Wat is IT-risicobeheer?

De gegevens van een onderneming zijn het levensbloed ervan. En volgens een onderzoek van IDC uit 2020 groeit het verzamelen van bedrijfsgegevens elk jaar met meer dan 42%. [1] Van het intellectuele eigendom dat unieke waarde creëert tot de persoonlijke informatie van klanten, organisaties moeten een plan hebben - informatietechnologie (IT) risicomanagement - om de kans op een datalek of -uitval te verkleinen.

Wat is informatierisico?

Informatierisico is de potentiële schade die een organisatie zou kunnen lijden als een gebeurtenis of onbevoegde actor haar netwerkinfrastructuur of datamiddelen zou compromitteren, schenden of anderszins verstoren.

IT-risico's zijn er in vele vormen, waaronder cyberveiligheidsproblemen (phishing, ransomware), fysieke bedreigingen (brand of overstromingen), technische storingen (bugs, crashes), infrastructurele storingen (verlies van internetverbinding), strategische risico's (slechte technologiekeuzes) en menselijke fouten (per ongeluk wissen van gegevens). [2] Cyberbeveiligingsrisico's zijn niet alleen het grootste IT-risico geworden, maar ook een van de drie grootste bedrijfsrisico's. In een recent onderzoek werden ze samen met de uitbraak van een pandemie en bedrijfsonderbreking als nek-aan-nek-race genoemd. [3]

Organisaties meten het informatierisico aan de hand van de gevolgen die een dergelijk incident zou kunnen hebben voor de bedrijfsvoering, de financiële prestaties en de reputatie. De risicotolerantie van een organisatie hangt af van de waarde van de gegevens. Als de gegevens bijvoorbeeld medische dossiers van patiënten of geheime dossiers bevatten, is het risico van compromittering veel groter dan bij minder belangrijke inhoud, zoals marketingcommunicatiedocumenten.

Beoordeling van IT-risico's

Groepen zoals ISACA, een branchevereniging, raden organisaties aan te beginnen met het opstellen van een informatierisicobeoordeling, waarin de soorten, hoeveelheden en prioriteiten van risico's die zij kunnen tolereren, worden geïdentificeerd en geformaliseerd. [4]

IT-risicobeoordelingen vormen de basis voor effectieve risicobeheerprogramma's. Organisaties zouden ze moeten uitvoeren door:

• Benoeming van een gekwalificeerde manager die vertrouwd is met risicobeheerskaders en -methodologieën om toezicht te houden op het proces. Deze manager moet inzicht hebben in de IT-functie, leiding kunnen geven aan een team van hogere belanghebbenden en beschikken over doeltreffende vaardigheden op het gebied van communicatie en conflictoplossing.
• Het samenstellen van een team van belanghebbenden bestaande uit bedrijfsleiders (juridisch, financieel, HR, marketing, enz.) en IT (belangrijke besluitvormers op het gebied van infrastructuur, beveiliging, softwareontwikkeling).
• Gelet op blauwdrukken zoals ISACA's COBIT 5 voor risico's, [5] beschreven als een proces dat wordt gebruikt om risico's en de potentiële gevolgen ervan te identificeren en te kwalificeren of te kwantificeren. Het risicobeoordelingsproces voor IT-beveiliging omvat scoping, analyse en evaluatie van de controle.

Wat is een IT-risicobeheerskader?

IT-risicobeheer gaat verder dan het beoordelen van het risico dat een organisatie loopt als bepaalde informatie wordt gestolen of anderszins tijdelijk of permanent onbeschikbaar is. IT-risicobeheer bepaalt het belang van de gegevens, het niveau van de middelen en de investering die moeten worden aangewend om de IT-infrastructuur en haar informatiemiddelen te beschermen. Veel organisaties stellen hiervoor een kader voor IT-risicobeheer op.

Er zijn vele benaderingen voor het ontwikkelen en onderhouden van een kader voor IT-risicobeheer. De Info-Tech Research Group vat het proces samen in drie stappen: [6]

• IT-risicogrondslagen evalueren om een kader voor risicogovernance op te zetten.
• IT-risico's in kaart brengen, beoordelen en vervolgens prioriteiten stellen.
• Ontwikkelen van een programma voor het volgen van IT-risico's, het ontwikkelen van reacties en het communiceren van IT-risicoprioriteiten.

