiële, juridische of administratief organisatorische thema’s. Ook het beschermen van bedrijfs- en persoonsgegevens kan daartoe behoren.
Riskmanagement is ook een proces van het ontdekken en vastleggen van kwetsbaarheden in de organisatie, het beoordelen van de impact van mogelijke kwetsbaarheden op de bedrijfsvoering en het tijdig treffen van passende en effectieve beheersmaatregelen. In elk bedrijf wil de bedrijfsleiding weten of en welke bedrijfsrisico’s de bedrijfscontinuïteit bedreigen. Naarmate de organisatie groeit en de IT-systemen, of liever gezegd de IT-clouddiensten, meer geïntegreerd en op afstand gezet worden, onttrekken de kwetsbaarheden en daarmee de bedrijfsrisico’s zich aan het zicht van de bedrijfsleiding. Dit geldt met name als het IT-beheer wordt uitbesteed aan een derde partij. De noodzaak van het organiseren van riskmanagement voor het effectief organiseren van IT blijft en zal in een aangepaste vorm georganiseerd moeten worden.
Wat mogen wij verwachten van riskmanagement? Riskmanagement draagt bij aan de continuïteit van de bedrijfsvoering door tijdig bedrijfsrisico’s te signaleren en te zorgen dat effectieve en afdoende beheersmaatregelen worden getroffen. Bedrijfsrisico’s die de bedrijfscontinuïteit bedreigen kunnen het gevolg zijn van:
- Het gedrag van partners (klanten, leveranciers en of interne of externe medewerkers): Uiteindelijk maken of breken mensen een organisatie. De bedrijfsleiding koestert haar reputatie en verwacht dat de partners met wie zij zaken doet ook beschikken over een voorspelbare reputatie. Een problematische reputatie en gedrag van partners weerspiegelen zich in een verhoogd financieel, operationeel en juridisch risicoprofiel;
- Technologische en innovatieve ontwikkelingen die gevolgen hebben voor het effectief organiseren van bedrijfsactiviteiten: Verbeteringen in producten en diensten die door het bedrijf worden gebruikt vragen om kennis- en verandermanagement voor een succesvolle implementatie. Ontbreekt het aan de noodzakelijke kennis bij medewerkers dan worden de innovaties veelal niet toegepast en de toegevoegde waarde niet benut. Als de concurrenten wél succesvol de technologische en innovatieve ontwikkelingen in de producten en diensten toepassen dan verwerven zij een concurrentie-kosten-voordeel hetgeen de bedrijfscontinuïteit van de onderneming onder druk kan zetten; en
- Veranderende vraag naar producten en diensten: Het bedrijf bouwt een klantenkring op. Klanten veranderen van leveranciers als de concurrentie betere producten en diensten leveren en of tegen een lagere prijs. De product- en diensteninnovatie moet de klantenkring bijeenhouden en zelfs uitbreiden. Lukt dat niet, dan ontstaan er afzetrisico’s die bedreigend zijn voor de bedrijfscontinuïteit.
In deze blog bespreken wij het bedrijfsbelang van een goed functionerend riskmanagement. Wij richten ons vooral op interne en externe IT-kwetsbaarheden die de bedrijfscontinuïteit bedreigen.
Voorbeelden kwetsbaarheden
Kwetsbaarheden van IT-clouddiensten die impact hebben op de bedrijfscontinuïteit zijn er in vele maten. Wij noemen kort enkele aansprekende voorbeelden van kwetsbaarheden.
- Na een arbeidsconflict neemt een medewerker een klantenbestand mee.
- Via een USB-stick besmet een medewerker een netwerk met een virus.
- Een hacker voert een DDos-aanval uit met als doel het bedrijf voor enige tijd ‘plat’ te leggen.
- Een cybercrimineel voert een ransomware-aanval uit waarbij bedrijfs- en persoonsgegevens worden gegijzeld met als doel losgeld betaald te krijgen.
- Medewerkers of externe beheerders hebben te ruime (hoge) bevoegdheden.
- Poorten zijn opengezet die makkelijk vindbaar zijn voor kwaadwilligen.
