Skip to main content

Blog Archives

Older posts

De kracht van samenwerking tussen de 3 lijnen

Samenwerking binnen de Three Lines: meer dan structuur

Het three lines model is een bekend concept binnen governance, risicomanagement en compliance. Toch zien we in de praktijk dat samenwerking tussen de drie lijnen vaak nog onvoldoende wordt benut. De ideale inrichting draait niet alleen om heldere rollen en verantwoordelijkheden, maar vooral om effectieve afstemming en gezamenlijke aanpak.

Waarom samenwerking essentieel is

Wanneer de eerste lijn (operationeel management), tweede lijn (risicomanagement en compliance) en derde lijn (interne audit) elkaar versterken, ontstaat een robuust netwerk van checks & balances. Dit voorkomt dubbel werk en zorgt dat risico’s tijdig worden gesignaleerd en beheerst. Samenwerking betekent niet alleen overleg, maar ook het slim inzetten van instrumenten zoals Assurance Mapping.

Assurance Mapping: inzicht en afstemming per risicothema

Assurance Mapping is een krachtig hulpmiddel om per risicothema inzichtelijk te maken:

  • Welke risico’s spelen er?
  • Welke beheersmaatregelen en controles zijn al aanwezig?
  • Wie doet wat (eerste, tweede, derde lijn of zelfs daarbuiten) en welke zekerheden ontlenen we daar al aan?

Door deze mapping ontstaat overzicht en voorkom je overlap in monitoring en toetsing. Het maakt duidelijk waar nog gaten zitten en waar samenwerking nodig is om volledige dekking te realiseren.

Voordoen, samendoen, zelf doen: maatwerk per thema

Niet elk risicothema vraagt dezelfde aanpak. Afhankelijk van de volwassenheid van processen en teams kun je werken volgens het principe:

  • Voordoen: de tweede of derde lijn neemt het voortouw en laat zien hoe het moet.
  • Samendoen: samen uitvoeren om kennis en vaardigheden op te bouwen.
  • Zelf doen: de eerste lijn neemt verantwoordelijkheid, met de andere lijnen als sparringpartner.

Deze aanpak stimuleert groei en eigenaarschap, terwijl de organisatie als geheel sterker wordt in risicobeheersing.

ARC People als partner

Bij ARC People geloven we dat de ideale inrichting van de three lines begint bij samenwerking én vaktechnische scherpte. Met onze GRC-scan brengen we niet alleen de formele structuur in kaart, maar ook de mate van samenwerking en volwassenheid per thema. Vervolgens adviseren we over verbeteringen en begeleiden we de implementatie in co-creatie. Zo realiseren we een inrichting die niet alleen voldoet aan eisen van toezichthouders, maar vooral waarde toevoegt aan uw organisatiedoelen.

Wilt u eens sparren over de ideale samenwerking in the Three lines?

Neem contact met ons op voor een vrijblijvend adviesgesprek. Samen kunnen we hoogstwaarschijnlijk de effectiviteit van de (samen)werking in de Three lines verder verstevigen.

Diensten Contact

Carpetright got IT wrong

Onlangs las ik in het FD dat winkelketen Carpetright failliet is gegaan. Altijd pijnlijk om te lezen: ondernemers die hun nek hebben uitgestoken en personeel dat nu hun baan verliest. Toch ben ik als professional vooral benieuwd naar de oorzaken. Niet uit sensatiezucht, maar om ervan te leren. Was het een gebrek aan marktgevoel, te hoge kosten, onvoldoende digitalisering, of simpelweg pech met de conjunctuur?

Volgens het curatorsverslag waren er twee hoofdredenen: een afgeboekte lening aan de Britse moedermaatschappij én een fout in de omzetregistratie door een nieuw IT-systeem. Juist dat laatste intrigeerde mij. Het systeem was bedoeld om de financiële problemen te verlichten en efficiënter te werken, maar leidde tot een forse fout: omzet werd dubbel geteld. De daadwerkelijke omzet bleek dus lager dan gedacht, met alle gevolgen van dien.

Dit roept de vraag op: hoe voorkom je zulke fouten bij de implementatie van nieuwe IT-systemen? Natuurlijk is het makkelijk praten vanaf de zijlijn, zeker als gezien de tijdsdruk waaronder Carpetright acteerde. Maar juist in het digitale tijdperk is beheersing van essentiële IT-systemen cruciaal. Hoe zorg je dat je de doelen van een implementatie daadwerkelijk realiseert?

Er zijn uiteraard vele maatregelen die je kunt treffen om te zorgen voor de goede implementatie van een nieuw IT systeem. Wanneer je specifiek focust op het beheersen van het risico van onjuiste informatie uit het systeem, noem ik hiervoor de volgende maatregelen:

  • Start elk IT-project met een heldere risicoanalyse, gericht op de doelstellingen van het systeem. Breng expliciet het risico van onjuiste informatie in kaart en bepaal passende mitigerende maatregelen.
  • Voer uitgebreide tests uit, gebaseerd op een gedegen testplan en testcases die aansluiten bij de werkelijkheid. Betrek gebruikers bij het testen.
  • Train medewerkers in het gebruik van het systeem. Neem hen ook mee in het herkennen van risico’s, zodat zij optreden als eerste signaalfunctie. Bewustwording is een belangrijke preventieve maatregel.
  • Zorg voor een goed nazorgtraject na implementatie. Gebruik data-analyses (bijvoorbeeld door verschillende bronsystemen met elkaar te vergelijken) om fouten en onlogische zaken op te sporen.
  • Overweeg een onafhankelijke review op het project en het IT-systeem zelf, door bijvoorbeeld goede Quality Assurance in te richten. Dit helpt om blinde vlekken te voorkomen en tijdig bij te sturen.

