Netherlands

AGRC Risk Impact: Cyberrisico’s bij cloudsourcing vragen om betere bescherming

 

Editie Juli/Augustus 2016

Risk Impact is een uitgave van Aon Global Risk Consulting (AGRC), waarin de actuele risico’s en hun potentiële impact voor het Nederlands bedrijfsleven worden besproken. Iedere maand blikken we terug: wat speelt er in de wereld, wat betekent dit voor u en wat kunt u doen om de impact op uw bedrijf te beheersen en beperken?

Uitbesteden van IT-beheer, data opslag in de cloud en inkoop van software bij derden: het levert bedrijven veel voordelen op. Maar er zijn steeds meer risico’s in de cloud, signaleert het kabinet: ransomware bijvoorbeeld, en digitale fraude. Dat vraagt om betere bescherming en stelt nieuwe eisen aan het risicomanagement bij cloudsourcing. Aon zet ze voor u op een rij.

Cyberrisico’s staan hoog op de maatschappelijke risico-agenda, blijkt uit de standpunten van het huidige kabinet over technologische innovatie en digitalisering. Gijzeling van systemen door cybercriminelen (‘ransomware’) is een groeiend probleem, net als digitale fraude door manipulatie van systemen.

Tegelijkertijd eist de wet meer van organisaties die gegevens verwerken als het gaat om privacybescherming. De focus ligt op wat individuele bedrijven en organisaties kunnen doen om beter beschermd te zijn. Wat dit betekent voor de samenwerking met een groeiend aantal leveranciers van ICT-diensten en databewerkers, krijgt echter nog weinig aandacht.

Cloudsourcing en Software as a service
Was de ‘cloud’ vijf jaar geleden nog omstreden, tegenwoordig is uitbesteding van ICT-kernfuncties aan derden gemeengoed. Cloudsourcing biedt organisaties de kans om de eigen ICT-investeringslast te beperken. IT-beheer uitbesteden aan gespecialiseerde derden levert daarnaast vaak een impuls voor de kwaliteit, continuïteit en security van IT-diensten. Dé oplossing voor veel inherente IT-problemen.

Naast uitbesteding van kernfuncties als data storage, netwerk en infrastructuur, maken organisaties steeds vaker gebruik van door derden ontwikkelde en beheerde applicaties. Denk aan boekhoudpakketten, HR-systemen, applicaties voor commerciële doeleinden (CSM) of plannings- en logistieke ondersteuning (ERP). Deze applicaties zijn vaak cloud based en drukken de kosten van ontwikkeling en beheer van eigen applicaties. Software as a service, het is inmiddels staande praktijk.

Risico’s voor de opdrachtgever
Deze ontwikkelingen maken van bedrijven en (semi-)overheden digitale netwerkorganisaties, in een landschap van verschillende IT-leveranciers. De samenwerking in de digitale supply chain biedt voordelen, maar vraagt ook om gezamenlijke aandacht voor de risico’s. Die verdwijnen niet na het ondertekenen van een contract: ze blijven in de meest gevallen zelfs de directe verantwoordelijkheid van de opdrachtgever.

Daarnaast is het de vraag hoe uitbestedingspartners op hun beurt de kwaliteit, continuïteit, veiligheid en privacy van klanten waarborgen. Leveranciers van ICT-diensten en databewerkers kunnen net zo goed doelwit zijn van cybercriminaliteit. En ook zij kunnen een datalek veroorzaken, met mogelijk grote impact voor hun klanten.

Nieuwe eisen aan risicomanagement
Samenwerken met ICT-dienstverleners en databewerkers stelt nieuwe eisen aan risicomanagement:

  • De opdrachtgever moet goed zicht hebben op de risico’s die gemoeid zijn met uitbesteding in de digitale keten.
  • Risicomanagement moet een vast onderdeel zijn van het inkoop- en aanbestedingstraject.
  • De opdrachtgever moet expliciet duidelijk maken welke eisen er op het gebied van kwaliteit, continuïteit, security en privacy aan de dienstverlening worden gesteld.
  • ICT-dienstverleners en databewerkers moeten kunnen aantonen dat risicobeheer ook bij hen in goede handen is. Bijvoorbeeld op basis van relevante certificering.
  • Eisen ten aanzien van risicobeheer moeten worden opgenomen in de af te sluiten contracten en service level agreements.
  • Opdrachtgevers moeten te allen tijde inzage kunnen hebben in de voor hen relevante risico’s bij uitbestedingspartners en desgewenst audits kunnen uitvoeren.
  • In geval van incidenten die impact kunnen hebben voor de opdrachtgever moet zwart op wit staan hoe opdrachtgever en dienstverlener snel en adequaat zullen handelen om de gevolgen te beperken.
  • Uitbestedingspartners dienen te beschikken over toereikende financiële waarborgen, bijvoorbeeld in de vorm van een (cyber)verzekering.