Complex en onduidelijk IT-landschap
Omdat het IT-landschap zo complex is, is de beveiliging hiervan ook niet eenvoudig. Het is moeilijk om alle gaten en kieren dicht te houden terwijl ondertussen de werknemers wel onbelemmerd hun werk willen doen. En als de gaten en kieren niet helemaal dicht kunnen, is het een uitdaging om de open ruimtes te monitoren op kwetsbaarheden. Dat is niet te doen tenzij je veel capaciteit erop zet, en dan nog is het maar de vraag of het bedrijf in voldoende mate beveiligd is. Bedrijven hebben vaak vele verschillende beveiligingstools. Na elk incident wordt weer net een andere tool aangeschaft. De tools hebben niet de mogelijkheid om een geïntegreerd beeld te geven van de kwetsbaarheden, waardoor de uitkomst van elke tool afzonderlijk moet beoordeeld worden. Vaak weten de medewerkers niet meer waarnaar ze kijken. Er kan dubbel gekeken worden omdat er dezelfde tools zijn of – in het ergste geval – er is een witte vlek die niet gezien wordt. De tools zelf kosten niet alleen veel geld. Ook het monitoren van al die uitkomsten kosten veel geld. Er is sprake van schijnzekerheid.
Om te komen tot eenvoud zien steeds meer bedrijven de voordelen van de cloud. De geïntegreerde oplossingen die cloudproviders bieden zijn niet alleen goedkoper en efficiënter, maar bieden ook een mogelijkheid om van de brei van spaghetti af te komen dat het huidig IT-landschap vaak is.
Het is niet zo dat na de overstap naar de cloud alle problemen zomaar voorbij zijn. De cloudprovider stelt de mogelijkheden beschikbaar, maar het bedrijf is zelf verantwoordelijk voor de governance, het beheer van de gegevens en de instellingen. Vaak maken bedrijven gebruik van een IT-beheerder die het bedrijf helpt operationeel te worden in de cloud. De aandacht ligt dan op het ‘draaiende’ houden van de IT-middelen. Het bedrijf is soms in de veronderstelling dat de IT-beheerder ook zorgt voor de beveiliging, een veronderstelling die niet juist is en ook niet juist kan zijn. Het bedrijf is zelf verantwoordelijk voor beveiliging en het moet zelf riskmanagement uitvoeren of een externe riskmanager aantrekken.
Organiseren riskmanagement
De bedrijfsleiding staat open voor het onderkennen van kwetsbaarheden die bedrijfsrisico’s kunnen veroorzaken in de bedrijfsorganisatie die de bedrijfscontinuïteit bedreigen. De bedrijfsleiding steunt voor haar besluitvorming op eigen observaties van kwetsbaarheden en bedrijfsrisico’s en verwacht van partners, in het bijzonder de eigen medewerkers, kwetsbaarheden in de organisatie aan te dragen. Uiteraard vormt de periodieke management-informatie voor de leiding een bron waaruit kwetsbaarheden en daarmee de bedrijfsrisico’s in de bedrijfsorganisatie afgeleid kunnen worden.[1]
Medewerkers zullen niet zomaar kwetsbaarheden aan de bedrijfsleiding rapporteren. Hiervoor is een bedrijfscultuur nodig waarin het veilig is om te melden en medewerkers die zich bewust zijn én hebben kennis van het riskmanagement-proces waarnaar gerapporteerde kwetsbaarheden geleid worden. Na de melding van de kwetsbaarheid is het voor medewerkers essentieel te weten wat de impact van voorgestelde maatregelen op de werkprocessen zijn. Om een voorgestelde maatregel succesvol te implementeren is vaak kennis- en verandermanagement voor medewerkers nodig. De medewerkers worden meegenomen in de noodzaak om de maatregel uit te voeren.
Voor het signaleren en het inventariseren van kwetsbaarheden in de bedrijfsactiviteiten is aandacht nodig van de bedrijfsleiding en moet capaciteit van een riskmanager beschikbaar zijn. Wij kunnen de volgende bronnen noemen voor het inventariseren van de kwetsbaarheden:
- Ontwikkelen van kennis over kwetsbaarheden en kunnen toepassen van beheersmaatregelen en getraind zijn te observeren;
- Gesprekken met medewerkers;
- Informatie van leveranciers en klanten;
- Een gericht onderzoek naar kwetsbaarheden en bedrijfsrisico’s; en
- Het secretariaat is in staat de riskmanagementprocessen te operationaliseren.
