close
Share with your friends

COVID-19 virus en IT risico’s: "Durf in ondenkbare scenario’s te denken om IT risico’s te beheersen"

COVID-19 virus en IT risico’s

Het COVID-19 virus was door vrijwel niemand voorzien en heeft niet alleen een grote impact op mensen en processen, maar ook op IT. Dit stelt organisaties voor grote uitdagingen en daarmee risico’s die eerder misschien ondenkbaar leken.

Gerelateerde content

COVID-19 virus en IT risico’s

Het tijdig inspelen op de gevolgen van het COVID-19 virus is al lastig genoeg en als je dan de onderlinge relaties niet scherp hebt wordt het tijdig en juist ingrijpen niet gemakkelijker. Steeds meer bedrijven zijn in staat om in risico's te denken, maar het daadwerkelijk omzetten in een plan blijkt lastig doordat risico's ook elkaar beïnvloeden. In de praktijk zien wij dat de risico's, hun onderlinge relaties en impact bij de meeste bedrijven niet in kaart zijn gebracht. Ben je niet al te laat om deze afhankelijkheden in kaart te brengen? Wij denken van niet. Er komt nog steeds van alles op bedrijven af en deze crisis is nog niet over. In deze blog beschrijven wij de effecten en risico's op IT systemen.

 

Het is tijd om met een frisse blik naar IT risico's te kijken en durf daarbij het ondenkbare te denken. Wat als bijvoorbeeld de helft van de wereldbevolking ziek wordt en mogendheden daarvan gebruik gaan maken met behulp van bijvoorbeeld cyberaanvallen? Voor IT betekent dit dat het noodzakelijk is om correlaties te zien tussen de verschillende elementen. Binnen het IT domein zijn risico's met elkaar verbonden. Dit kan als gevolg hebben dat getroffen beheersingsmaatregelen (om risico's af te dekken) leiden tot nieuwe risico's. Bijvoorbeeld als vanwege de continuïteit van werkzaamheden (bijvoorbeeld door ziekte) toegangsrechten tot data en systemen voor medewerkers uitgebreid worden, er een nieuw risico ontstaat dat deze medewerkers te ruime toegangsrechten krijgen, waar misbruik van gemaakt kan worden. Welke risico's zien we op dit moment?

Infographic- Opsplitsen van teams

Risico's in huidige situatie

Beschikbaarheid / continuïteit van data en systemen

Als gevolg van de uitbraak van het Corona virus moeten veel mensen noodgedwongen vanuit huis werken. Dit brengt uitdagingen met zich mee over de capaciteit van het netwerk (VPN / Citrix) om vanuit huis met centraal opgeslagen documenten te werken, overleggen met elkaar te voeren (audio/video conferencing via internet) en in bedrijfsapplicaties te werken. Van deze laatste is het nog niet altijd vanzelfsprekend dat deze applicaties met een verbinding van buitenaf benaderd kunnen worden.

Nog niet lang geleden was er sprake van kwetsbaarheden in het op afstand werken met Citrix oplossingen. Toen kon nog een maatregel genomen worden om medewerkers niet meer op afstand te laten werken en het gebruik van Citrix te deactiveren. Ten tijde van het noodgedwongen thuiswerken kan een dergelijke maatregel niet getroffen worden indien opnieuw een ernstig lek gevonden wordt in dergelijke software.

Vertrouwelijkheid van data en systemen

Om de voorgaande risico’s ten aanzien van beschikbaarheid van data en systemen en voldoende capaciteit voor IT ondersteuning op te vangen zien we dat organisaties maatregelen nemen. Er wordt bijvoorbeeld voor gekozen om vergelijkbare werkzaamheden in afgesplitste teams te beleggen en/of toegangsrechten tot data en systemen uit te breiden voor medewerkers. Dit kan een nieuw risico introduceren dat medewerkers met uitgebreide toegangsrechten tot data en systemen in staat gesteld worden om kritische combinaties van activiteiten uit te voeren met mogelijk zelfs met misbruik als gevolg.

