Riskmanagement in de cloud

Bedrijven hebben hun IT (gedeeltelijk) overgebracht naar de cloud bij de gebruikelijke leveranciers (veelal Microsoft, Amazon en Google) én het beheer ondergebracht bij een IT-bureau. Hierbij is de functie van riskmanagement veelal niet expliciet belegd. De gevolgen zijn: het niet onderkennen van kwetsbaarheden in de organisatie van de IT en de daarmee samenhangende bedrijfsrisico’s die uiteindelijk een negatief effect hebben op de bedrijfscontinuïteit.

Een dergelijke situatie is niet nodig als de rol van riskmanager intern of extern belegd wordt waardoor de kwetsbaarheden tijdig onderkend en geïnventariseerd worden waarna het beheer effectieve en passende beheersmaatregelen treft. Op MS 365 en Az tenants kan een bedrijf een dergelijke situatie eenvoudig organiseren en hiermee zorgen dat het verwerken van gegevens veilig plaatsvindt en de kosten voor IT binnen de perken blijft.

Risico’s verdwijnen niet in de cloud

Bedrijven gaan steeds meer over naar cloudtoepassingen. Hierdoor kunnen bedrijven hun IT-landschap enorm vereenvoudigen en beter intern of extern beheersen. Ook de kosten nemen enorm af. Toch blijft het goed opletten waar zich bedrijfsrisico’s kunnen voordoen, wie verantwoordelijk is voor het mitigeren van een risico en het zich verantwoorden daarover.

Een IT-riskmanager ondersteunt het bedrijf bij het beheersen van de risico’s in het IT-landschap. Hij of zij helpt het bedrijf bij het ontdekken en inventariseren van kwetsbaarheden in de processen die leiden tot bedrijfsrisico’s en het stellen van prioriteiten bij het treffen van effectieve beheersmaatregelen. Door een expliciete functiescheiding aan te brengen tussen het intern of extern beheren van het IT-landschap (in de cloud) en het riskmanagement zorgt het bedrijf ervoor dat de beheerder van het IT-landschap alert blijft voor het onderkennen van de bedrijfsrisico’s en de kosten van IT.

Hoe kunnen wij u helpen?

Heeft u vragen over het organiseren, implementeren of uitbouwen van uw bedrijfs(compliance) functie? Neem gerust contact met ons op om de mogelijkheden te bespreken.

Factsheet riskmanagement in de cloud

Download hier de factsheet over riskmanagement in de cloud.

Veel bedrijven kunnen volstaan met het gebruik maken van zogenaamde SaaS-applicaties. Hierbij is de leverancier verantwoordelijk voor het operationeel houden van de applicatie en het bedrijf voor de toegangsbeveiliging en het beheer van de gegevens.

De riskmanager heeft een belangrijke rol bij de selectie van de SaaS-applicatie. De leverancier is verantwoordelijk voor de veiligheid van de applicatie maar het is goed om vast te stellen dat de leverancier deze verantwoordelijkheid ook genomen heeft. Stel dat de leverancier de continuïteit van de applicatie niet goed geregeld heeft, dan kan dat een groot probleem worden voor een bedrijf.

Ook is het een ‘must’ dat de applicatie de mogelijkheid biedt om de eigen verantwoordelijkheid goed te kunnen dragen. Zo moeten rollen waaraan bevoegdheden en verantwoordlijkheden zijn gekoppeld goed ingeregeld zijn in de applicatie en moet controle mogelijk zijn. Een koppeling met Azure Active Directory (AAD) is nodig om single-sign-on (SSO) mogelijk te maken. Voor het riskmanagement is het essentieel dat de activiteiten door IT worden ondersteund; bijvoorbeeld met Security center, Defender en of Sentinel van MS 365 en Azure tenants.

Hiermee geven we aan dat aan allerlei aspecten gedacht moet worden bij de selectie van een SaaS-applicatie.

Als een bedrijf (ook) gebruik maakt van de platformen IaaS en PaaS dan heeft het meer verantwoordelijkheden. Met een beetje fantasie kan je zeggen dat IaaS en PaaS de bodems zijn voor bouwwerken waaruit een applicatie voort moet komen.

De riskmanager heeft als taak toe te zien dat de IaaS en/of PaaS-platformen op een beheersbare wijze worden georganiseerd zodat beheer mogelijk is en de foutkans geminimaliseerd wordt. Standaardisatie moet hier de norm zijn.

Ook bij de selectie van clouddiensten die bedrijven aanbieden op de infrastructuur van de grote cloudaanbieders, heeft advies van een riskmanager toegevoegde waarde. Immers, ook deze bedrijven moeten kunnen aantonen dat hun diensten veilig zijn en moeten verantwoordelijkheden en verantwoording hiervan contractueel geregeld worden.

Het lukt bedrijven niet altijd in één keer de overstap te maken naar de cloud. Hiervoor kunnen diverse oorzaken zijn. Dan ontstaat een hybride situatie, het bedrijf zit zowel in de cloud en houdt tevens lokaal IT-hardware en software aan.