Voor de betrokken ondernemers is dit allemaal mosterd na de maaltijd. Maar hopelijk helpt het anderen om bij een IT-implementatie extra scherp te zijn op de juistheid van informatie. Zelf zijn wij recent ook overgestapt op een nieuw bronsysteem en dit verhaal is voor mij een extra reden om daar zelf ook nog eens kritisch naar te kijken.

Meer weten over projectbeheersing?

Wil je meer weten over projectbeheersing of gewoon een keer hierover sparren?

Neem contact met ons op voor een vrijblijvend adviesgesprek. Samen tillen we jouw projectbeheersing naar een hoger niveau!

Quality Assurance Marc van Heese

ARC (vak)praat met… Jorg Voeten, Head of Risk & Compliance bij CM.com

Introductie en aanleiding

Jorg Voeten en Sander van Oosten kennen elkaar al geruime tijd. Dit gesprek kwam tot stand na enkele posts van Sander. Daarin schreef Sander over de toegenomen verantwoordelijkheden in ons werkveld en benoemde hij de vele risico’s en de nieuwe wetgeving die op ons afkomen. In dit gesprek gaat Jorg in op de consequenties van deze ontwikkelingen; voor het Risk & Compliance veld in brede zin én voor zijn verantwoordelijke rol als Head of Risk & Compliance bij CM.com.

Loopbaan en ervaring

Jorg heeft een rijke carrière in Risk & Compliance, met eerdere functies bij KPMG, KPN en Exact. Hij denkt dat zijn brede ervaring hem helpt om Risk & Compliance te verbinden met de bedrijfsstrategie: “Ik heb altijd raakvlakken gehad met of ben betrokken geweest bij de business. Ik ben niet een traditionele Risk & Compliance manager, puur acterend vanuit de second line van het three lines model, denk ik. Ik heb een bedrijfskundige achtergrond en ben bij veel operationele processen betrokken geweest.” Deze combinatie van kennis en praktijkervaring maakt dat hij Risk & Compliance niet als geïsoleerde domeinen ziet. Zijn functie vraagt om zowel overzicht als diepgang, omdat hij voortdurend moet schakelen tussen strategisch beleid en operationele details.

Cultuur en organisatie

CM.com is een fintech-organisatie met vier business units. Jorg rapporteert direct aan de CFO en onderhoudt daarnaast informele lijnen met de CEO en de Raad van Commissarissen (via de audit committee). CM.com heeft een mooie en bijzondere cultuur, die vrijheid en ondernemerschap stimuleert. “Het motto is: doe wat je leuk vindt, doe waar je goed in bent en draag bij”. Dat vraagt ook om duidelijke kaders, die de vrijheid in perspectief van bijvoorbeeld goed ondernemerschap en wetgeving plaatst. Daar zit af en toe een spanningsveld, want compliance en risicomanagement zijn niet de eerste onderwerpen waar iemand in sales bijvoorbeeld aan denkt. In zijn ogen kan risicomanagement, bijvoorbeeld via ISO-certificeringen, juist een driver voor sales zijn, als trust enabler van de CM.com diensten.

Jorg ziet verschillen in volwassenheid binnen de organisatie, meestal logisch verklaard doordat het een nieuwe of overgenomen business unit betreft. Dit vraagt soms een andere benadering van het Risk & Compliance team. Minder volwassen teams, of waar nieuwe onderwerpen relevant worden, worden vanuit het Risk & Compliance team meer ondersteund in de implementatie, daar waar het team zich meer richt op testen van de interne beheersing (internal controls) bij meer volwassen teams. Zijn eigen team bestaat uit Risk & Compliance specialisten met diverse achtergronden, en door de hoeveelheid thema’s die er op hen afkomen, is prioriteren essentieel.

Risk & Compliance: what’s in the name?

Als het over Compliance gaat, geeft Jorg aan dat hij Compliance als één van de invalshoeken van Risicomanagement beschouwt, net zo goed als security een invalshoek kan zijn, of de business objectives. “Uiteraard is Compliance meer dan alleen het voldoen aan regels.” Jorg onderstreept het belang van bedrijfswaarden en integriteit. En er komt steeds meer nadruk te liggen op het kunnen aantonen van de kwaliteit van de diensten of het aantoonbaar ‘in control’ zijn ten aanzien van het voldoen aan wetten.

Over accountability zegt Jorg: “De veronderstelling is soms, dat als je Riskmanager bent, dat jij de risico’s managet. In mijn ogen is dat een misvatting. Wij moeten het proces van risico managen faciliteren, de methodologie en het enterprise risk management systeem inrichten, onderhouden en verbeteren, maar de verantwoordelijkheid voor het managen van risico’s ligt bij de business zelf.”

Toenemende regeldruk en innovatie

De toenemende regeldruk, vooral vanuit Europa, vraagt volgens Jorg om slimme, pragmatische keuzes en het zoeken naar synergie tussen verschillende kaders. Jorg ziet dat de groeiende hoeveelheid regelgeving vraagt om meer capaciteit, terwijl die niet altijd beschikbaar is. “Niet alle investeringen in compliance en risk management leveren namelijk direct waarde op (zoals omzetgroei), maar ze kunnen wel essentieel zijn voor het behouden van je “license to operate”; het blijft zoeken naar de juiste balans.”

Innovatie ziet Jorg als een kans voor Risk & Compliance. “Innovatie en compliance kunnen elkaar versterken!” Jorg vertelt dat CM.com er bijvoorbeeld voor heeft gekozen om een AI managementsysteem volgens de ISO-standaard (ISO 42001) in te richten. Door als één van de eersten in Nederland zo’n systeem te implementeren, creëert zijn organisatie een “competitive edge” en een “first mover advantage”. “Dit betekent dat het voldoen aan (nieuwe) regels niet alleen wordt gezien als een verplichting, maar juist als een kans om het product betrouwbaarder, onderscheidender en aantrekkelijker te maken voor klanten”, aldus Jorg. “Een ander voordeel is, dat er door de implementatie van deze ISO-standaard al een flinke stap is gemaakt om aan de AI-Act te gaan voldoen.”

