Nu bedrijven een nieuw niveau van digitalisering bereiken, mogelijk gemaakt door snellere connectiviteit, biedt het gebruik van data een belangrijke kans om risico’s beter te bewaken, te analyseren, te voorspellen en te beperken. De bescherming van data en van de systemen die deze data verwerken, overdragen en opslaan, is daarom van cruciaal belang.

 

Volgens de laatste Annual Global CEO Survey van PwC is cyberbeveiliging nu wereldwijd een van de topprioriteiten. De strategie voor risicobeheer op het gebied van cyberbeveiliging mag dus niet langer worden gezien als een zaak die alleen de CTO en IT-directeur aangaat, maar moet ook op de agenda staan van elke supply chain manager en technisch directeur.

 

Een voorspelbare benadering van risicobeperking

Data heeft het potentieel om risicobeheer te transformeren. Met de juiste data, analyse- en rapportagetools kan worden vastgesteld waar de kans op toekomstige risico’s het grootst is. Zo kunt u zich concentreren op de gebieden waar de hoogste waarde op het spel staat. Het gebruik van deze meetmethoden kan ook helpen om emotionele vooringenomenheid bij de besluitvorming te voorkomen: de risico’s waarvan we aannemen dat ze groter zijn, zijn niet altijd de risico’s die in het oog moeten worden gehouden.

Wanneer u dit inzichtelijk heeft, kunt u doeltreffender inspecties of audits uitvoeren en u richten op de activiteiten met een hoger risico.

Een ervaren digital assurance-partner kan advies geven over welke gegevens moeten worden gecontroleerd, hoe deze moeten worden geanalyseerd en hoe daarop moet worden gereageerd.

 

De noodzaak van samenhangende digitale transformatie

Digitale transformatie biedt veel mogelijkheden, maar de ervaring leert ons dat de implementatie van een managementsysteem voor informatiebeveiliging een uitdaging kan zijn. De aanpak is vaak versnipperd. Uit een onderzoek uit 2020 bleek dat van de digitale upgrades die aan het begin van de pandemie waren doorgevoerd, 59 procent kortetermijnoplossingen nodig hadden om problemen op te lossen die het gevolg waren van overhaaste invoeringen. Dit had kunnen worden vermeden als assurance en risicobeperking beter in het veranderingsproces waren geïntegreerd.

 

Een veelgemaakte fout is een technologie-gedreven aanpak. Het is van cruciaal belang dat het uitgangspunt voor organisaties die hun activiteiten en programma’s voor risicobepaling willen digitaliseren, de problemen kennen, niet de technologie of databron die volgens hen ontbreekt. Dit vereist een samenhangende digitale assurance-strategie die de juiste mix van mensen, processen en technologie omvat.

 

Gegevens over de supply chain en cyberbeveiligingsrisico

Door de toenemende digitalisering en datastromen nemen ook de potentiële kwetsbaarheden toe. Kwaadwillende kunnen deze uitbuiten. Leveranciers zijn een vitale bron van data voor elk bedrijf dat een volledig beeld wil krijgen van zijn activiteiten en kwaliteitsborging. Maar deze digitale supply chain moet ook worden beveiligd. Organisaties moeten zich niet alleen bewust zijn van hun eigen risicobeheerstrategie voor cybersecurity, maar ook van het potentieel van cyberdreigingen die zich kunnen voordoen in de supply chain.

 

In de afgelopen jaren hebben we een verschuiving gezien in de vorm van cyberdreigingen. Ransomware is niet alleen in frequentie verdubbeld, het is nu goed voor 10 procent van alle inbreuken. Ook wordt er steeds vaker gericht op supply chains via sleeper ransomware. Bij deze aanvallen worden niet alleen privileges op het hostnetwerk verkregen, maar wordt ook gekeken hoe het hele ecosysteem kan worden getroffen. De wereldwijde supply chains vergroten de potentiële impact van deze aanvallen, waardoor het belang van risicomanagement op het gebied van cybersecurity toeneemt.

