- nl
- en
Cybersecurity & Interne audit
In de bedrijfswereld is iedereen het erover eens dat cybersecurity een topprioriteit is op het gebied van risicobeheersing. Maar hoewel dit besef alom aanwezig is, blijft de vertaling naar de praktijk soms in gebreke.
De nood is echter hoog en sinds eind maart is ook de wetgeving omtrent het omzetten van de Europese NIS (netwerk- en informatiebeveiliging) richtlijn door het Belgisch parlement goedgekeurd. Deze richtlijn impliceert dat beheerders van essentiële netwerken en IT-systemen extra voorzorgsmaatregelen moeten nemen bij het bewaken en rapporteren van cyberaanvallen. En hoewel deze wetgeving zich in eerste instantie richt op bepaalde sectoren zoals energie, transport, financiën, gezondheidszorg, drinkwater en digitale infrastructuur, blijft geen enkele sector gevrijwaard van potentiële cyberrisico’s.
Interne auditoren vragen zich dan ook meer en meer af hoe deze risico’s beperkt kunnen worden en op welke manier deze vertaald kunnen worden in een passend auditprogramma. Eén van de grote misverstanden hierbij is dat voornamelijk de IT-departementen de grootste verantwoordelijkheid hebben op het vlak van het detecteren en beheersen van cyberrisico’s, hoewel dit in de praktijk de taak is van de hele organisatie. Interne auditoren denken dan ook vaak onterecht dat zij te weinig technische kennis hebben om deze risico’s te kunnen auditeren. Echter, niets is minder waar. In dit artikel willen we inzoomen op enkele zeer praktische voorbeelden waaruit blijkt dat heel wat controles getest kunnen worden onafhankelijk van de IT-architectuur.
HR-beleid
Een goed HR-beleid is niet alleen belangrijk in het kader van aanwerven en aanhouden van de juiste werknemers. Ook op het vlak van cyberrisco’s speelt het HR-beleid een belangrijke rol. Als interne auditor kunt u verifiëren of de nodige maatregelen werden genomen. We denken aan de volgende zaken:
- Is er een gedragscode aanwezig en werd deze ondertekend door alle werknemers? Tijdens het onboarden is het aangeraden om werknemers bewust te maken van de mogelijke cyber en informatiebeveiligingsrisico’s. In een gedragscode wordt er vastgelegd hoe gebruikers op een veilige manier de verschillende ICT-tools kunnen gebruiken en wat er wel/niet toegelaten is. Een gedragscode zorgt er ook voor dat werknemers op hun eigen verantwoordelijkheden worden gewezen.
- Is een formele procedure voorzien voor wat betreft het aanmaken van accounts en het verlenen van toegangsrechten aan (nieuwe) werknemers?
- Wordt er voorzien in een procedure of checklist in het geval werknemers de onderneming verlaten? Het is belangrijk dat ex-werknemers niet langer toegang hebben tot de bedrijfsgegevens, zowel fysiek als digitaal. Een procedure voorziet daarom best in de volgende zaken: het terugbrengen van bedrijfsactiva (laptop, smartphone), ontzeggen van de fysieke toegang tot bedrijfsgebouwen (indienen en deactiveren toegangsbadge/sleutels) en het afsluiten van de toegangen tot het bedrijfsnetwerk en de verschillende IT-systemen.
Paswoordbeleid
Op regelmatige tijdstippen worden we er door nieuwsberichten aan herinnerd: zorg ervoor dat paswoorden niet te makkelijk zijn en gebruik niet overal dezelfde paswoorden. Een goed paswoordbeleid is dus een noodzakelijke stap bij het mitigeren van cyberrisico’s. Ook zonder alle technische details te doorgronden, kunt u als interne auditor het bestaan van enkele procedures nagaan:
- Worden gebruikers bij het instellen van hun paswoorden verplichtingen opgelegd zoals een minimum aantal karakters, gebruik van verschillende karaktertypes, ...?
- Worden gebruikers verplicht om hun paswoorden op regelmatige basis aan te passen? De verantwoordelijkheid hiervoor kan niet alleen bij de werknemers gelegd worden. Een procedure hiervoor wordt het best door het IT-departement uitgewerkt. U kunt het bestaan van dergelijke procedures nagaan.
- Heeft iedere persoon zijn eigen account met bijhorende toegangsrechten en paswoorden? Niet iedere werknemer heeft dezelfde toegangen tot IT-systemen nodig, daarom is het noodzakelijk dat deze op individuele basis worden toegekend. Worden werknemers er voldoende op gewezen dat paswoorden nooit gedeeld mogen worden met andere werknemers? Zijn er technische mogelijkheden die het ‘dubbel’ gebruik van accounts kunnen detecteren?