Oplossingen voor toenemende druk

Het omgaan met regeldruk, meer risico’s en groeiende verantwoordelijkheden vraagt om een combinatie van strategische keuzes, pragmatisme, innovatie en samenwerking. Jorg benadrukt dat er niet één gouden oplossing is, maar dat het een samenspel is van verschillende benaderingen die elkaar versterken.

Allereerst is het volgens Jorg essentieel om niet alleen reactief te zijn op nieuwe wet- en regelgeving, maar juist proactief te anticiperen op wat er op de organisatie afkomt. Dit betekent dat je als Risk & Compliance professional voortdurend de ontwikkelingen in het vakgebied volgt, deelneemt aan relevante netwerken en vakgroepen, en actief de dialoog zoekt met collega’s, management en externe partijen. “Ik denk dat het sowieso voor iedereen in het Risk & Compliance werkveld goed is om aan te sluiten bij of op de hoogte te blijven van ontwikkelingen, bijvoorbeeld via vakgroepen, congressen en nieuwsartikelen”, aldus Jorg. Het is ook leuk en leerzaam om persoonlijk actief bij te dragen aan ontwikkelingen in het werkveld. Zo zit Jorg in een werkgroep van de Online Trust Coalitie (een Publiek Private Samenwerking), om te komen tot “operationalisatie van Europese regelgeving: van individuele vereisten naar een herhaalbaar model”. Ook is Jorg, namens CM.com, via de Bedrijfsadviesraad als werkveldvertegenwoordiger nauw betrokken bij de ontwikkeling van de Bedrijfskunde opleiding van Avans hogeschool en neemt hij deel als gecommitteerde bij afstudeerzittingen voor Bedrijfskunde en Finance & Control opleidingen.

Een tweede belangrijke mogelijkheid is het zoeken naar synergie en standaardisatie. Jorg beschrijft hoe zijn organisatie werkt aan het in kaart brengen van overlappende eisen uit verschillende wetgevingen en normen, om zo te voorkomen dat dezelfde controlemaatregelen telkens opnieuw moeten worden ingericht. Door processen en beheersmaatregelen slim te koppelen aan meerdere kaders, wordt het werk efficiënter en overzichtelijker. “Ik geloof er echt in dat je zoveel mogelijk moet proberen om zaken eenmalig, direct goed te implementeren. Eenmaal toetsen zorgt vervolgens ervoor dat je verantwoording kunt afleggen over verschillende kaders en voor verschillende doeleinden.”

Innovatie speelt een steeds grotere rol in het omgaan met regeldruk. Jorg noemt de inzet van AI en automatisering als een manier om sneller en slimmer te werken. AI wordt gebruikt om grote hoeveelheden informatie te verwerken, wetgeving te analyseren en complianceprocessen te ondersteunen. Ook worden er agents gebouwd die medewerkers helpen om snel antwoorden te vinden op compliance-vragen, en worden monitoring- en controlprocessen steeds verder geautomatiseerd. Tegelijkertijd waarschuwt Jorg dat automatisering alleen werkt als de onderliggende processen voldoende gestandaardiseerd zijn en de data van voldoende kwaliteit is: “Ik geloof er ook in dat wij als tweedelijns team effectiever kunnen worden als de eerste lijn veel meer gaat simplificeren en standaardiseren. Als zij dezelfde werkwijzen gaan hanteren, kunnen wij ook makkelijker geautomatiseerd testwerk gaan doen.”

Een andere mogelijkheid die Jorg benoemt, is het bewust prioriteren en keuzes maken. Niet alles hoeft tegelijk en niet alles kan even diepgaand worden opgepakt. Het is belangrijk om samen met het management expliciet te bepalen welke onderwerpen prioriteit krijgen en welke (tijdelijk) minder aandacht krijgen. Dit vraagt om transparantie en het vastleggen van gemaakte keuzes, zodat achteraf duidelijk is waarom bepaalde risico’s of compliance-eisen wel of niet zijn opgepakt.

Verder benadrukt Jorg het belang van samenwerking, zowel intern als extern. Door kennis en ervaringen te delen met andere organisaties, vakgenoten en externe adviseurs, kun je sneller leren en profiteren van best practices. Ook binnen de eigen organisatie is samenwerking cruciaal: Risk & Compliance is geen solospel, maar vraagt om betrokkenheid van de business, IT, legal, Security en andere afdelingen.

Tot slot: blijf dromen en reflecteren

Als Jorg vooruitkijkt, benoemt hij: “Ik droom ervan dat Risk & Compliance binnen een paar jaar vanzelfsprekendheid zijn geworden in besluitvorming. Dat het niet als ‘moetje’ wordt ervaren en moeite kost, maar dat het de business echt helpt en als zodanig wordt gezien.”

Tot slot noemt Jorg het belang van reflectie en het durven bijstellen van de eigen aanpak. De context verandert namelijk voortdurend, en het is belangrijk om regelmatig stil te staan bij de effectiviteit van de gekozen strategieën. Soms betekent dit dat je moet accepteren dat niet alles perfect kan zijn, en dat het beter is om pragmatisch te handelen dan te streven naar volledige controle. “Eerlijk naar jezelf durven kijken. Als organisatie, maar zeker net zo belangrijk als persoon. Echt in de spiegel durven kijken en anderen aan jou die spiegel laten voorhouden. Dat is essentieel om keuzes te maken en stappen voorwaarts te zetten. Zonder reflectie is er geen groei”.

Doorpraten over alle ontwikkelingen in Risk & Compliance?

