Het antwoord op je vragen over IT Risk Management. Verrijk je kennis.
Monitoring en rapportage over it risk management richt je in tijdens de vierde stap van het durf2control programma. Hierdoor weet je welke risico’s voldoende beheerst worden en welke aandacht nodig hebben. Dit overzicht is precies hetgeen wat het management nodig heeft om goed de organisatie te besturen om zo de organisatiedoelstellingen te gaan bereiken.
Een Information Security Office, oftewel ISO, houdt grip op de risico’s, controls, het testen van de controls en de verbeterplannen. Maar dat is het niet het enige wat een Information Security Office bijhoudt. Daar horen ook de taken thuis als:
Een risk management systeem bouw je in de derde stap van het durf2control programma. Zodra de stevige basis is gelegd en de risico’s inzichtelijk zijn gemaakt, wordt het tijd om ze te gaan beheersen door een systeem in te richten waarbij je de volgende zaken op orde krijgt:
Hierbij biedt een Information Security Office uitkomst. Deze kan al de bovengenoemde onderdelen bijhouden in het IT control framework.
Een overzicht van alle it risico krijg je in de tweede stap van het durf2control programma.
Op de stevige basis kan nu gewerkt worden met de risico’s. Maar welke risico’s zijn voor jou het belangrijkst om aan te pakken? Daarvoor moet je een overzicht krijgen van al jouw risico’s. Er zijn twee processen waarmee je jouw lijst van belangrijke risico’s bepaalt:
De eerste methode, het houden van assessments, zijn het leukste natuurlijk want daarvoor mag je afspraken maken met allerlei afdelingen en ga je samen op zoek naar de juiste risico’s om te beheersen. Dat levert altijd hele interessante informatie op. De tweede methode is heerlijk rustgevend, want die geven het gevoel alles overzichtelijk bij elkaar te hebben. DIt klopt natuurlijk nooit precies want een best practice is verre van een maatpak. En dat is toch wel een van de 8 onderdelen die risk management effectief maakt.
Een stevige basis voor IT risk management is de eerste stap van het durf2control programma. Alles wat je gaat doen heeft een stevige basis nodig, dus ook wanneer je risico's wilt beheersen. Dat begint met het uitwerken van het risk management systeem. Handig om dat vast te leggen in je (nieuw te schrijven) risk en compliance beleid. Daarin hoort ook een stuk governance in thuis: de rollen, verantwoordelijkheden en verwachtingen van elkaar in het risk management proces.
Naast het risk management proces is het ook belangrijk voor een stevige basis om duidelijk te krijgen (en te houden) wat de scope is, zodat iedereen weet van welke data en systemen de risico’s worden beheerst. Een architectuurplaatje helpt daar uiteraard bij. Voor ieder systeem en voor alle data is het fijn als de eigenaar bekend is en welke classificatie een systeem of stukje data heeft. Is het vertrouwelijk of zeer vertrouwelijk? Het kan natuurlijk ook gewoon openbaar zijn.
Toezichthoudende instanties zijn verantwoordelijk voor het toezicht op risicobeheer, het topmanagement is verantwoordelijk voor het beheer van risico's. Een toezichthouder let daarom in het algemeen op de volgende vijf punten:
Draagkracht en borging voor it risk management krijg je door het tonen van leiderschap en betrokkenheid. Alleen zo integreer je risicobeheer in alle onderdelen van de organisatie. Waar moet je als leiding dan bij betrokken zijn?
De 8 onderdelen die een risk management systeem effectief maakt zijn:
De vijf fases om het risk management proces in te richten: Integratie, Ontwerp, Implementatie, Evaluatie, Verbetering. Deze stappen doorloop je ieder jaar opnieuw. Dit zijn dus niet vijf fases om risico’s te beheersen. Hoe je de risico’s zelf beheerst in vier stappen lees je in het e-book dat je hier kunt downloaden.
1. Integratie
Iedereen in een organisatie is verantwoordelijk voor het beheersen van risico's. Maar iedereen is anders, geen enkele organisatie is hetzelfde. Om risicomanagement in te richten moet daarom vooraf helder zijn wat de bestaande organisatiestructuren zijn. Denk hierbij aan de governance inrichting, leiderschap en betrokkenheid, strategie, doelstellingen en activiteiten.