Het gevolg is dat het bedrijf in een complexe situatie zit hetgeen het beheer ook complex maakt. Beide omgevingen hebben hun eigen risicoprofiel en het risicobeheer wordt in feite dubbel uitgevoerd. Een riskmanager kan ondersteunen bij het inrichten van risicobeheer en het beheersbaar houden van de risico’s.

In Nederland is het gebruik van Microsoft 365 zo goed als standaard. Wat veel bedrijven niet of onvoldoende beseffen zijn de mogelijkheden die Microsoft 365 biedt voor het uitvoeren van riskmanagement. Met Defender worden kwetsbaarheden gemeld en kan hier opvolging aan gegeven worden. Het is mogelijk om de scope van Defender uit te breiden met cloudomgevingen bij Microsoft en of andere cloudaanbieders en de lokale (onpremise) omgeving.

De uitkomst van de risicobeheersing met Defender is tevens belangrijk om aan te kunnen tonen dat passende beveiligingsmaatregelen zijn getroffen om persoonsgegevens te beschermen.

Het blijkt voor bedrijven lastig te zijn om de kwetsbaarheden in Defender te beoordelen en de impact te overzien. De riskmanager biedt hier een toegevoegde waarde om het bedrijf te helpen de kwetsbaarheden te verhelpen.

Coordinated Vulnerability Disclosure (CVD)

Naast het melden van interne kwetsbaarheden door Defender kan een bedrijf ook bevorderen dat kwetsbaarheden die extern gesignaleerd zijn, worden gemeld. Hiervoor is een beleid Coordinated Vulnerability Disclosure nodig en publicatie op de website. Zie hier.

De riskmanager neemt ook deze externe signalen op in zijn risicobeheer.

Riskmanagement, in het bijzonder IT-riskmanagement, speurt en registreert interne en externe kwetsbaarheden op, schat de bedrijfsrisico’s in en adviseert over het treffen van effectieve beheersmaatregelen. Het interne of externe beheer implementeert beheersmaatregelen waardoor het bedrijf haar bedrijfscontinuïteit beschermt.

De aangebrachte functiescheiding tussen beheer en riskmanagement vraagt van de bedrijfsleiding instemming en van de medewerkers begrip. Afhankelijk van de doelen van het instellen van riskmanagement kan er kennis- en verandermanagement nodig zijn.

Wij formuleren voor bedrijven concepten voor het organiseren van riskmanagement, in het bijzonder IT-riskmanagement. Wij verzorgen trainingsprogramma’s voor het management en de medewerkers en kunnen voor bedrijven structureel of incidenteel de rol van (IT-)riskmanager op ons nemen.

Meer over risicomanagement in de cloud

  • Recht op uw zelfverdediging door IT-risicomanagement te organiseren

    Door: Caroline Willemse Inleiding Bedrijven krijgen steeds meer te maken met aanvallen op hun netwerk. Vaak bedoeld om de bedrijfs- en persoonsgegevens te gijzelen om het betalen van losgeld af te dwingen. Als het bedrijfsgeheimen betreft kan het bedrijf zijn unieke positie in de markt verliezen. Persoonsgegevens die in onbevoegde handen komen is per definitie een datalek en tast

    20 oktober 2022
  • Het belang van riskmanagement voor de continuïteit van de bedrijfsvoering

    Door: Caroline Willemse en André Biesheuvel Aanleiding Riskmanagement beschouwen wij als een proces van het identificeren, het beoordelen en het nemen van passende maatregelen gericht op het borgen van de continuïteit van de bedrijfsvoering. Elke organisatie kent risicogebieden waarin riskmanagement nodig is. De risicogebieden kunnen betrekking hebben op strategische, financiële, juridische of administratief organisatorische thema’s.

    18 september 2022
  • Een praktische aanpak voor het toepassen van IT-clouddiensten

    Door: Angela Valentin – van Beek en André Biesheuvel Aanleiding Wij, de bedrijfsleiding, hebben de blog “toepassen van IT-clouddiensten is een organisatievraagstuk” gelezen en binnen het managementteam besproken. De vele white papers op het internet, waarin thema’s zoals toepassen van IT-clouddiensten in dienst van het effectief organiseren van de bedrijfsactiviteiten en digitale transformatie aan de

    31 augustus 2022
  • Toepassen van IT-clouddiensten is een organisatievraagstuk

    Door: André Biesheuvel Aanleiding Bedrijven maken steeds meer gebruik van clouddiensten voor het adequaat ondersteunen van bedrijfsprocessen waarmee de bedrijfsactiviteiten effectief georganiseerd worden. De medewerkers sturen de (nieuwe) bedrijfsprocessen aan en worden veelal geconfronteerd met noodzakelijke veranderingen in hun werkprocessen. Medewerkers hebben kennis- en verandermanagement nodig voor het adopteren en succesvol implementeren van deze veranderingen. 

    29 augustus 2022

Heeft u vragen of behoefte aan een afspraak?

Neem gerust contact met ons op via +31 (0) 70 392 22 09 of info@duthler.nl. Of neem hieronder contact op met onze specialisten.