Aankoopbeleid
Uw onderneming kan intern de nodige maatregelen hebben genomen om cyberrisico’s in te perken, maar werd er ook gedacht aan de informatiebeveiligings- en cyberrisico’s die verbonden zijn aan externe relaties met leveranciers? Gezien de alsmaar toenemende verwevenheid van ondernemingen binnen de supply chain, is het noodzakelijk dat het mitigeren van de informatie-en cyberrisico’s integraal deel uitmaken van het aankoopbeleid van een onderneming. Als interne auditor kunt u volgende zaken verifiëren:
- Worden informatiebeveiligings- en cyberrisico’s op een systematische manier in kaart gebracht bij het aangaan van belangrijke leverancierscontracten? Worden de verantwoordelijkheden m.b.t. bescherming van bedrijfsinformatie contractueel vastgelegd voor leveranciers die toegang hebben tot dergelijke informatie? Worden deze risico’s op regelmatige basis geëvalueerd om na te gaan of deze nog steeds relevant zijn of er nieuwe risico’s van toepassing zijn?
- Is er een procedure vastgelegd voor leveranciers die fysieke toegang nodig hebben tot de gebouwen van de onderneming? Op welke manier wordt de toegang tot bedrijfsgegevens afgeschermd?
- Wanneer uw supply chain bijna volledig geautomatiseerd is (bijvoorbeeld een automatisch aankoopbeleid d.m.v. een rechtstreekse link met het IT-systeem van een kritische leverancier), is er dan ook voorzien in een continuïteitsplan indien de informatie-uitwisseling door hackers of technische problemen wordt verstoord? Interruptie van de operationele activiteiten moet uiteraard ten alle koste vermeden worden.
Bewustzijn creëren
Eén van de meest voorkomende oorzaken van datalekken zijn de werknemers zelf. Meestal onbewust stellen zij de organisatie bloot aan cyberrisico’s door hun eigen gedrag of handelingen. Het is daarom noodzakelijk dat het nodige bewustzijn rond cyberrisico’s en informatiebeveiliging ook bij de werknemers gecreëerd wordt. Als interne auditor kunt u ook een rol spelen in het opzetten van een programma rond dergelijk bewustzijn. Naast het ondertekenen van een gedragscode (zoals hierboven aangehaald), zijn er nog een aantal zaken waar werknemers best aan worden herinnerd op regelmatige basis. Als interne auditor doe je er dan ook goed aan om volgende domeinen op te nemen in jouw auditprogramma:
- Emailfraude: Wordt de werknemers aangeleerd hoe ze emailfraude of phishing kunnen herkennen en hoe ze moeten reageren wanneer ze geconfronteerd worden met verdachte e-mails? Is er een vast aanspreekpunt binnen de organisatie waarbij werknemers terecht kunnen? Herken jij zelf wel alle signalen van phishing? Doe de test op: https://www.safeonweb.be
- Downloaden van software: heel vaak downloaden werknemers software op eigen houtje om bepaalde taken voor hen gemakkelijker te maken. Het IT-departement is hier meestal niet van de op hoogte en kan dus ook op die manier de risico’s niet inschatten. Dit fenomeen noemt men ‘shadow IT’. Worden werknemers hierop gewezen? Is er een procedure uitgewerkt zodat software enkel geïnstalleerd kan worden door personen met ‘administrator rechten’ (bijvoorbeeld het IT-departement)? Dit impliceert uiteraard dat slechts een beperkt aantal personen ‘administrator rechten’ zouden mogen hebben. Zijn er duidelijke regels gedefinieerd rond het toekennen/verwijderen van deze rechten en worden deze strikt nageleefd?
- Clean desk & lock screen: Wordt bij werknemers de gewoonte aangeleerd om bij het verlaten van hun werkplek gevoelige informatie steeds op te bergen in een beveiligde ruimte, bijvoorbeeld een afgesloten archiefkast of lade? Hetzelfde geldt voor de computer: vergrendelen werknemers deze steeds wanneer ze niet op hun plek zitten, zodat er tijdens hun afwezigheid geen ongewenste bezoekers toegang verkrijgen tot bedrijfsinformatie? Het effectief toepassen van de procedures kan als interne auditor snel gecontroleerd worden door even op de werkplek rond te lopen.
Zo ziet u maar dat u als interne auditor geen IT-techneut hoeft te zijn om cyberrisico’s op te nemen in het auditprogramma. Kan u nog wat hulp en expertise gebruiken bij het opzetten van een pragmatisch auditprogramma rond informatie- en cyberrisico’s? Dan hebben wij bij vestigium en zusterbedrijf clipeum de nodige kennis in huis.
Aarzel dus niet om ons te contacteren bij vragen! Stuur een e-mail naar info@vestigium.be of bel ons op +32 9 378 38 28 voor meer informatie.
Jolien Vromant - 2 april 2019