Hulp bij riskobeheersing in de cloud?
Bedrijven hebben hun IT (gedeeltelijk) overgebracht naar de cloud bij de gebruikelijke leveranciers (veelal Microsoft, Amazon en Google) én het beheer ondergebracht bij een IT-bureau. Hierbij is de functie van riskmanagement veelal niet expliciet belegd. De gevolgen zijn: het niet onderkennen van kwetsbaarheden in de organisatie van de IT en de daarmee samenhangende bedrijfsrisico’s die uiteindelijk een negatief effect hebben op de bedrijfscontinuïteit.
Een dergelijke situatie is niet nodig als de rol van riskmanager intern of extern belegd wordt waardoor de kwetsbaarheden tijdig onderkend en geïnventariseerd worden waarna het beheer effectieve en passende beheersmaatregelen treft. Op MS 365 en Az tenants kan een bedrijf een dergelijke situatie eenvoudig organiseren en hiermee zorgen dat het verwerken van gegevens veilig plaatsvindt en de kosten voor IT binnen de perken blijft.
Bedrijven gaan steeds meer over naar cloudtoepassingen. Hierdoor kunnen bedrijven hun IT-landschap enorm vereenvoudigen en beter intern of extern beheersen. Ook de kosten nemen enorm af. Toch blijft het goed opletten waar zich bedrijfsrisico’s kunnen voordoen, wie verantwoordelijk is voor het mitigeren van een risico en het zich verantwoorden daarover.
Een IT-riskmanager ondersteunt het bedrijf bij het beheersen van de risico’s in het IT-landschap. Hij of zij helpt het bedrijf bij het ontdekken en inventariseren van kwetsbaarheden in de processen die leiden tot bedrijfsrisico’s en het stellen van prioriteiten bij het treffen van effectieve beheersmaatregelen. Door een expliciete functiescheiding aan te brengen tussen het intern of extern beheren van het IT-landschap (in de cloud) en het riskmanagement zorgt het bedrijf ervoor dat de beheerder van het IT-landschap alert blijft voor het onderkennen van de bedrijfsrisico’s en de kosten van IT.
Waar kunnen wij u mee helpen?
Riskmanagement, in het bijzonder IT-riskmanagement, speurt en registreert interne en externe kwetsbaarheden op, schat de bedrijfsrisico’s in en adviseert over het treffen van effectieve beheersmaatregelen. Het interne of externe beheer implementeert beheersmaatregelen waardoor het bedrijf haar bedrijfscontinuïteit beschermt. De aangebrachte functiescheiding tussen beheer en riskmanagement vraagt van de bedrijfsleiding instemming en van de medewerkers begrip. Afhankelijk van de doelen van het instellen van riskmanagement kan er kennis- en verandermanagement nodig zijn. Wij formuleren voor bedrijven concepten voor het organiseren van riskmanagement, in het bijzonder IT-riskmanagement. Wij verzorgen trainingsprogramma’s voor het management en de medewerkers en kunnen voor bedrijven structureel of incidenteel de rol van (IT-)riskmanager op ons nemen.
Een greep onze expertise:
- Hulp bij Saas-applicaties: Veel bedrijven kunnen volstaan met het gebruik maken van zogenaamde SaaS-applicaties. Hierbij is de leverancier verantwoordelijk voor het operationeel houden van de applicatie en het bedrijf voor de toegangsbeveiliging en het beheer van de gegevens. De riskmanager heeft een belangrijke rol bij de selectie van de SaaS-applicatie. De leverancier is verantwoordelijk voor de veiligheid van de applicatie maar het is goed om vast te stellen dat de leverancier deze verantwoordelijkheid ook genomen heeft. Stel dat de leverancier de continuïteit van de applicatie niet goed geregeld heeft, dan kan dat een groot probleem worden voor een bedrijf.
- Hulp bij IaaS en Paas: Als een bedrijf (ook) gebruik maakt van de platformen IaaS en PaaS dan heeft het meer verantwoordelijkheden. Met een beetje fantasie kan je zeggen dat IaaS en PaaS de bodems zijn voor bouwwerken waaruit een applicatie voort moet komen.
- Hybride: Het lukt bedrijven niet altijd in één keer de overstap te maken naar de cloud. Hiervoor kunnen diverse oorzaken zijn. Dan ontstaat een hybride situatie, het bedrijf zit zowel in de cloud en houdt tevens lokaal IT-hardware en software aan.
- Microsoft 365: In Nederland is het gebruik van Microsoft 365 zo goed als standaard. Wat veel bedrijven niet of onvoldoende beseffen zijn de mogelijkheden die Microsoft 365 biedt voor het uitvoeren van riskmanagement. Met Defender worden kwetsbaarheden gemeld en kan hier opvolging aan gegeven worden. Het is mogelijk om de scope van Defender uit te breiden met cloudomgevingen bij Microsoft en of andere cloudaanbieders en de lokale (onpremise) omgeving.
- Coordinated Vulnerability Disclosure (CVD): Naast het melden van interne kwetsbaarheden door Defender kan een bedrijf ook bevorderen dat kwetsbaarheden die extern gesignaleerd zijn, worden gemeld. Hiervoor is een beleid Coordinated Vulnerability Disclosure nodig en publicatie op de website.
Heeft u vragen of wilt u een afspraak maken?
Heeft u vragen over het organiseren, implementeren of uitbouwen van uw (bedrijfs)compliance functie? Onze service-eigenaar, André Biesheuvel of één van zijn collega’s, bespreekt graag uw specifieke casus.