Het secretariaat riskmanagement staat onder leiding van de bedrijfsleiding. Voor de dagelijkse werkzaamheden staat het functioneel onder een riskmanager. De scope en reikwijdte van de werkzaamheden van het secretariaat riskmanagement is omvangrijk. Deze werkzaamheden bestaan uit het beoordelen van het partner-risico voor de bedrijfsvoering, het beoordelen van de effectiviteit van de organisatie van bedrijfsactiviteiten met bedrijfsprocessen die met IT ondersteund worden en het inventariseren van kwetsbaarheden in de bedrijfsorganisatie en voorstellen doen de kwetsbaarheden terug te dringen.
De toegevoegde waarde voor het bedrijf van het systematisch organiseren van riskmanagement moet voor de bedrijfsleiding en de medewerkers duidelijk zijn. Centraal staat het inventariseren van interne en externe kwetsbaarheden, en ook de bedrijfsrisico’s en het tijdig treffen van passende beheersmaatregelen waardoor de bedrijfscontinuïteit beter geborgd kan worden. Secundair draagt het riskmanagement bij aan het efficiënter organiseren van de bedrijfsactiviteiten, het effectiever inrichten van bedrijfsprocessen die beter door IT ondersteund en door medewerkers aangestuurd worden.
Medewerkers vangen veelal het niet expliciet en niet systematisch organiseren van riskmanagement voor een gedeelte van de kwetsbaarheden op. Deze aandacht voor de bedrijfsrisico’s van kwetsbaarheden “verwatert” als meer en meer processen, en de aansturing van deze processen, uitbesteed worden.
IT ondersteuning van processen
Voor vele bedrijven bestaat de IT ondersteuning van bedrijfsprocessen uit IT-diensten die van een cloud-leverancier worden afgenomen (zie blog, ‘toepassen van IT-clouddiensten is een organisatievraagstuk‘). Voor de IT-clouddiensten maakt de bedrijfsleiding gebruik van de bekende platformen en besteedt het beheer hiervan uit aan een IT bedrijf. Als de bedrijfsleiding IT-clouddiensten van Microsoft afneemt, dan gaat de uitbesteding om MS 365 tenant en Azure tenants. Het beheren van de tenants vraagt specifieke IT-kennis die veelal niet beschikbaar is binnen het bedrijf en wordt om deze reden uitbesteed aan een IT-bureau. Wij komen in de praktijk veelvuldig tegen dat het riskmanagement na de uitbesteding niet wordt uitgevoerd. Het IT-bureau vindt dit geen onderdeel van het beheren van de tenants en het bedrijf beschikt veelal niet over de kennis. Dit kan negatieve gevolgen hebben voor de continuïteit van de bedrijfsvoering omdat:
- Interne en externe kwetsbaarheden van de IT-clouddiensten niet of niet volledig worden waargenomen en geïnventariseerd waardoor het beoordelen van de kwetsbaarheden en het treffen van passende maatregelen ook onvolledig is;
- Met de beheerders onduidelijke afspraken zijn gemaakt over de scope en reikwijdte van de werkzaamheden (inclusief of exclusief riskmanagement) waardoor verwachtingen in riskmanagement niet op elkaar aansluiten;
- Veelal wensen de beheerders van de IT-clouddiensten de rol van riskmanager niet te vervullen omdat er sprake is van “het keuren van het eigen vlees”, de aansprakelijkheidsrisico’s voor de beheerder veel te hoog worden omdat riskmanagement niet alleen betrekking heeft op IT aangelegenheden maar ook op het organiseren van bedrijfsactiviteiten met behulp van geautomatiseerde bedrijfsprocessen; of
- De IT-beheerders zijn opgeleid de functionaliteiten van de MS 365 tenant en Azure tenants voor hun klanten beschikbaar te maken. De IT-beheerders zijn niet opgeleid de administratieve organisatie en interne controlemaatregelen “by design” in de processen van de tenants te organiseren en vervolgens te beheren.
Met het beschikbaar maken van de rol van riskmanager en de rol van compliance officer in de MS 365 tenant en Azure tenants onderkent Microsoft het bedrijfsbelang van risk- en compliance-management. In de blog, “taken, bevoegdheden en verantwoordelijkheden in MS 365 en Azure” hebben wij het belang van deze rollen naast de operatie uitgewerkt.
