Waarom incident- en probleemmanagement zo belangrijk zijn

Incident en probleem management, hoe past het in jou risicomanagement proces? Moet een risk manager betrokken worden bij ieder incident en probleem? In deze blog gaan we de relatie tussen incident-, probleem- en risicomanagement nader bekijken.

Risicomanagement mitigeert niet alle incidenten

Als eerste is het goed om te stellen dat een effectief risicomanagement proces niet alle incidenten en problemen optreden binnen jou organisatie gaan stoppen. Risicomanagement wordt uitgevoerd met een bepaald doel om een vooraf bepaald level van risico’s te behandelen.
Bijvoorbeeld, één printer die niet werkt zal niet direct meegenomen worden in het risico en control framework. Echter, als drukmachines in een drukkerij niet functioneren en dit niet wordt opgelost binnen een bepaalde periode kan dit de kritische bedrijfsprocessen verstoren. Die informatie zal wel relevant zijn in je risico management proces. Een DDoS aanval op een niet kritische server welke geen kritische bedrijfsprocessen verstoord hoeft niet relevant te zijn in je risico en control framework, echter, als het regelmatig voorkomt en een website is niet bereikbaar kan het een risico worden dat je wel wilt opnemen in je framework.

Juiste registratie van incidenten en problemen

Data van incidenten en problemen kunnen bijzonder relevant zijn in het risicomanagement proces als de data goed geanalyseerd kan worden. Door problemen en incidenten strategisch te categoriseren met impact en onderwerp kan een high-level overzicht verkregen worden van de kwetsbaarheden. Door dit te combineren met de impact kan een overzicht gemaakt worden met risico’s die mogelijk opgenomen kunnen worden in het risico management framework. Hiermee draagt een effectief en efficiënt incident en probleem management proces bij aan het up-to-date houden van je risico management framework.

Meten van de effectiviteit van het risico management proces

Bij het adequaat registreren van incidenten en problemen, en het ‘tunen’ van de categorieën tussen het risico-, incident- en probleem management proces, kan de effectiviteit van het risicomanagement worden gemeten. Bijvoorbeeld, als cybersecurity een hoog risico vormt en je ontdekt dat de beschikbaarheid van je webshop is afgenomen door een toename aan cyber attacks, zal je de maatregelen omtrent cybersecurity willen verbeteren of herzien. Anderzijds kan dan gemeten worden of de maatregelen die zijn genomen effectief werken door het zien van een afname van cyber attacks.

Het gebruik van een effectief incident- en probleemmanagementproces kan dus bijdragen aan het updaten en monitoren van je risicomanagement proces.

Auteur: Jouke Albeda

Het belang van ‘right-to-audit’.

Een redelijk standaard onderdeel van menig contract met een leverancier is het recht op audit. Het lijkt er echter op dat het recht op audit sporadisch wordt ingezet. Grote ondernemingen lijken langzaam het belang in te zien van het inzetten van dit recht (naast het gebruik maken van ‘third party reporting’ en assurance als ISAE 3402 en SOC 2). De reden? Het ‘in-control’ zijn!

Right-to-audit

Verstoringen in de service

Onderzoek van het Business Continuity Institute laat zien dat meer dan de helft van de organisaties verstoringen ondervinden in de levering van diensten vanuit hun leveranciers (BCI Supply Chain Resiliency Report 2019). Verstoringen binnen de IT spelen een significante rol in de verstoringen die een impact hebben, waaronder ongepland uitval van IT of telecom (44%) en cyberaanvallen en gegevenslekken (26%). De financiële impact van alle verstoringen vanuit de leveranciers is meer dan één miljoen euro voor 10 procent van de organisaties. We kunnen stellen dat de impact van een verstoring bij een leverancier op je bedrijfsproces niet moet worden gebagatelliseerd. Het is een risico om serieus te nemen.

Monitoren van specifieke/aangepaste afspraken

Het merendeel van de leverancier snap dat derde verklaringen cruciaal zijn om een serieuze speler te zijn in de dienstverlening naar de grote organisaties. Echter, een derde verklaring geeft specifiek inzicht in de maatregelen waar een leverancier op wil rapporteren. Met de komst van de SOC 2 standaard is een meer gestandaardiseerd framework geïntroduceerd voor de audit. De maatregelen die worden getoetst dekken echter wel de meer generieke onderwerpen.

3angles is een nieuwe en onderscheidende speler in de markt van Risk, Audit & Compliance diensten.

Bij het gebruik maken van een leverancier voor specifieke diensten kan het zijn dat risico’s vanuit het risico assessment van de organisatie niet worden gedekt met de doelstellingen en maatregelen die de leverancier op heeft genomen in de derde verklaring. Ook zullen specifieke afspraken niet gedekt worden door de verklaring van de leverancier. Met dit in het achterhoofd kan het nodig zijn om een (beperkte) audit uit te voeren bij de leverancier om meer inzicht te krijgen in de uitvoering van specifieke afspraken en om meer zicht te hebben in de effectiviteit van maatregelen van de leverancier die naar voren komen in de eigen risico assessment.

Voldoen aan wet- en regelgeving (specifiek privacy)

Uiteraard is iedere organisatie zelf verantwoordelijk om te voldoen aan de wet- en regelgeving. Echter, als een bedrijf niet volledig voldoet aan wet- en regelgeving kan het mogelijk impact hebben op het merk van de organisatie. Wat gebeurt er als data wordt ontvreemd of verspreid dat is uitbesteed aan een leverancier? Zullen jou klanten jou beveiliging nog wel vertrouwen?

Om meer grip te krijgen op gegevensbescherming kan het uitvoeren van een audit bij de leverancier helpen. Naast dat het meer vertrouwen geeft in de vertrouwelijkheid, integriteit en beschikbaarheid van de data en verwerkingen die worden geoutsourcet, kan het gebruikt worden in het verwerkingsregister welke opgevraagd kan worden bij een audit van bijvoorbeeld de autoriteit persoonsgegevens.

Of er wel of geen specifieke afspraken of SLA’s zijn met de leveranciers, het gebruik maken van het recht op audit kan bevorderlijk zijn voor de organisatie. Een audit op het opzet en bestaan van procedures en/of maatregelen van de belangrijkste leverancier kan al veel inzicht geven in de beheersing van je meest kritische gegevens. Op basis van de risico’s (impact x waarschijnlijkheid) kan gekozen worden voor een diepere audit en kan ervoor worden gekozen om naast opzet en bestaan, ook de werking van procedures en maatregelen te toetsen.

Auteur: Jouke Albeda