Goede managementinformatie vergroot de cyberweerbaarheid

30 oktober 2023 Consultancy.nl 8 min. leestijd
Profiel
Meer nieuws over

Met de snelle groei van technologie en toenemende afhankelijkheid van IT, nemen ook de dreigingen op het gebied van cybersecurity toe. Het beveiligen van gevoelige informatie én effectieve cybersecurityrapportage is van cruciaal belang voor bestuurders en organisaties, schrijven Peter Kornelisse en Rick Fransen van EY.

Criminelen kunnen steeds eenvoudiger frauderen door het gebruik van (geautomatiseerde) cyberaanvallen, zonder hiervoor diepgaande kennis over technologieën of specifieke systemen nodig te hebben. Denk aan phishing e-mails, identiteitsdiefstal, online oplichting of ransomware-aanvallen.

Fraudeurs maken hierbij in toenemende mate gebruik van zwakke punten in de beveiligingssystemen, menselijk handelen en gebrek aan bewustzijn over digitale bedreigingen.

Peter Kornelisse en Rick Fransen, EY

Een logisch gevolg van het toenemende maatschappelijke belang van cybersecurity is dat steeds hogere eisen worden gesteld aan de wijze waarop organisaties omgaan met deze toenemende dreigingen om fraude door cyberaanvallen tegen te gaan. Dit leidt onder meer tot strengere wettelijke eisen vanuit bijvoorbeeld de Network & Information Security II (NIS II) directive, Digital Operational Resilience Act (DORA) en Cyber Resilience Act (CRA).

Daarnaast dient een accountant als onderdeel van de jaarrekeningcontrole inzicht te verkrijgen of cyber-risico’s niet leiden tot fouten in de financiële verslaggeving. Dit inzicht wordt verkregen door een begrip te vormen van de wijze waarop een organisatie zelf cyberrisico’s beheerst, het onderzoeken van de eigen monitoring, evalueren en rapporteren over cybersecurity-maatregelen, evenals het informeren van het eindverantwoordelijk management en de wijze waarop dat beslist.

Om als organisatie voldoende weerbaar te zijn en tegelijkertijd te voldoen aan de verwachtingen vanuit de maatschappij en de strengere wettelijke eisen, is het van belang op bestuurlijk niveau voldoende inzicht te hebben in:

  • De ontwikkelingen in de dreigingen en risico’s, de (toekomstige) impact op de organisatie en de mate van bereidheid om risico’s te accepteren.
  • De effectiviteit van getroffen maatregelen om de frauderisico’s voortkomend uit cyberaanvallen tot het geaccepteerde niveau te verlagen.
  • Incidenten en de impact van deze incidenten op de getrouwheid van de (niet-)financiële informatie.
  • Voortgang en effect van geplande verbeteringen op het gebied van cybersecurity. Hiermee kan ook inzicht worden verkregen of de snelheid van verbeteren hoog genoeg ligt om de toenemende dreigingen en risico’s het hoofd te bieden.

In onze advies- en auditpraktijk merken we dat de managementrapportage veelal nog in de kinderschoenen staat. De volgende praktische handvatten dragen bij aan effectieve cybersecurity-managementinformatie over de eerste twee pijlers.

Dreigingen, risico’s en risicobereidheid

Een goed inzicht in de digitale dreigingen en risico’s is het fundament voor het ontwikkelen van een robuuste cybersecurityorganisatie en -strategie. Dit inzicht helpt om op het vlak van organisatie, mens en techniek de benodigde maatregelen te identificeren en te prioriteren. Hierdoor kunnen de beschikbare middelen worden ingezet waar ze het meest nodig zijn.

Daarnaast draagt het beeld van de dreigingen en risico’s ook bij aan het bepalen van de bereidheid van de organisatie tot het accepteren van risico’s.

Bij het vormen van het dreigingen- en risicobeeld is het belangrijk ten minste rekening te houden met:

De aanvalsactoren
Vanuit welke hoek kan uw organisatie aanvallen verwachten en hoeveel middelen hebben deze aanvallers ter beschikking? Zo beschikken hackers die gesponsord worden door landen (nation states) over veel meer middelen en geduld om aanvallen uit te voeren dan een crimineel die uit is op het snelle geld.

Aanvalsvectoren en het aanvalsoppervlak
Welk type aanvallen om ongeautoriseerd toegang te krijgen tot uw systemen en data kunt u verwachten en welk gebied van uw IT-omgeving is vatbaar voor deze aanvallen? Denk hierbij aan (spear)phishing, malware en DDoS. Inzicht in de aanvalsvectoren helpt bij het identificeren welke maatregelen nodig zijn om deze aanvallen tegen te gaan, tijdig te detecteren en hierop te reageren.

Wanneer u weet waar binnen uw IT-omgeving deze aanvallen plaats kunnen vinden, kunnen ook gerichte maatregelen worden getroffen. Denk daarbij niet alleen aan de IT-omgeving die van buitenaf benaderbaar is, maar ook van binnenuit (insider threat).