2. Ontwerp
Bij het ontwerpen van het risk management programma zijn er 4 essentiële elementen van belang:
a. Goed begrijpen hoe de organisatie in elkaar steekt
b. Uitgesproken betrokkenheid van directie en toezichthouders
c. Toewijzen van rollen en verantwoordelijkheden van het risk management proces
d. Goede communicatie naar en adviezen van de organisatie
3. Implementatie
Risk management inrichten is een project, met een heus projectplan met alle acties die genomen moeten worden, beslissingen die genomen moeten worden en heel veel duidelijke communicatie.
4. Evaluatie
Zodra je risk management hebt ingericht zul je periodiek, ieder jaar bijvoorbeeld, even terug moeten kijken om te zien of je risk management goed werkt. Ook vooruitkijken is belangrijk, levert de risk management jou op wat je nodig hebt om risico’s te beheersen zodat de organisatie haar doelen kan gaan bereiken?
5. Verbetering
Alles is aan verandering onderhevig, dus ook het framework. Na evaluatie zal het proces aangepast moeten worden om het te laten passen als een maatpak.
De rol van de risk manager bestaat uit twee grote onderdelen:
Er zijn twee smaken risico: bruto risico en netto risico. Het verschil tussen een bruto en netto risico is dat een bruto risico een risico is waarbij je geen rekening hebt gehouden met alle maatregelen die je hebt genomen. Het verschil met een netto risico is daardoor uiteraard dat een netto risico wel rekening houdt met een maatregel.
Voorbeeld: wat is het risico op een hoofdletsel in de auto als je geen maatregelen treft (=bruto risico) versus met maatregelen zoals airbags, veiligheidsgordels, ABS etc. (=netto risico). Zonder maatregelen stappen we de auto niet meer in, met maatregelen doen de meeste mensen dat wel. En zo doet iedereen elke dag aan een eigen risico beoordeling.
Een mogelijke gebeurtenis die schade of verlies kan toebrengen, of het vermogen beïnvloedt om doelen te realiseren. Een risico wordt gemeten op basis van de waarschijnlijkheid (kans) van een bedreiging en de impact indien de bedreiging zich voordoet
Als in het contract met de afnemers van de diensten of producten is afgesproken dat een bepaald niveau van risico beheersing wordt gewaarborgd zoals beschreven in het InformatieBeveiligingsBeleid, dan moet dat ook bij leveranciers geregeld zijn. Dat kun je doen door met hen af te spreken dat ze zich aan het IBB houden en dat regelmatig te toetsen. Wanneer het IBB van de leverancier uitgebreider is kun je hen ook daaraan houden (en toetsen). Ten slotte kun je steunen op certificering.
De Cloud Control Matrix is een informatiebeveiligingsraamwerk dat zich helemaal richt op clouddiensten.
ITIL is een framework bestaande uit een reeks best practices voor het leveren van efficiënte IT-ondersteuningsdiensten aan je klanten. ITIL is dan ook gericht op de verbetering van de klanttevredenheid en productiviteit en valt onder de bredere term change management. Deze bibliotheek van processen is daardoor minder geschikt om je informatiebeveiligingsraamwerk op te bouwen maar geeft tegelijkertijd wel een goed overzicht van betrokken processen zoals bijvoorbeeld change management.
Het COBIT framework is een raamwerk wat gericht is op algemene beheersmaatregelen (Control Objectives, vandaar de eerste drie letters van de afkorting). Deze gaat dus niet specifiek in op security maar heeft een algemeen IT karakter.
Het ISO27001 framework bevat een basis van beveiligingsmaatregelen die toepasbaar is voor veel bedrijven. Het framework zelf staat in de bijlage, omdat het bij ISO juist gaat om het risk management systeem en niet om het framework zelf.