Voldoende medewerkers ter ondersteuning van de IT processen

Met name bij kleinere organisaties zien we dat de afhankelijkheid van een of enkele medewerkers heel groot is ten aanzien van de IT ondersteunende processen. Als deze medewerkers uitvallen doordat zij getroffen worden door het COVID-19 virus, is er dan een andere medewerker die de IT ondersteuning kan overnemen?

Bescherming van privacygevoelige gegevens

Het raadplegen en verwerken van privacygevoelige gegevens vindt normaal gesproken plaats in een gecontroleerde omgeving op de bedrijfslocatie. Met het thuis werken worden deze gegevens geraadpleegd en verwerkt in een thuis omgeving met minder maatregelen.

Zicht op gebruik van IT assets

Veel bedrijven willen hun medewerkers faciliteren in het thuis werken door het meegeven van IT assets, zoals beeldschermen, toetsenborden, etc. Hierdoor verdwijnen dergelijke assets uit het zicht van de organisatie en ook niet iedere organisatie heeft een proces ingericht om dit goed te faciliteren en te registreren. Hierdoor bestaat het risico dat uitgegeven IT assets niet meer geretourneerd worden.

Integriteit van data en systemen

Als medewerkers op een bedrijfslocatie aan het werk zijn, dan is er vrijwel altijd sprake van een vorm van sociale controle door collega’s. Met het (volledig) thuis werken komt deze vorm van sociale controle te vervallen. Dit kan leiden tot een verhoogd risico op onjuiste verwerking van transacties, zowel opzettelijk als niet opzettelijk.

Het is goed om na te denken wat voor jouw organisatie bij bovenstaande risico’s belangrijker is: continuïteit of het weren van kwetsbaarheden naar buiten toe? Ook dient goed nagedacht te worden hoe deze risico’s zich met elkaar verhouden. Vanuit onze ervaring zien we dat risico’s met elkaar verbonden zijn maar ook dat als je probeert een risico’s af te dekken dit weer andere risico’s met zich mee brengt. Als organisatie is het belangrijk om na te denken welke risico’s je wilt en kunt indekken. Dit kan door middel van prioritering, bijvoorbeeld door vertrouwelijkheid boven beschikbaarheid/ continuïteit te plaatsen. Echter kan het ook zo zijn dat vertrouwelijkheid op een andere manier afgedekt kan worden waardoor beide risico’s beheersbaar blijven. 

Relaties tussen risico’s

Wij zullen hieronder een aantal voorbeelden nader toelichten hoe nagedacht kan worden over de samenhang van risico’s, hierin zullen we aangeven hoe een risico niet op zichzelf staat maar altijd verbonden is met andere risico’s. 

Opsplitsen van teams

Om enerzijds het ‘key man risk’ af te dekken en anderzijds privacy van data te behouden wordt er gewerkt met 2 teams (A en B team). Wanneer team A fysiek aanwezig is dient team B thuis te werken en vice versa, dit om zo de kans op besmetting te verminderen en te voorkomen dat een hele afdeling uitvalt en je als organisatie beschikbaar blijft. Om contact te houden met alle medewerkers kan er gebruik worden gemaakt van Microsoft Teams of  Skype for Business (let op dat normale Skype geen bescherming biedt aan het lekken van data). 

Infographic- Opsplitsen van teams

Cyber maatregelen

We zien dat er op dit moment meer aandacht is voor cyber, organisaties weten dat ze nu extra kwetsbaar zijn door fysieke verspreiding van werkplekken en medewerkers zijn meer dan eens kwetsbaar. Bij het op afstand werken wordt de netwerkcapaciteit al zwaarder belast dan reglier. Een DDOS aanval kan dan fataal zijn voor de continuïteit. Ook zullen cyber criminelen juist nu proberen om gegevens te verzamelen. Bescherming van privacygevoelige gegevens is meer dan eens belangrijk. Het is dus belangrijk om goed inzichtelijk te hebben waar IT assets zich bevinden om een juiste monitoring te laten plaatsvinden, we zien dan ook dat organisaties SIEM monitoring aanscherpen. 

