Bij het bespreken van risico's op het gebied van beveiliging en privacy hebben we te maken met de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens. Plots moest voor personeel dat normaal op pc's werkt een laptop worden voorzien. Maar waren deze beschikbaar? Welke software is nodig, is er een externe verbinding mogelijk met de kernapplicaties, is er een beveiligde verbinding mogelijk?

Andere organisaties werden geconfronteerd met een overbelasting van laptops die tegelijkertijd toegang hadden tot de VPN, met een mogelijke uitval of zelfs integriteitsproblemen. Bij het oplossen van de problemen stond beschikbaarheid vaak voorop, terwijl veiligheid soms achterwege bleef. Om een voorbeeld te geven: plotselinge coöperatieve platforms werden willekeurig geïntroduceerd, het gebruik van nieuwe communicatiemiddelen was plotseling nodig, en dat waren vaak veel verschillende middelen. Hoewel er een beveiligingsprobleem was met Zoom, kenden veel organisaties het probleem, maar bleven het gebruiken, omdat er geen formele risicostrategiebeslissing was om het te wijzigen. Het systeem werkend krijgen was belangrijker dan de vraag of vanuit privacy-oogpunt de security by design werd gerespecteerd.

Een ander bestaand probleem dat door de pandemie aan het licht kwam, was het aantal tekortkomingen in supply chain-processen om de continuïteit van processen en de volksgezondheid overigens te waarborgen. De integriteit van de gegevens, in combinatie met onduidelijke of verspreide verantwoordelijkheden, zorgde voor verhoogde risico's bij bijvoorbeeld de levering van chirurgische mondmaskers in België.

Deze problemen staan in schril contrast met een van de huidige trends in CyberSecurity: zero trust. Het principe achter 'vertrouwen is goed, maar controle is beter' gaat ervan uit dat alle communicatie wordt beschouwd als afkomstig uit een open omgeving en dienovereenkomstig moet worden gecontroleerd. Bovendien worden zero trust, of CyberSecurity-investeringen in het algemeen, nog steeds beschouwd als een aparte pijler in een zakelijke omgeving, soms in één adem genoemd of zelfs ten koste van andere IT-investeringen. Met de eerdere voorbeelden is het echter onnodig te zeggen dat deze trend van zero trust ons een vals gevoel van bescherming kan geven. De verschuiving en opkomst van nieuwe risico's dwingt ons na te denken over de echte waarde van dingen. Deze nieuwe risico's waren het ontbrekende stukje in de complexe puzzel van beveiliging. Het kan worden beschouwd als de zachte duw in de rug van de verschuiving van CyberSecurity naar CyberRisk. De toekomst van CyberSecurity als aparte verantwoordelijkheid van één afdeling in de organisatie is voorbij. CyberRisk is de zorg van iedereen.

En dit is precies wat een organisatie nodig heeft. Een formele set van risico's waarbij de waarschijnlijkheid van gebeurtenissen, maar zeker de impact van deze gebeurtenissen, op het bedrijf wordt beoordeeld. Risico's vanuit een processtandpunt om het vereiste controleniveau beter te bepalen. De bepaling van het controleniveau moet afhankelijk zijn van de risicobereidheid van de business line en het topmanagement. Alleen met het volledige zicht op de risico's gedurende het hele proces kan een goede beslissing worden genomen om te investeren.

Wat we echter zien bij organisaties is dat er nog een grote diversiteit is in het volwassenheidsniveau met betrekking tot risicomanagement. Variërend van een lijst met toprisico's in het hoofd van C-level tot organisaties waar risicomanagement een managementsysteem is om uw organisatie effectief te sturen. Zoals bij veel volwassenheidsmodellen, is de 'gedefinieerde' fase van risicobeheer het moment waarop risico's worden gedocumenteerd en een proces wordt gedefinieerd om de risicostrategie te bepalen. Daarnaast, aangezien risico's afkomstig zijn uit meerdere domeinen, zien we ook vaak dat de aanpak van risicomanagement in een silo zit. GDPR-risico's zijn voor de DPO, Business Continuity-risico's zijn voor de BCManager, financiële risico's voor de CFOoffice of interne audit, Cybersecurity en meer algemene IT-risico's zijn voor de CIO.

Maar als we een stapje terug doen, kunnen we concluderen dat alle bovengenoemde risico's allemaal ongeveer hetzelfde zijn om de continuïteit van onze organisatie te behouden en dat is het beschermen van onze activa: fysiek, mensen en natuurlijk onze informatie. Daarom pleit Fujitsu voor een Integrated Security-benadering, of een versnipperde CyberRisk-verantwoordelijkheid. Voor deze aanpak is een gevarieerde set aan capaciteiten vereist die bij niemand persoonlijk te vinden zijn. Daarom is een geschiktere benadering voor organisaties als ze extra middelen nodig hebben, het verkrijgen van een 'casa del papel'-masker. Afhankelijk van de behoefte worden verschillende experts toegewezen, maar het totale bestede budget blijft hetzelfde. Alleen de integratie van proceskennis, expertise op het gebied van risicobeheer en technologische uitmuntendheid gecombineerd in een one-stop risk-shop zal de CyberRisk-investeringen echt optimaliseren en het C-level een goede nachtrust bezorgen, althans op het gebied van activabescherming.