Hartelijk dank voor het lezen van deze bijdrage. Heb je behoefte om door te praten over alle ontwikkelingen die er op ons afkomen….en hoe we daaraan het hoofd kunnen bieden? Neem dan contact op met mij of één van mijn collega’s. Wij staan klaar om eventuele vragen te beantwoorden en je verder te helpen.

Wij streven ernaar om zo snel mogelijk op vragen te reageren. Uiterlijk na één werkdag mag u een reactie verwachten.

Onze diensten Contact

De Cloud Controls Matrix (CCM) als toetsingskader voor interne audits

In een wereld waarin steeds meer organisaties hun data en processen naar de cloud migreren, zijn vragen rondom informatiebeveiliging en compliance rondom Cloud-oplossingen steeds urgenter. Voor internal audit afdelingen is het essentieel om een gestructureerd en erkend toetsingskader te hanteren bij het beoordelen van cloud omgevingen. De Cloud Security Alliance (CSA) biedt hiervoor een krachtig instrument: de Cloud Controls Matrix (CCM). In deze blog verkennen we hoe je de CCM kunt toepassen in internal audits en welke voordelen dit biedt. Tevens geven we een aantal praktijkvoorbeelden.

Wat is de Cloud Controls Matrix (CCM)?

De CSA Cloud Controls Matrix is een uitgebreide set van beheersingsmaatregelen op het gebied van informatiebeveiliging, specifiek ontwikkeld voor cloud omgevingen. Het raamwerk bevat 197 beheersingsmaatregelen, verdeeld over 17 domeinen, waaronder Governance, Risk Management, Compliance, Applicatiebeveiliging en Identity & Access Management. De CCM maakt gebruik van gangbare normen en frameworks zoals ISO 27001, NIST en GDPR, waardoor het zeer geschikt is voor organisaties die te maken hebben met uiteenlopende compliance vereisten.

Hoe pas je de CCM toe in een audit?

De toepassing van de CCM binnen een auditproces verloopt in grote lijnen als volgt (zie ook figuur 1 hieronder):

  1. Scope bepalen: Stel vast welke cloud toepassingen en -diensten binnen de scope van de audit vallen.
  2. Selectie relevante beheersingsmaatregelen: Selecteer, op basis van het risicoprofiel van de organisatie en de relevante wet- en regelgeving, de interne beheersingsmaatregelen uit de CCM die van toepassing zijn.
  3. Toetsing en interviews: Gebruik de geselecteerde interne beheersingsmaatregelen als leidraad voor documentatie reviews, analyses en interviews met key stakeholders.
  4. Gap-analyse en rapportage: Breng in kaart waar de organisatie voldoet en waar verbetermaatregelen nodig zijn. De CCM maakt het eenvoudig om bevindingen te structureren en te relateren aan erkende normen.
Figuur 1 Cloud audit in 4 stappen met CSA CCM

Wat zijn de voordelen van de CCM?

De CCM biedt verschillende voordelen:

  • Toegankelijk en overzichtelijk: Ondanks de omvang is de CCM goed gestructureerd en biedt het een praktische indeling, ook voor middelgrote en kleinere organisaties.
  • Erkenning en aansluiting: Het gebruik van een internationaal erkend framework geeft audits extra waarde richting klanten, leveranciers en toezichthouders.
  • Flexibiliteit: De CCM is modulair inzetbaar. Dit maakt het mogelijk om te starten met de belangrijkste domeinen en later uit te breiden.
  • Benchmarking: Door aansluiting bij andere normen kunnen organisaties eenvoudig hun compliance positie vergelijken met bredere standaarden.
  • Pragmatische adviezen: De genoemde beheersingsmaatregelen bieden goede handvatten om bij bevindingen effectieve adviezen te geven.

Praktijkvoorbeelden:

  • Cloud opslagdienst bij een accountantskantoor: Tijdens een audit bleek dat een accountantskantoor onvoldoende had geborgd dat klantdata in de cloudomgeving uitsluitend toegankelijk was voor geautoriseerde medewerkers. Door toepassing van de CCM-domeinen ‘Identity & Access Management’ en ‘Data Security & Privacy’ werd dit risico inzichtelijk gemaakt en zijn er maatregelen geadviseerd, zoals multi-factor authenticatie en periodieke beoordelingen van toegang.
  • Middelgrote softwareleverancier: Een softwarebedrijf maakte gebruik van een publieke cloud omgeving voor het hosten van klantapplicaties. Met de CCM werd vastgesteld dat het bedrijf geen formeel proces had voor incident management. Door de controls uit het domein ‘Threat and Vulnerability Management’ en ‘Incident Management’ toe te passen, werd een incident response plan opgesteld en periodiek getest.
  • Zorginstelling met cloudapplicaties: Een zorgorganisatie die patiëntgegevens in een SaaS-oplossing verwerkt, werd geaudit op basis van de CCM-domeinen ‘Compliance’ en ‘Privacy & Data Protection Management’. Hieruit bleek dat het verwerkingsregister onvolledig was en dat verwerkersovereenkomsten niet actueel waren. Met behulp van de CCM werden deze tekortkomingen gestructureerd aangepakt.

Conclusie

De CSA Cloud Controls Matrix biedt interne auditors een krachtig en gestructureerd hulpmiddel bij het toetsen van cloud omgevingen. De matrix maakt risico’s inzichtelijk, helpt prioriteiten stellen en ondersteunt bij het aantoonbaar voldoen aan relevante eisen. Met de opgenomen praktijkvoorbeelden wordt duidelijk hoe toepasbaar en effectief de CCM in de praktijk is.

 

Meer weten over beheersing van de Cloud?

Ben je benieuwd hoe de CCM kan bijdragen aan het versterken van jouw cloud audits?