Vaststellen van de risico’s en bepalen van de risicobereidheid
Vanuit het dreigingsbeeld kan een doorvertaling worden gemaakt naar de risico’s. Wat is de kans dat een aanval succesvol plaatsvindt en wat is daarvan de impact?

Voor het bepalen van de kans kan rekening worden gehouden met het kennisniveau en de bereidheid van de aanvaller, hoe (snel) een kwetsbaarheid kan worden uitgebuit en hoe snel uw organisatie in staat is een aanval (tijdig) te detecteren.

Voor de impact dient niet alleen te worden gedacht aan financiële schade, maar ook aan schade aan de reputatie en het niet voldoen aan wet- en regelgeving. Voor sommige organisaties geldt daarbij dat de maatschappelijke impact (tot en met het in gevaar brengen van mensenlevens) meegenomen dient te worden in het bepalen van de impact.

Wanneer de kans en impact van uw belangrijkste risico’s zijn vastgesteld, dient op bestuurlijk niveau de risicobereidheid te worden vastgesteld. In welke mate accepteert uw organisatie dat aanvallen succesvol kunnen plaatsvinden en tot welk niveau is de impact door onbeschikbaarheid van systemen, verlies van data of reputatieschade nog geaccepteerd?

De antwoorden op deze vragen bepalen welke maatregelen en hoeveel middelen ingezet dienen te worden om de risico’s die uw organisatie loopt tot het geaccepteerde niveau te verlagen.

Meten is weten

Het meten van de effectiviteit van getroffen maatregelen stelt de organisatie in staat om het resultaat van de investeringen vast te stellen, zwakke punten in de beveiliging bloot te leggen en van daaruit te bepalen welke (toekomstige) investeringen de grootste bijdrage leveren aan het verlagen van de risico’s.

Wij zien dat veel organisaties hierin afgelopen jaren stappen hebben gezet door het (laten) uitvoeren van interne en externe audits op informatiebeveiligingsmaatregelen. Dergelijke audits geven veel inzicht in de kwaliteit van uw security-organisatie en beheerprocessen op een bepaald moment of een bepaalde periode. Ze geven echter minder inzicht in de trend van uw risico’s en de (operationele) prestaties van uw securityorganisatie.

De oplossing hiervoor is het werken met meetbare Key Risk Indicatoren (KRI’s) en Key Prestatie Indicatoren (KPI’s), waarbij uw organisatie vanuit beschikbare data de prestaties meet en de threshold vaststelt. Voorbeelden van informatie die gebruikt kan worden om te komen tot KRI’s en KPI’s:

Awareness:

  • % medewerkers dat klikt op gesimuleerde phishing e-mails
  • % van de e-mails dat meer dan 3MB bevat, en daarmee het risico op datalekken

Asset management:

  • Aantal gedetecteerde onbekende assets (niet geregistreerd in de Configuration Management Database (CMDB))
  • % assets met een eigenaar en de gemiddelde tijd dat het kost om een eigenaar vast te stellen.

Kwetsbaarheden management:

  • % kritieke en hoge kwetsbaarheden die zijn beoordeeld binnen vastgestelde Service-Level Agreement (SLA)-tijden.
  • % van de (kritieke) systemen die binnen SLA-tijden zijn gepatched.

Security monitoring:

  • % kritieke assets waarvan audit en event logs nog niet zijn aangesloten op een Security Information & Event Management (SIEM)-oplossing
  • % kritieke of high events en alerts die binnen SLA-tijden zijn opgevolgd.

Third party management:

  • % van contracten met (IT) Service Organisaties waarin security-vereisten zijn opgenomen
  • % van (IT) Service Organisaties die beschikken over security-certificeringen en assurance-verklaringen.

Incidenten management

  • Gemiddelde tijd dat het kost om een incident te detecteren, hierop te reageren en het incident op te lossen.
  • % incidenten correct geregistreerd, geclassificeerd en gerapporteerd (aan toezichthouders)

Goede managementinformatie

De scores op deze KRI’s en KPI’s tonen waar de organisatie in de praktijk goed en slecht scoort op het vlak van mens, organisatie en techniek en hoe de risico’s en prestaties zich in de loop van de tijd ontwikkelen. Dit stelt bestuurders in staat bij te sturen.

Zo kan een organisatie geld investeren in tooling om op een veilige manier gegevens uit te wisselen, maar blijft het risico op datalekken in de praktijk onveranderd als deze tooling niet gebruikt wordt en medewerkers de data blijven delen via e-mail.

Op basis van dit inzicht kan het bestuur kiezen om bijvoorbeeld meer te investeren in het gedrag van medewerkers (bewustwording) of het voor medewerkers gemakkelijker maken om veilige tooling te gebruiken door deze te integreren in bestaande werkwijzen en functionaliteiten.

Organisaties die hiermee zijn gestart zijn beter in staat om de zogeheten ‘Return on Investment’ tastbaar te maken door de trends in prestaties en risico’s te koppelen aan de investeringsagenda. Als uw huidige managementrapportage al veel van bovenstaande informatie omvat, bent u goed op weg. Zo niet, dan is het zaak stap voor stap te werken aan het verbeteren van deze managementinformatie.