Nicolas Delcroix -Governance, Risk & Compliance Lead @ Fujitsu Belgium

Neem contact op

Vul het formulier in om een meeting te boeken met een van onze experts of stuur een e-mail naar ecsbe@ts.fujitsu.com

Bij het bespreken van risico's op het gebied van beveiliging en privacy hebben we te maken met de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens. Plots moest voor personeel dat normaal op pc's werkt een laptop worden voorzien. Maar waren deze beschikbaar? Welke software is nodig, is er een externe verbinding mogelijk met de kernapplicaties, is er een beveiligde verbinding mogelijk?Andere organisaties werden geconfronteerd met een overbelasting van laptops die tegelijkertijd toegang hadden tot de VPN, met een mogelijke uitval of zelfs integriteitsproblemen. Bij het oplossen van de problemen stond beschikbaarheid vaak voorop, terwijl veiligheid soms achterwege bleef. Om een voorbeeld te geven: plotselinge coöperatieve platforms werden willekeurig geïntroduceerd, het gebruik van nieuwe communicatiemiddelen was plotseling nodig, en dat waren vaak veel verschillende middelen. Hoewel er een beveiligingsprobleem was met Zoom, kenden veel organisaties het probleem, maar bleven het gebruiken, omdat er geen formele risicostrategiebeslissing was om het te wijzigen. Het systeem werkend krijgen was belangrijker dan de vraag of vanuit privacy-oogpunt de security by design werd gerespecteerd.Een ander bestaand probleem dat door de pandemie aan het licht kwam, was het aantal tekortkomingen in supply chain-processen om de continuïteit van processen en de volksgezondheid overigens te waarborgen. De integriteit van de gegevens, in combinatie met onduidelijke of verspreide verantwoordelijkheden, zorgde voor verhoogde risico's bij bijvoorbeeld de levering van chirurgische mondmaskers in België.Deze problemen staan in schril contrast met een van de huidige trends in CyberSecurity: zero trust. Het principe achter 'vertrouwen is goed, maar controle is beter' gaat ervan uit dat alle communicatie wordt beschouwd als afkomstig uit een open omgeving en dienovereenkomstig moet worden gecontroleerd. Bovendien worden zero trust, of CyberSecurity-investeringen in het algemeen, nog steeds beschouwd als een aparte pijler in een zakelijke omgeving, soms in één adem genoemd of zelfs ten koste van andere IT-investeringen. Met de eerdere voorbeelden is het echter onnodig te zeggen dat deze trend van zero trust ons een vals gevoel van bescherming kan geven. De verschuiving en opkomst van nieuwe risico's dwingt ons na te denken over de echte waarde van dingen. Deze nieuwe risico's waren het ontbrekende stukje in de complexe puzzel van beveiliging. Het kan worden beschouwd als de zachte duw in de rug van de verschuiving van CyberSecurity naar CyberRisk. De toekomst van CyberSecurity als aparte verantwoordelijkheid van één afdeling in de organisatie is voorbij. CyberRisk is de zorg van iedereen.En dit is precies wat een organisatie nodig heeft. Een formele set van risico's waarbij de waarschijnlijkheid van gebeurtenissen, maar zeker de impact van deze gebeurtenissen, op het bedrijf wordt beoordeeld. Risico's vanuit een processtandpunt om het vereiste controleniveau beter te bepalen. De bepaling van het controleniveau moet afhankelijk zijn van de risicobereidheid van de business line en het topmanagement. Alleen met het volledige zicht op de risico's gedurende het hele proces kan een goede beslissing worden genomen om te investeren.Wat we echter zien bij organisaties is dat er nog een grote diversiteit is in het volwassenheidsniveau met betrekking tot risicomanagement. Variërend van een lijst met toprisico's in het hoofd van C-level tot organisaties waar risicomanagement een managementsysteem is om uw organisatie effectief te sturen. Zoals bij veel volwassenheidsmodellen, is de 'gedefinieerde' fase van risicobeheer het moment waarop risico's worden gedocumenteerd en een proces wordt gedefinieerd om de risicostrategie te bepalen. Daarnaast, aangezien risico's afkomstig zijn uit meerdere domeinen, zien we ook vaak dat de aanpak van risicomanagement in een silo zit. GDPR-risico's zijn voor de DPO, Business Continuity-risico's zijn voor de BCManager, financiële risico's voor de CFOoffice of interne audit, Cybersecurity en meer algemene IT-risico's zijn voor de CIO.Maar als we een stapje terug doen, kunnen we concluderen dat alle bovengenoemde risico's allemaal ongeveer hetzelfde zijn om de continuïteit van onze organisatie te behouden en dat is het beschermen van onze activa: fysiek, mensen en natuurlijk onze informatie. Daarom pleit Fujitsu voor een Integrated Security-benadering, of een versnipperde CyberRisk-verantwoordelijkheid. Voor deze aanpak is een gevarieerde set aan capaciteiten vereist die bij niemand persoonlijk te vinden zijn. Daarom is een geschiktere benadering voor organisaties als ze extra middelen nodig hebben, het verkrijgen van een 'casa del papel'-masker. Afhankelijk van de behoefte worden verschillende experts toegewezen, maar het totale bestede budget blijft hetzelfde. Alleen de integratie van proceskennis, expertise op het gebied van risicobeheer en technologische uitmuntendheid gecombineerd in een one-stop risk-shop zal de CyberRisk-investeringen echt optimaliseren en het C-level een goede nachtrust bezorgen, althans op het gebied van activabescherming.Nicolas Delcroix -Governance, Risk & Compliance Lead @ Fujitsu BelgiumVul het formulier in om een meeting te boeken met een van onze experts of stuur een e-mail naar ecsbe@ts.fujitsu.com