Of wil je samen met ons een cloud risk assessment uitvoeren op jouw cloud omgeving? Neem contact met ons op voor een vrijblijvend adviesgesprek of demo van de CSA Cloud Controls Matrix in de praktijk. Samen tillen we jouw cloud security en compliance naar een hoger niveau!

Cloud Risk Assessment Contact

Navigeren door Onzekerheid: De Rol van Internal Audit in een VUCA Wereld

Er waren al veel spanningen in de wereld: de inval van Rusland in Oekraïne in 2022, de dreiging van een oorlog in Azië (China met Taiwan, spanningen in de Zuid-Chinese zee), een richting van politiek (extreem) rechts in Europa, etc. Na de verkiezing van Trump komen daar nieuwe oorlogsdreigingen (Groenland, Iran) en handelsbarrières bovenop. Wat vroeger een zekerheid leek (bijvoorbeeld Amerika is onze vriend) is tegenwoordig op zijn best twijfelachtig. Aanvullend spelen er klimaatrisico’s en onduidelijkheid over Europese wetgeving (zie het CSRD dossier). Kortom de VUCA wereld (Volatility, Uncertainty, Complexity en Ambiguity) is in alle hevigheid losgebarsten. Het is onzekerheid troef in de bestuurskamers van organisaties.

De beroepsverenging (en veel van haar leden) ziet zichzelf graag als trusted advisor van de board. Door niet enkel hindsight en insight te bieden maar wellicht ook foresight. Door niet alleen focus te leggen op bedreigingen, maar ook op kansen. Als er één moment is waarop Internal Audit relevant kan worden als trusted advisor, dan is het toch nu. Alleen focus op ‘standaard’ onderwerpen en processen door Internal Audit is in deze tijd wel wat karig, maar ook zeker risicovol. Je hoort wel eens: je kan met een goedgekeurde jaarrekening failliet gaan. Dus wat is de toegevoegde waarde van een externe accountant? Als de internal auditor in deze tijd niet oplet, kan dit ook voor hem gaan gelden. Dat gevaar is er zeker wanneer de internal auditor vooral de focus legt op de intern gerichte processen. Je kunt dan een situatie hebben waarbij al je uitgebrachte auditrapporten een positief oordeel hebben, terwijl de organisatie ‘in brand’ staat onder invloed van alle externe ontwikkelingen. Dan heb je wellicht toch de verkeerde auditonderwerpen gekozen (of de audits niet goed uitgevoerd, maar daar gaan we maar even niet vanuit).

Macro-economische en geopolitieke onzekerheid staat in de ‘Risk in focus 2025’ op nummer 5 in de lijst van belangrijkste risico’s, volgens de Chief Audit Executives in Europa. Mijns inziens is dit wat laag maar mogelijk ligt dit aan het feit dat de enquête hiervoor al in het eerste half jaar van 2024 is gehouden[1].

Aan welke onderwerpen kun je dan denken, die meer toegevoegde waarde hebben in deze turbulente wereld? En waar zou je dan de accenten op kunnen leggen? Hieronder volgt een aantal suggesties.

In hoeverre de onderwerpen allemaal relevant zijn, is uiteraard afhankelijk van verschillende factoren, zoals de soort organisatie, in welke markten de organisatie actief is, hoe internationaal georiënteerd etc. Onderstaande opsomming zal dan ook niet overal van toepassing zijn.

Risicomanagement

Start met een audit naar (strategisch) risicomanagement. Om onzekerheid het hoofd te bieden en passende maatregelen te kunnen nemen, is een strategische risicoanalyse onontbeerlijk. Internal Audit zou dus een audit kunnen uitvoeren naar het strategisch risicomanagement binnen de organisatie. Relevante vragen in deze audit kunnen zijn: is deze analyse er, wie voert deze uit, wie zijn betrokken en in welke rol, welke externe deskundigheid wordt gebruikt (personen of rapportages), etc. Allemaal vragen die de kwaliteit van de analyse kunnen beïnvloeden.

Inkoop (zekerheid van leveranciers en prijs)

Door alle ontwikkelingen kan het voor sommige in te kopen producten & diensten de vraag zijn of de leveranties wel gegarandeerd zijn en blijven en of de condities wel gelijk blijven. Belangrijke vragen bij een dergelijke audit kunnen zijn: zijn alle strategische inkopen bekend, zijn de criteria voor wat strategisch nog even relevant, zijn de alternatieven in kaart gebracht, zijn er exit-plannen om bij een leverancier weg te kunnen, wat is de invloed van transportkosten op de in te kopen producten, is de gehele keten (en zijn daarmee afhankelijkheden) van het in te kopen product en de daarbij behorende risico’s duidelijk, voldoet de inkoop aan alle in- en externe ESG eisen, etc.

Voorraad

Dit onderwerp borduurt verder op het vorige: zijn de benodigde strategische voorraden bekend, worden deze goed gemonitord, is er bij het voorraadbeheer rekening gehouden met de producten die in ontwikkeling zijn, is er rekening gehouden met sterk fluctuerende vraag in de markt, etc. Voor dienstverleners waarbij de capaciteit sterk afhankelijk is van human resources gelden andersoortige vragen: kan er snel op of af worden geschaald, tegen welke kosten, is er andersoortige expertise nodig, hoe snel kan die eigen worden gemaakt, etc.

Productielocaties

Evident een belangrijk onderwerp, uiteraard heel actueel gezien de handelsbarrières maar ook de fysieke toegang wordt een steeds relevanter thema. Denk aan bijvoorbeeld een oorlog in Taiwan. Toegang tot een productiefaciliteit is dan nagenoeg onmogelijk. Denk bij een audit naar dit onderwerp onder meer aan: welke criteria zijn bepalend voor het openen van een nieuwe productiefaciliteit en worden deze altijd gehanteerd (denk bijvoorbeeld aan toegang tot betaalbare energie), hoe mobiel is een productiefaciliteit (kunnen machines relatief eenvoudig worden weggehaald), is er een markt om de faciliteit eventueel te verkopen indien noodzakelijk?