Een best practice control framework is een raamwerk met daarin een standaard set van risico’s en controls die voor een gemiddeld bedrijf van belang zjin. Als je kiest om zo een best practice te gebruiken heb je een basis zodat je weet dat je de meest belangrijke risico’s niet vergeet. Toch zul je deze altijd nog moeten aanpassen zodat ze ook echt beschrijven hoe jouw bedrijf of organisatie deze control heeft ingericht. Er zijn enorm veel best practice control frameworks, ieder met een eigen focus. De raamwerken die het meest gebruikt worden zijn de volgende vier:
Een InformatieBeveiligingsBeleid schrijf je door op hoofdlijnen de richting aan te geven hoe informatiebeveiliging ingericht moet zijn voor de organisatie. Het gevaar is hierbij dat er een beleid geschreven wordt met daarin alle details van security. Dat is niet de bedoeling, het beleidsstuk moet juist op het hoogste niveau van de organisatie worden vastgesteld. De uitwerking op specifieke onderwerpen kan dan op een lager niveau plaats vinden zoals in procedures of baselines. Het beleidsstuk moet juist inzicht geven hoe de security bijdraagt aan de doelstellingen van de organisatie. Daarom is het belangrijk om juist richtinggevende uitgangspunten te zijn in plaats van concrete instellingen. Zo is het slim om te borgen dat authenticatiemethoden worden gebruikt om ongeautoriseerde toegang tegen te gaan in plaats van dat een wachtwoord 8 karakters lang moet zijn.
Aansluiten bij al bestaande processen binnen de organisatie maakt het IBB efficiënt. Stel dat er al een kwaliteitsafdeling is om processen te borgen, dan is het verstandig om daar op aan te sluiten.
Compliance is het treffen van de noodzakelijke organisatorische, procedurele en technische maatregelen die gebaseerd zijn op een een wettelijke verplichting. Denk hierbij aan de Algemene verordening gegevensbescherming (AVG), de Telecommunicatiewet in Nederland. Beursgenoteerde ondernemingen in de Verenigde Staten moet worden gedacht aan de Sarbanes-Oxley wetgeving en de Health Insurance Portability and Accountability Act (HIPAA).
Een risk en compliance beleid is een beleid waarin is vastgelegd welke methodiek je aanhoud voor het beheersen van risico’s en hoe je zorgt dat je voldoet aan de wet- en regelgeving. Hoe ingewikkeld je het kan maken laten we graag over aan dikke management boeken, uiteindelijk komt het neer op dezelfde stappen die we nemen in het gouden handboek: Plan Do Check and Act. Download het gouden handboek gerust als je wilt weten hoe je deze vier stappen zelf ook kunt zetten om IT risico’s te beheersen.
Een BIA is een assessment die gebruikt wordt binnen bedrijven en organisaties om inzicht te krijgen in de bedrijfskritieke processen en om deze te onderscheiden van de niet kritieke processen. Neem als voorbeeld het HR systeem: wat is de impact als er geen beschikbaarheid is, als de integriteit van de gegevens in het HR systeem niet zeker is of als de vertrouwelijkheid van de gegevens in het HR systeem niet gewaarborgd kan worden?
Een BIA kun je uitvoeren voor een proces, maar ook voor een informatiesysteem. De uitkomst kun je heel gedetailleerd maken, bijvoorbeeld door precies te bepalen wat de beschikbaarheidseisen zijn zodat je kunt testen in je business continuity plan of deze eisen ook gehaald worden (theoretisch). Ben je ook benieuwd hoe een BIA er voor jou uit ziet? Boek een VIP dag en kom er achter!
Dataclassificatie geeft aan ieder stukje data een label om te bepalen welk beschermingsniveau noodzakelijk is (in welke classificatie deze valt), oftewel is dit stukje informatie openbaar of vertrouwelijk of zelfs zeer geheim? Dit gaat dus alleen over de V van Vertrouwelijkheid uit de BIV. In een data classificatie document staat vastgelegd voor jouw bedrijf of organisatie wanneer iets openbaar is of juist zeer vertrouwelijk.
Een remediation plan is een plan met acties om een it-control beter in te richten of toe te passen. Als een it control namelijk niet goed is op basis van de risk appetite [link naar subvraag risk appetite] dan zal er een actie uitgevoerd moeten worden om dat risico in lijn te brengen met de risk appetite
Vertrouwelijkheid (of exclusiviteit) omvat niet alleen de (privacy)bescherming maar ook de exclusiviteit van informatie. Alleen geautoriseerde entiteiten krijgen toegang. Stel dat je het vergelijkt met de cijferadministratie op school na een toetsenweek: Is jouw cijfer alleen voor jou zichtbaar of kan de hele klas alle cijfers van alle leerlingen zien?
Integriteit zorgt ervoor dat informatie actueel en correct is. Stel dat je het vergelijkt met de cijferadministratie op school na een toetsenweek: zijn de cijfers de echte cijfers die je in die administratie ziet? Kenmerken zijn juistheid en volledigheid van de transacties.