 

Voortdurende monitoring

Door deze huidige ontwikkelingen zijn traditionele audits en een jaarlijkse risicobeoordeling van cybersecurity niet langer toereikend. Ze bieden slechts een momentopname van systemen en houden geen rekening met nieuwe kwetsbaarheden of tussentijds vereiste wijzigingen aan het systeem.

 

Daarnaast hebben veel organisaties er in het verleden voor gekozen om het beheer van hun cybersecurityrisico’s over te dragen aan een verzekeringsmaatschappij. Het volume en de complexiteit van cyberaanvallen hebben de premies echter opgedreven, zodat verzekeraars steeds vaker van organisaties eisen dat ze de risico’s proactief beperken om gedekt te blijven. Investeringen in robuuste zekerheid kunnen zelfs de kosten van de verzekeringspolis verlagen.

 

Een oplossing voor deze beide problemen is Continuous Controls Monitoring. Hiermee kunnen organisaties in realtime de data bijhouden die nodig is voor een risicobeoordeling op het gebied van cybersecurity, inclusief de data die worden verkregen van leveranciers. Threat intelligence-platforms en dashboards kunnen een continue en proactieve controleaanpak vergemakkelijken.

 

Collaboratieve assurance in real-time

Door samen te werken met leveranciers en specialisten kan een organisatie grote vooruitgang boeken bij het ontwikkelen van een slimmere aanpak van risk assurance en bij het vaststellen van de juiste informatie assurance op het gebied van cybersecurity.

 

De eis van certificering naar wereldwijde managementsysteemnormen, zoals ISO 27001, en het recht om IT-beveiliging te auditen en te beoordelen, wordt steeds belangrijker. Het Cybersecurity Framework van het National Institute of Standards and Technology (NIST) wint ook terrein als een wereldwijde norm die rekening houdt met de noodzaak om naar de controles van leveranciers te kijken. Dit levert wederzijdse voordelen op voor beide partijen, waarbij inkopers helpen bij het opleiden en bijscholen van leveranciers, waardoor de competentie en veerkracht in de hele keten toeneemt. De verschuiving naar digitale assurance en een continu model van monitoring heeft ook het potentieel om de kosten en verstoringen te verminderen die worden veroorzaakt door onnodige inspecties van de supply chain.

 

Bij het nemen van beslissingen over leveranciers, nieuwe productontwikkeling en groei naar nieuwe regio’s en gebieden, moet cybersecurity deel uitmaken van de discussie. Risicobeheer op het gebied van cybersecurity moet deel uitmaken van een robuuste en doorlopende assurance-strategie – en niet slechts een controlepunt zijn waaraan moet worden voldaan in de eerste fase van onboarding.

 

Conclusie

Naarmate de industrie digitaliseert, groeit de behoefte aan slimmere, real-time assurance voor zowel traditionele risico’s als cybersecurity. Dit alles wijst op de noodzaak om bestendig te zijn door middel van digitale risicoborgingsprogramma’s, en integratie van managementsysteem voor informatiebeveiliging (ISO 27001) op een manier die is afgestemd op het bedrijf. De bedreigingen waarvan u zich bewust bent, worden aangepakt en er wordt rekening gehouden met de bedreigingen waarvan u zich niet bewust bent. Continue en gezamenlijke bewaking van operationele data en informatiebeveiliging, kwetsbaarheden en bedreigingen biedt de mogelijkheid om risico’s beter te beperken, de efficiëntie te verhogen en beter geïnformeerde besluitvorming te vergemakkelijken.

 

Voor meer informatie over effectief risicobeheer en cybersecurity, kijk op https://www.lrqa.com/.

 

Nick Prescot, Senior GRC Consultant bij Nettitude

Dit artikel is geplaatst in samenwerking met onze kennispartner LRQA.

Geef een reactie

Training van LRQA. Interactie, leren en groeien.

Wij helpen bedrijven en particulieren over de hele wereld voortdurend te verbeteren met onze geplande en op maat gemaakte trainingen. LRQA biedt trainingen aan in verschillende leervormen. Zo kunt u digitaal leren en in een face-to-face klassikale omgeving. Welke training gaat u volgen?