Lobby

Het beïnvloeden van overheden is van alledag. Dat kan op verschillende manieren: via een eigen lobbyist, door aan te sluiten bij een brancheorganisatie met een eigen lobby, PR etc. Een audit kan beginnen met de vraag of lobbyen relevant en haalbaar is voor de organisatie.

Beleggingen

Sommige organisaties hebben beleggingen behorend bij de primaire dienstverlening (o.a. verzekeraars), sommige organisaties hebben dit vanuit overtollig cash. Met beleggen bedoelen we hier geen strategische deelnemingen (zie het onderwerp Deelnemingen verderop in dit artikel). Door alle ontwikkelingen is het duidelijk dat de beurs zeer volatiel kan zijn. Afgelopen week was er sprake van een echte rollercoaster en het einde is nog niet in zicht. Aandachtspunten voor een audit kunnen zijn: zijn er stresstesten uitgevoerd, zijn de mogelijke gevolgen besproken in de juiste gremia, zijn er wijzigingen doorgevoerd, hoe wordt er gemonitord, kan er snel worden gehandeld, wat zijn de afhankelijkheden hierbij van derde partijen, welke afspraken zijn gemaakt bij fiduciair management, wordt daarover gerapporteerd en wie beoordeelt dit, hoe wordt er gehedged, zijn er beleggingen met margin calls, wordt de complexiteit van het financiële product goed doorgrond. Misschien herinnert u zich nog de collateralized debt obligations (CDO’s, in het Nederlands herverpakte kredieten) uit de kredietcrisis van 2008.

Valutarisico’s

Dit risico spreekt voor zich. Belangrijke punten die hier kunnen spelen zijn: welke valutarisico’s zijn er, welke zijn gehedged en welke niet en hoe, wordt bij inkoop of sales rekening gehouden met valutarisico’s, zijn hier interne richtlijnen voor vastgelegd.

Deelnemingen

Het hebben van deelnemingen kan diverse positieve zaken brengen, zoals het in huis halen van kennis, vergroten van de markt, uitschakelen van concurrentie etc. Maar uiteraard kunnen deelnemingen in deze VUCA wereld ook leiden tot extra risico’s. Bijvoorbeeld doordat de deelneming actief is in een specifiek land en/of een risicovolle mede-aandeelhouder kent uit een land dat op een sanctielijst staat of daarop kan komen te staan. Vergezocht? Er zijn al genoeg bedrijven die hun deelnemingen in Rusland voor een appel en een ei van de hand hebben moeten doen. Aandachtspunten bij deelnemingen zijn onder andere: zijn alle deelnemingen in kaart, zijn alle mede-aandeelhouders bekend, zijn er afspraken gemaakt over toetreding van nieuwe aandeelhouders in de deelneming, welke afdeling monitort deze zaken binnen de organisatie, wat is de maximale financiële impact bij een gedwongen verkoop, wat is het afbreukrisico, etc.

Veiligheid personeel

Mede door de social media kan er razendsnel negatieve berichtgeving ontstaan over bedrijven, met alle mogelijke gevolgen van dien voor de werknemers. Een schokkend voorbeeld daarvan is de recente moord op een bestuurder van een Amerikaanse zorgverzekeraar, die werd beschuldigd van het weinig vergoeden van zorgkosten. Punten van aandacht zijn: is er een analyse gemaakt van mogelijke risicogebieden; denk aan geografische risicogebieden, gevaarlijk klantcontact, naar buiten toe zichtbaar personeel etc. Wordt social media gemonitord (wordt er negatief gesproken over onze organisatie), is er awareness bij relevante medewerkers, is er een PR dan wel marketing afdeling die dit in scope heeft etc. Voorbeeld: militairen die te tracken zijn via een hardloop-app.

Bovenstaande lijst is vast en zeker uit te breiden, zeker als gekeken wordt naar specifieke bedrijfskenmerken. In de eerder genoemde risicoanalyse kan hier dieper op in worden gegaan.

Afhankelijk van het onderwerp en de diepgang van de audit, kan het raadzaam c.q. noodzakelijk zijn om specifieke expertise in te huren om alle relevante risico’s van dat onderwerp boven tafel te krijgen en beheersmaatregelen te kunnen beoordelen. Een matig uitgevoerde audit door gebrek aan kennis voegt maar beperkt waarde toe en kan afbreuk doen aan de reputatie van Internal Audit.

Uiteraard moet er ook aandacht blijven voor het going concern en daarmee de meer reguliere onderwerpen. Maar een kalender met alle processen bekijken in 3 jaar is niet meer afdoende. Er zal meer met een strategische bril naar de auditplanning moeten worden gekeken.

Drs. Marc van Heese RO RE CIA is partner bij ARC People en is onder andere verantwoordelijk partner voor diverse aan ARC People geoutsourcete risk- en auditfuncties.

[1] https://www.iia.nl/SiteFiles/Risk%20in%20Focus%202025.pdf

RTO, RPO: Nieuwe Perspectieven op BCM bij cyberdreigingen

Inleiding

Business Continuity Management (BCM) is een essentieel onderdeel van een robuuste bedrijfsstrategie, waarbij begrippen als Recovery Time Objective (RTO), Recovery Point Objective (RPO) en Maximum Tolerable Downtime (MTD) centraal staan. Traditioneel worden deze termen bepaald op proces- of dienstniveau, maar is dat altijd de meest effectieve aanpak? In deze blog betogen we dat RPO en RTO beter op applicatieniveau kunnen worden gedefinieerd en dat, in de context van cyberdreigingen, een alternatief zoals Cyber RTO (CRTO) noodzakelijk is.