Infographic- Cyber

Netwerk capaciteit

Om thuiswerken mogelijk te kunnen maken is er door organisaties vooraf getest of een netwerk dit aankan. Het is raadzaam om een test als deze ook in de toekomst uit te blijven voeren. Dit om het risico op beschikbaarheid te beheersen, maar ook de beschikbaarheid van medewerkers. Kan het netwerk het aan om met zoveel medewerkers tegelijk hier gebruik van te maken? Verder dient er ook nagedacht te worden hoe afgenomen capaciteit snel aangepast kan worden. Dit vergt mogelijk aanpassing van contracten met service leveranciers.

Infographic- Netwerk capaciteit

Integriteit

Door tijdelijk verhoogde rechten en minder sociale controle heb je een verhoogde kans op interne fraude. Wees hier alert op en overweeg extra handmatige controles. Ook speelt mee dat er een verhoogde kans bestaat dat privacy gevoelige gegevens op een onvoldoende veilige manier verwerkt of vernietigd worden. Het kan geen kwaad om bij medewerkers onder de aandacht te brengen dat documenten vernietigd dienen te worden conform het vernietigingsbeleid.

Infographic- Netwerk capaciteit

Noodregistratie

Doordat medewerkers waar mogelijk nu thuis zullen werken is het belangrijk om een juist beheer van systemen en IT-assets bij te houden, dit kan door middel van een noodregistratie. Dit om later te voorkomen dat veel IT-assets onvindbaar blijken, ook een juiste registratie van uitgeven laptops is hierin belangrijk.

Infographic - Noodregistratie

Het is dus belangrijk om in tijden als deze aandacht te hebben voor passende risico’s en daarop te acteren, zonder een juiste aanpak hierop zullen organisaties voor situaties komen te staan die een paar weken terug nog als ondenkbaar leken. 

Noodzaak van een Business Continuity Plan

Durf het ondenkbare te denken. Wat als het land in een volledige lockdown gaat of als deze situatie nog enkele maanden voortduurt? Wat als in diezelfde periode een verhoogd niveau van cyber aanvallen plaatsvindt? En wat als er dan ook een verhoogde kans van fraude door interne medewerkers is (bijvoorbeeld door tijdelijk uitgebreide toegangsrechten)? Bent u dan wel voldoende beveiligd?

Organisaties die van tevoren hebben nagedacht over een duidelijk Business Continuity Plan zijn beter voorbereid op de vraag “Hoe houd ik mijn medewerkers aan het werk tijdens een calamiteit?”. Deze organisaties zijn op dit moment beter in staat om diensten te blijven verlenen en de risico’s zoveel mogelijk te beperken. Vaak hebben deze organisaties ook al nagedacht over de verbanden tussen risico’s in situaties van calamiteiten.

Als u contact met ons wilt opnemen, dan vindt u hieronder de contactgegevens van de auteurs.

Arno Kroese
Senior Manager, IT Assurance & Advisory
T: +31 20 656 8016
M: +31 6 2227 4085
E: kroese.arno@kpmg.nl

Anna Draaijer
Manager, IT Assurance & Advisory
T: +31 20 656 8975
M: +31 6 1583 3126
E: draaijer.anna@kpmg.nl

© 2021 KPMG N.V., a Dutch limited liability company and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.


For more detail about the structure of the KPMG global organization please visit https://home.kpmg/governance.

Neem contact met ons op

 

Wilt u een offerte van ons ontvangen?

 

loading image Vraag een offerte aan

Mijn profiel

Blader door artikelen en kies uw interesses.

Sign up today