Bedrijfsprocessen
De MS 365 tenant en Azure tenants bieden de mogelijkheid de bedrijfsprocessen te ondersteunen met resources waarmee de bedrijfsleiding de bedrijfsactiviteiten effectief organiseert. Wij denken bijvoorbeeld aan Azure Active Directory (AAD) waarmee medewerkers en partners (klanten en leveranciers) zich authentiseren en vervolgens gebruik maken van rolgedreven toegang tot toepassingen en gegevens. Er zijn meer voorbeelden zoals Key Vaults voor het organiseren van bedrijfsgeheimen of Power BI waarmee een reeks van datamanagement toepassingen mogelijk zijn. Veelal maakt het bedrijf ook gebruik van toepassingen van andere leveranciers waarmee bijvoorbeeld bedrijfsprocessen georkestreerd kunnen worden op een Azure tenant (denk bijvoorbeeld aan Camunda).
De bedrijfsleiding is verantwoordelijk om de bedrijfsactiviteiten met behulp van bedrijfsprocessen effectief te organiseren. Riskmanagement heeft bij de orkestratie een eigen rol. Bij het effectief orkestreren van bedrijfsprocessen gaat een bedrijf uit van de bedrijfsactiviteiten en de hiervoor benodigde resources. Het optimaal orkestreren van processen is een continu proces dat door IT-clouddiensten wordt ondersteund met resources die steeds verder verbeterd worden.
Riskmanagement
Beheersmaatregelen dienen ‘by design’ te worden ingeregeld en moeten leiden tot voldoende compliance ‘by default’ met wettelijke en contractuele verplichtingen.
Op het niveau van de MS 365 tenant en Azure tenants inventariseert riskmanagement de interne en externe kwetsbaarheden, beoordeelt de kwetsbaarheden en de impact op de bedrijfscontinuïteit en stelt, aan de interne en of externe beheerders van de tenants, passende beheersmaatregelen voor die bevestigd worden door de bedrijfsleiding. Na deze bevestiging monitort riskmanagement de kwaliteit en de voortgang van de implementatie van de beheersmaatregelen. Zie blog, “Een praktische aanpak voor het toepassen van IT-clouddiensten”.
Na het proces van het orkestreren, implementeren en operationaliseren van beheersmaatregelen monitort het risk- en compliant-management de effectieve aandacht voor interne controle maatregelen. De signalen uit de bedrijfsprocessen van non-compliance voegt riskmanagement toe aan de inventarisatie van kwetsbaarheden en bedrijfsrisico’s.
De mate waarin het bedrijf invloed heeft op de orkestratie van bedrijfsprocessen hangt af van de functionaliteit van de toepassing en de mate waarin de IAM van de toepassing geïntegreerd kan worden met AAD van Azure.[2]
Het IT-riskmanagement verzamelt, beoordeelt en stelt maatregelen voor die gemelde kwetsbaarheden “handmatig” afhandelen. Wij kunnen denken aan het formuleren van beleid, opvolgen van CVD-meldingen, beoordelen van de reputatie van IT-leveranciers, afspraken maken met IT-leveranciers en het uitvoeren van contractmanagement van IT-clouddiensten.
Riskmanager
Vanuit de gedrevenheid om risico’s in de bedrijfsactiviteiten te beheersen is de riskmanager in staat om zijn input te geven bij de selectie van de IT-beheerder. Het gaat er om dat de IT-beheerder voldoende (aantoonbaar) gekwalificeerd is om het beheer goed en veilig uit te voeren. Vervolgens moeten heldere contractuele afspraken gemaakt worden en de nakoming van de afspraken moet steeds aangetoond kunnen worden. De riskmanager heeft een belangrijke taak om toe te zien dat de juiste afspraken worden gemaakt en ziet vervolgens toe op het nakomen van de afspraken.
Een riskmanager helpt een bedrijf ook om op een goede manier keuzes te maken bij de overgang naar de cloud. Vaak kan de overstap niet in één keer worden gedaan. Soms duurt het jaren. Het kan ook een bewuste keuze zijn om niet alle toepassingen naar de cloud te brengen. De riskmanager geeft advies over de prioritering en geeft aan welke toepassingen voorrang zouden moeten krijgen. Ook de inrichting van de cloud is belangrijk. De cloudproviders bieden vele mogelijkheden en de riskmanager geeft de impact op de beveiliging aan bij voorgenomen keuzes.