Ben jij voorbereid op een cyberaanval? En hoe zeker ben je dat je kunt herstellen na zo’n aanval? Lees verder

In deze blog staan we stil bij waarom het niet verstandig is om Cyber Recovery volledig uit te besteden, zelfs als je IT dat wel is. Ook geven we 5 tips over zaken die je écht zelf moet regelen. Lees verder

In deze blog geven we tips over herstellen na een cyberaanval. Tijd om jouw herstelstrategie onder de loep te nemen. Lees verder

Wat moet je precies veiligstellen om zo snel en efficiënt mogelijk te herstellen na een cyberaanval? In de vorige blog stonden we stil bij het type informatie. Nu gaan we dieper in op de vorm waarin die informatie is opgeslagen. Lees verder

Een goede cyber recovery-strategie valt of staat bij de kwaliteit van je tests. Maar wat moet je precies testen en hoe diep moet je gaan? Lees verder

Kun je volledig vertrouwen op je cloudleverancier, of moet je zelf herstelmaatregelen nemen als er een cyberaanval toeslaat? En hoe verschillen de opties tussen SaaS, PaaS en IaaS? Lees verder

Wat is belangrijker in cyber recovery: een waterdicht noodplan of ruimte voor improvisatie bij een onvoorspelbare cyberaanval? Lees verder

Direct herstellen om de schade te beperken, of eerst forensisch onderzoek doen om te achterhalen wat er is gebeurd bij een cyberaanval? Lees verder

Welke concepten zijn er op de markt beschikbaar en welke overwegingen spelen een rol bij de keuze voor een specifieke aanpak? Lees verder

De termen RTO, RPO en MDT worden traditioneel bepaald op proces- of dienstniveau, maar is dat altijd de meest effectieve aanpak? Lees verder

1. Wat betekenen RTO, RPO en MTD?

Om het vraagstuk goed te benaderen, is het belangrijk eerst enkele traditionele BCM-termen te begrijpen:

  • Recovery Time Objective (RTO): De maximale tijdsduur waarin na een verstoring herstel moet plaatsvinden voordat onacceptabele impact optreedt.
  • Recovery Point Objective (RPO): De maximale hoeveelheid data (uitgedrukt in tijd) die verloren mag gaan zonder onacceptabele schade.
  • Maximum Tolerable Downtime (MTD): De absolute maximale tijd dat een proces of dienst buiten werking mag zijn voordat ernstige schade optreedt. Het verschil met RTO is dat MTD een absolute grens weergeeft, terwijl RTO de doelstelling binnen de MTD is om herstel plaats te laten vinden.

Traditioneel worden deze parameters vastgesteld op procesniveau. Maar is dat de meest effectieve benadering?

2. Waarom RPO en RTO op applicatieniveau bepalen?

Hoewel de klassieke BCM-aanpak stelt dat RPO en RTO op procesniveau moeten worden vastgesteld, brengt dit enkele nadelen met zich mee:

  1. Procesgerichte benadering leidt tot suboptimale invulling: Processen bestaan vaak uit meerdere applicaties en systemen met verschillende herstelmogelijkheden.
  2. Hersteloplossingen worden ingericht op technisch niveau, niet op procesniveau: Disaster recovery-oplossingen, zoals back-up- en replicatietechnologie, richten zich op servers en applicaties, niet direct op processen. IT-teams werken met hersteltijden en dataverliesgrenzen per applicatie of andersoortige IT, maar in ieder geval niet per bedrijfsproces.
  3. Efficiënter beheer en betere afstemming met IT-infrastructuur: Door RTO en RPO op applicatieniveau vast te stellen, sluit BCM beter aan op technische herstelstrategieën.

Praktisch voorbeeld: Stel dat een organisatie een RTO van 4 uur vaststelt voor het proces ‘facturatie’. Dit proces maakt echter gebruik van drie applicaties: een ERP-systeem, een database en een documentmanagementsysteem. Vanuit de procesbenadering stel je dat deze drie applicaties binnen 4 uur hersteld zouden moeten zijn. Een meer fit-for-purpose benadering zou zijn om, binnen de grenzen die de context van proces bepaald (waaronder MTD), per applicatie te bepalen wat zinvol is. Het kan dan gebeuren dat één applicatie binnen 2 uur hersteld is, terwijl een andere 6 uur nodig heeft. Dat hoeft niet erg te zijn, zolang die applicatie die 6 uur nodig heeft geen cruciale rol speelt in het proces. Mogelijk kan het facturatieproces prima op gang komen zonder die ene applicatie. Een voor het proces cruciale applicatie zal nu eenmaal sneller hersteld moeten zijn dan een applicatie die “nice-to-have” is binnen het proces. Voor zo’n “nice-to-have” applicatie zou zelfs kunnen gelden dat die later wordt hersteld dan de MTD van het proces.

3. RTO en RPO in de context van cyberdreigingen

De traditionele BCM-aanpak is grotendeels gebaseerd op fysieke verstoringen, zoals brand of stroomuitval. In die gevallen kunnen bedrijven uitgaan van voorspelbare herstelparameters. Maar bij cyberincidenten, zoals ransomware-aanvallen, gelden andere spelregels:

  • Herstel kan dagen tot weken duren vanwege forensisch onderzoek en saneringsmaatregelen.
  • Het risico bestaat dat herstelpunten (back-ups) zijn gecompromitteerd.
  • IT-systemen kunnen opnieuw worden aangevallen tijdens het herstelproces.

Dit brengt ons bij het concept van Cyber RTO (CRTO) en eventueel Cyber RPO (CRPO), een meer realistische hersteltijd en herstelpunt specifiek voor cyberdreigingen.