Beschikbaarheid bevat de garanties over voornamelijk de tijdigheid, continuïteit en robuustheid. Stel dat je het vergelijkt met de cijfer administratie op school na een toetsweek: zijn de cijfers inzichtelijk op het moment dat je het nodig hebt of had willen hebben? Business Continuity Management zorgt onder andere voor de inrichting van de beschikbaarheid.
De de CIA Triad is de Engelse term die wordt gehanteerd voor BIV: confidentiality, integrity and availability.
Beschikbaarheid, integriteit en vertrouwelijkheid (BIV) gebruik je om een stuk informatie(systeem) te classificeren. Deze classificatie in beschikbaarheid , integriteit (=betrouwbaarheid) en vertrouwelijkheid (=exclusiviteit) helpt bij het bepalen van het gewenste niveau van informatiebeveiliging. De hoogte van dat niveau bepaal je met behulp van de risicoanalyse. Dit doe je uiteindelijk om de juiste informatiebeveiliging in te richten om de continuïteit van de informatie en de systemen te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.
Vaak wordt deze BIV uitgebreid met C voor controleerbaarheid, dat geeft aan in hoeverre je achteraf weer kunt controleren hoe handelingen zijn uitgevoerd. Bijvoorbeeld, wie heeft de autorisaties aangepast of die betaling uitgevoerd.
Maatregelen zijn nauw verbonden met it controls. Maatregelen zijn in te delen in vier soorten:
· Preventieve maatregelen
· Detectieve maatregelen
· Repressieve maatregelen
· Correctieve maatregelen
Een IT control is een specifieke activiteit die wordt uitgevoerd door een persoon of een systeem om ervoor te zorgen dat de bedrijfsdoelstellingen worden bereikt. Wat kan zo een bedrijfsdoelstelling zijn? Dat staat in je informatiebeveiligingsbeleid of kun je afleiden van je risico’s die je wilt beheersen.
Risk appetite is je risico bereidheid, oftewel je risicotolerantie. Met andere woorden is risk appetite het aangeven hoeveel risico je accepteert (en dus ook welk risico je niet accepteert). Bij financiële risico’s is dat heel precies uit te rekenen; is €5000 euro schade acceptabel als de kans dat het risico voorkomt maar 1,2% is? Voor it risico’s is dit lastiger vast te stellen want dan moet er bijvoorbeeld uitgerekend worden wat herstelkosten zijn en wat de imago schade is.
Een security awareness programma bouw je op rondom een concreet doel, afgestemd op de cultuur van de organisatie en in verschillende vormen zodat alle medewerkers hun weerbaarheid kunnen vergroten. Denk hierbij aan hacker demo’s, serious games, vraag & antwoord modules en live bijeenkomsten. Fundamenteel is daarbij het meten van bewustzijn om na te gaan of het doel wel of niet behaald is.
Het verschil tussen opzet, bestaan en werking is enerzijds gerelateerd aan de tijd en anderzijds aan de realisatie. Opzet is de beschrijving hoe een control ingericht moet worden, voor een wijziging bijvoorbeeld dat deze altijd getest moet zijn voordat deze in productie gaat. Dit kun je vastleggen in bijvoorbeeld een change management procedure. Of dit ook zo in bestaan is, kun je aantonen door een keer een test voor productie van een change te laten zien, inclusief de formulieren waarin de test wordt vastgelegd. De werking toon je aan door (op basis van bijvoorbeeld een steekproef) aan te tonen dat alle changes getest zijn tijdens de hele periode die getest wordt (bijvoorbeeld het hele jaar).
Een IT control test je door de aan te tonen dat de control is uitgevoerd, zwart op wit. Dit kan zijn met een instelling in het systeem (zoals de wachtwoord settings), dit kan zijn in een verslag (zoals het jaarlijks uitvoeren van een BIA) of met een mail waarin de autorisatie review in de bijlage zit en de conclusie in de mail beschreven staat.
Hoe vaak je een control test wordt per control in het control framework vastgelegd, de eerstelijns security officer helpt met het uitvoeren van de testen en de tweede lijn security officer of risk manager voert de review uit.
Een penetratietester test of een of meerdere computersyst(e)em(en) kwetsbaar is/zijn voor security incidenten. Het doel van de penetratie tester is om systemen beter te beveiligen door kwetsbaarheden proactief te identificeren.