Ongeacht in hoeverre toepassingen naar de cloud zijn overgebracht, overzicht en inzicht van het IT-landschap is en blijft nodig voor de beheersing van risico’s. Alleen dan wordt een goed beeld gekregen van de kwetsbaarheden. Hoe doe je dat echter als je toepassingen hebt bij verschillende cloudproviders en ook nog on premise? Microsoft biedt met Defender de mogelijkheid om MS365 (de kantoortoepassingen), tenants met applicaties, tenants voor ontwikkelomgevingen, tenants bij andere cloudproviders en de onpremise omgeving te monitoren met één dashboard.
Eén dashboard klinkt prachtig en het is ook prachtig. Toch blijft een kritische houding nodig om vast te stellen dat bijvoorbeeld alle endpoints opgenomen zijn in het dashboard, de bevoegdheden niet te ruim zijn afgegeven en op de juiste wijze back-ups worden gemaakt. Een riskmanager bekijkt het dashboard en helpt bij de prioritering van de afhandeling van de gesignaleerde kwetsbaarheden maar zal altijd met een ruime blik naar de informatieveiligheid kijken. De riskmanager gaat na of het informatiebeveiligingsbeleid op een juiste manier geconfigureerd is in het dashboard, of het dashboard ook moet toetsen op andere normenkaders en andere veiligheidsaspecten die niet via het dashboard gemonitord kunnen worden.
Een belangrijk aspect dat de riskmanager steeds bewaakt is continuïteit. Het gaat over meer dan back-ups alleen. Vaak wordt bij back-ups alleen gedacht aan de gegevens. Maar bij discontinuïteit is het ook belangrijk dat de systemen weer snel operationeel zijn en goed zijn ingesteld. De riskmanager ziet erop toe dat regelmatig geoefend wordt om vast te stellen dat de procedures uitvoerbaar zijn en het gewenste resultaat leveren. Immers, als het incident (bijvoorbeeld ransomware aanval) echt gebeurt, is het al spannend genoeg. Als je dan nog moet beginnen met nadenken, ben je te laat.
Zie de factsheet ‘IT-riskmanagement in de cloud’.
Relatie compliancemanagement
De compliance officer maakt gebruik van een effectief riskmanagement. Het dagelijks aantoonbaar aandacht besteden aan het proces van inventariseren van kwetsbaarheden, deze analyseren en beoordelen en vervolgens zorgen dat adequate maatregelen worden doorgevoerd legt de basis voor de verantwoording van de bedrijfsleiding voor het organiseren van compliance met wettelijke-, contractuele- en beleidsmatige verplichtingen.
Door compliancemanagement te voorzien van systematisch bewijs van effectieve werking van getroffen beheers- en beveiligingsmaatregelen is de compliance aantoonbaar en kan deze worden gebruikt voor de verantwoording. Op deze wijze zijn de compliance-inspanningen en de -kosten ook beheersbaar.
Zie blog, “Verantwoording voor het organiseren van compliance met wettelijke en contractuele verplichtingen in de cloud.”
Zie de factsheet ‘IT compliance in de cloud’.
Ten slotte
Elk bedrijf past impliciet of expliciet riskmanagement toe. Het riskmanagement gericht op het effectief organiseren van bedrijfsactiviteiten met behulp van IT-clouddiensten vraagt speciale aandacht van de bedrijfsleiding omdat in de praktijk blijkt dat het impliciet wordt uitbesteed aan externe IT-beheerders van de IT-clouddiensten. Echter, om deze taak te vervullen is de scope en reikwijdte van de dienstverlening van een (externe) IT-beheerder te krap en vanuit een oogpunt van het organiseren van interne controle is het ongewenst omdat van de IT-beheerder gevraagd wordt “het eigen vlees te keuren”.
Wij geven de bedrijfsleiding in overweging het riskmanagement afzonderlijk te organiseren door een medewerker of extern te beleggen.
Meer weten?
Wilt u meer weten naar aanleiding van de bovenstaande blog? Neem dan gerust contact met ons op.
[1] Meerder kwetsbaarheden kunnen exponentieel “optellen” tot bepaalde bedrijfsrisico’s. Kwetsbaarheden en afhankelijkheden dringt de bedrijfsleiding terug met passende en effectieve beheers- en beveiligingsmaatregelen. De mate waarin beheersmaatregelen kwetsbaarheden en of afhankelijkheden terugdringen noemen wij bedrijfsrisico’s.
[2] IAM staat voor Identificatie en Autorisatie Management.