Het Risk Management Framework (NIST RMF) van het National Institute of Standards and Technology gaat dieper in op specifieke aspecten van cyberbeveiliging en gegevensprivacy. Het NIST RMF is een proces van zeven stappen voor de implementatie van risicobeheerprogramma's voor IT-beveiliging die voldoen aan de richtlijnen van de Federal Information Security Modernization Act (FISMA). FISMA is van toepassing op federale agentschappen en hun contractanten, maar het NIST-raamwerk wordt ook buiten de federale aanbestedingswereld algemeen beschouwd als een best practice. Het bevat de volgende stappen: [7]

• Prepare: Voer een beoordeling uit en stel de activiteiten vast die nodig zijn voor het beheer van beveiligings- en privacyrisico's.
• Categoriseren: Catalogiseren van de verwerkte, opgeslagen en doorgegeven informatie op basis van de impactanalyse.
• Select: Selecteer de geschikte, door NIST aanbevolen controles om het systeem te beschermen.
• Implementeren: Controles opzetten en documenteren hoe ze worden uitgevoerd.
• Beoordeel: Bepaal of de controles werken zoals bedoeld en de gewenste resultaten opleveren.
• Authorize: De leidinggevenden nemen de uiteindelijke beslissing om het systeem in gebruik te nemen.
• Monitor: Voortdurend toezicht op de uitvoering en de systeemrisico's.

Waarom is risicobeheer noodzakelijk?

Risicobeheer is niet alleen een "nice-to-have" voor IT- en beveiligingsactiviteiten, het is een essentieel onderdeel van business governance en compliance. Gezien de schijnbaar dagelijkse berichten over ransomware-aanvallen en grote datalekken is risicomanagement van IT-beveiliging een overweging op directieniveau met hoge prioriteit geworden. Het proces heeft gevolgen op strategisch, financieel, operationeel, regelgevings- en reputatiegebied, aldus Deloitte, een managementadviesbureau. [8]

Hoe belangrijk het ook is dat IT- en beveiligingsleiding een formeel IT-risicobeheerproces hebben, CEO's en raden van bestuur moeten ook inzicht hebben in hun cyberrisico's, om alle belanghebbenden bewust te maken van de potentiële dreiging voor hun bedrijf en adequate bescherming te bieden. IT- en bedrijfsleiders moeten op één lijn zitten als het gaat om informatiebeveiliging en risicobeheer.

Nadruk op cyberbeveiligingsrisico's

Met cyberbeveiliging als primair risico vereist risicobeheer op het gebied van informatiebeveiliging het volgende:

• Een manier bieden om het niveau van het cyberbeveiligingsrisico dat een organisatie kan aanvaarden, af te wegen tegen de voordelen van verschillende technologieën.
• Een cyberbeveiligingsaudit ondergaan om alle risico's in kaart te brengen en het niveau van onbekende bedreigingen te meten.
• Ontwikkeling van een alomvattend plan om kwetsbaarheden en dreigingen te verminderen.
• Inzet van oplossingen om inbreuken of aanvallen te beperken.
• Vaststelling van uitgebreide opleidingsprogramma's inzake beveiligingsbewustzijn voor alle werknemers en belanghebbenden.

Beoordeling van het grootste risico voor cyberbeveiliging: e-mail

Het grootste IT-beveiligingsrisico dat moet worden beheerd, is e-mail , in de vorm van alomtegenwoordige phishing- en ransomwarecampagnes. Organisaties die risicoanalyses van de informatiebeveiliging ondergaan, zullen doorgaans een hoog risico op blootstelling aan e-mailaanvallen aan de perimeter van hun netwerk aantreffen, binnen hun netwerk en buiten de perimeter, waar hun merk bescherming nodig kan hebben tegen gespoofde websites en andere bedreigingen.

In het onderzoek van Mimecast onder 1.025 IT-besluitvormers kreeg 82% vorig jaar te maken met downtime als gevolg van een aanval, terwijl 51% werd getroffen door ransomware. Degenen die het slachtoffer werden van een ransomware-aanval hadden te maken met drie dagen downtime. Volgens de enquête zei 60% dat een e-mailaanval dit jaar onvermijdelijk was.

De kern van de zaak

IT-risicobeheer is een kritieke functie voor elke organisatie. Het hebben van een risicobeheerproces voor informatiebeveiliging is niet alleen een IT-kwestie, het is een zaak waar CEO's, topmanagers en raden van bestuur van bedrijven veel aandacht aan besteden, of zouden moeten besteden. Cyberdreigingen gaan niet weg en de impact van een gebeurtenis of slechte actor kan de activiteiten, financiën en reputatie van een organisatie schaden.

[1] " "Rethink Data"-rapport onthult dat 68% van de voor bedrijven beschikbare gegevens niet worden benut ," IDC, voor Seagate

[2] " IT-risicobeheer ," Invest Northern Ireland

[3] " Allianz Risicobarometer ," Allianz

[4] " Kernelementen van een informatierisicoprofiel ," ISACA

[5] " Using Risk Assessment to Support Decision Making ," ISACA

[6] " Bouw een IT-risicobeheerprogramma ," Info-Tech Research Group

[7] " NIST-Raamwerk voor risicobeheer ," Nationaal Instituut voor normen en technologie

[8] " IT-risico's in FSI ," Deloitte