Een penetratietester is iemand die met toestemming en vrijwaring van de eigenaar van de systemen die getest worden, aan de slag gaat. Zonder toestemming is het een inbraak, hoe goed sommigen het mogen bedoelen.
De reactie op een security incident kun je het beste vooraf in grove lijnen bedenken met bijvoorbeeld scenario’s waarin niet alleen de reactie op IT technisch gebied staat uitgeschreven (zoals wat gaat het infrastructuur team doen) maar ook hoe de communicatie gaat verlopen en hoe de bedrijfsprocessen worden aangepast. Lees ook het NIST rapport hoe je dit het beste aan kunt pakken.
Een (informatie)beveiligingsincident is een of meerdere (ongewenste of onverwachte) gebeurtenissen die een grote kans hebben op het bedreigen van de bedrijfsprocessen en / of een bedreiging vormen voor de Beschikbaarheid, Integriteit en/of Vertrouwelijkheid (BIV).
Het ISO jaarplan is het actuele plan, opgedeeld in tijd en periodieke activiteiten, zoals opgenomen in een InformatieBeveiligingsBeleid (IBB) of in het risk en compliance beleid. Hierin staan onderwerpen als het periodieke onderhoud aan het security awareness programma, de periodieke security testen en het toetsen van IT controls in het IT control framework.
De security officer op de eerste lijn volgt een jaarprogramma met vaste onderdelen, dat idealiter is uitgeschreven in een IBB of in het risk en compliance beleid. Hierin staan onderwerpen als het periodieke onderhoud aan het security awareness programma, de periodieke security testen en het toetsen van IT controls in het IT control framework. Naast al dit geplande werk is het belangrijk dat de security officer klaar staat voor raad en daad op de werkvloer, zoals tijdens de besprekingen van nieuwe projecten, beantwoorden van security vragen en klaar staan voor security incidenten.
Een SOC2 rapportage is een rapportage waarin is vastgelegd op welke wijze voldaan wordt aan de algemene beheersmaatregelen voor een service organisatie zoals vastgelegd door de AICPA . Daarnaast kun je hierin ook aantoonbaar maken dat je aan additionele controls-sets voldoet (bijvoorbeeld een Cloud Control Matrix).
EEen ISO27001 certificering is een certificering voor het Information Security Management Systeem met als best practice de controls die in de bijlage van deze standaad vermeld staan. Het gaat hier dus om het 'in control zijn' op het gebied van informatiebeveiliging, net zoals het 'in control statement' [link naar subvraag in control statement].
Een control statement is een verklaring waarin het bestuur verantwoording aflegt over de kwaliteit van de interne beheersing. Interne beheersing is het in control hebben (of niet) van processen, inclusief het toezicht daarop. Wanneer iets niet in control is, moet dit worden benoemd tezamen met het actieplan (remediation plan) om dit aan te pakken.
Een securityoperations center (SOC) is het informatiebeveiligingsteam verantwoordelijk voorhet voortdurend bewaken en analyseren van de security van een organisatie. Hetdoel van het SOC-team is om cybersecurity-incidenten te detecteren, analyserenen erop te reageren met behulp van een combinatie van techniek en logica. Zoeen team kan intern zijn maar ook extern bij een security bedrijf.
SecurityOperations Centers controleren en analyseren activiteiten op netwerken, servers, endpoints, databases, applications, websites en andere systemen, op zoek naar abnormale activiteiten die kunnen wijzen op een beveiligingsincident of -compromittering. Het SOC is heeft de verantwoordelijkheid te zorgen dat potentiële beveiligingsincidenten correct worden geïdentificeerd, geanalyseerd, verdedigd, onderzocht en gerapporteerd.
Een security dashboard maak je door eerst de KPI’s vast te stellen, in de juiste context en met de juiste prioriteiten. Deze worden vervolgens in de juiste visuals en met de juiste alerts weergegeven. Zorg ervoor dat je deze blijft fine-tunen en evalueren in de loop van de tijd, het is niet in beton gegoten.
In de security rapportage naar het management komt hetdreigingsbeeld naar voren voor de organisatie op het gebied van IT risico’s.Dat is gevuld met de KPI’s, trends en analyses die specifiek voor deorganisatie belangrijk zijn.