Waar je bij de traditionele RTO in principe direct zou kunnen overschakelen naar een tweede datacenter, vrijwel zonder tijdsverlies, is dat bij een cyberaanval niet mogelijk. Er worden dan andere activiteiten verwacht; activiteiten waar rekening mee gehouden moet worden bij het bepalen van de CRTO:

  • Tijd voor detectie en initiële containment.
  • Tijd voor forensisch onderzoek en schoonmaakacties.
  • Tijd voor gefaseerd herstel en validatie.

Voorbeeld: Een organisatie met een reguliere RTO van 6 uur voor hun CRM-systeem wordt getroffen door ransomware. Forensisch onderzoek en het veiligstellen van de omgeving nemen 48 uur in beslag. Een traditionele RTO is hier niet haalbaar, maar een CRTO van bijvoorbeeld een week kan wél een realistische inschatting geven. Waarom dit grote verschil tussen 6 uur en een week als onderzoek en veiligstellen 2 dagen kost? Omdat mogelijk niet alleen het CRM-systeem hersteld moet worden, maar ook (alle) onderliggende infrastructuur. Met dit laatste hoeft niet per definitie rekening te worden gehouden bij de traditionele RTO.

Naast de CRTO zou je ook een CRPO kunnen introduceren. Waarom? Waar je bij traditionele BCM rekening kunt houden met goed functionerende back-ups (en clusters), is dat bij cyberincidenten niet per definitie het geval: mogelijk moet je data in je back-ups opschonen wat tot dataverlies kan leiden en je dus een aangepast een enigszins herstelpunt moet hanteren.

Waarom is dit belangrijk?

  • Bedrijven kunnen beter anticiperen op cyberdreigingen en realistische herstelstrategieën formuleren.
  • CRTO en CRPO dwingt organisaties na te denken over aanvullende maatregelen, zoals gescheiden back-ups en out-of-band management.

4. Andere relevante, maar meer geavanceerde BCM-termen en hun rol in cyber recovery

Naast RTO, RPO en MTD zijn er andere BCM-termen die relevant zijn, maar ook voor verwarring kunnen zorgen. Hieronder noemen we er een aantal, maar het advies is om in beginsel te blijven bij RPO, RTO en MTD:

  • Work Recovery Time (WRT): De tijd die nodig is ná technische recovery om operationeel te worden (bijv. testen, gebruikersinstructies). In het kader van cyberaanvallen zou deze gelijk kunnen zijn aan de reguliere WRT, maar aannemelijk is dat niet per se.  Afhankelijk van je herstelstrategie (herstellen of opnieuw opbouwen) kan WRT toenemen bij een cyberaanval. De grootste factor in toename zit hem echter in doorlooptijd van forensische testen, opschoning en validaties.

Overigens: Of WRT om de hoek komt kijken voor of na de RTO is niet iedereen het over eens. Het idee is vooral dat men weer aan echt aan het werk kan op het moment dat de WRT erop zit. Stel je de (C)RTO gelijk aan dat moment of aan het moment dat het systeem technisch hersteld is? Dat is vooral de overweging die (ook) gemaakt moet worden bij het bepalen van de (C)RTO.

  • Service Delivery Objective (SDO): Het minimale niveau van dienstverlening dat na een incident in beginsel geleverd moet worden. Herstel hoeft niet per definitie in te houden dat alle capaciteit die je ter beschikking had ook direct weer geleverd wordt. Daarom is het verstandig een SDO af te stemmen. De tijd die benodigd is om tot de SDO te komen in herstel na een cyberincident kan echter drastisch langer zijn dan de hersteltijd bij een traditioneel incident.
    De vraag is dus: Bepaal je de (C)RTO op basis van wanneer de SDO wordt bereikt, stel je de (C)RTO op basis van de 100% performance (business as usual)? De theorie is hierover verdeeld. In feite maakt het ook niet veel uit welke keuze gemaakt wordt, zolang het maar duidelijk is welke keuze is gemaakt.

Door deze termen duidelijk te definiëren en toe te passen kan een organisatie effectiever inspelen op cyberdreigingen en realistische verwachtingen scheppen over herstel na een aanval.

Conclusie

BCM moet mee-evolueren met het dreigingslandschap. Het vaststellen van RTO en RPO op applicatieniveau binnen de context van je bedrijfsprocessen en diensten biedt een realistischer kader voor herstelstrategieën. Daarnaast is CRTO onmisbaar om een effectieve respons op cyberincidenten te waarborgen. Door deze begrippen correct toe te passen, kunnen organisaties beter voorbereid zijn op zowel traditionele als moderne dreigingen.

Neem contact op Vorige blog

Welke oplossingen biedt de markt voor cyber recovery?

Inleiding

Cyberaanvallen worden geavanceerder en gerichter. Preventieve maatregelen helpen, maar kunnen een aanval niet altijd voorkomen. Daarom is de vraag niet meer óf je getroffen wordt, maar wanneer. Zonder een goed cyber recovery-plan is de kans groot dat herstel chaotisch, traag en incompleet verloopt, met grote financiële en operationele schade als gevolg.

Cyber recovery is een strategie die organisaties in staat stelt om na een aanval gecontroleerd en veilig te herstellen zonder het risico te lopen dat ze besmette data terugplaatsen. Verschillende IT-leveranciers bieden inmiddels oplossingen die invulling geven aan cyber recovery. In deze blog bekijken we welke concepten er op de markt beschikbaar zijn en welke overwegingen een rol spelen bij de keuze voor een specifieke aanpak.

Ben jij voorbereid op een cyberaanval? En hoe zeker ben je dat je kunt herstellen na zo’n aanval? Lees verder

In deze blog staan we stil bij waarom het niet verstandig is om Cyber Recovery volledig uit te besteden, zelfs als je IT dat wel is. Ook geven we 5 tips over zaken die je écht zelf moet regelen. Lees verder

In deze blog geven we tips over herstellen na een cyberaanval. Tijd om jouw herstelstrategie onder de loep te nemen. Lees verder

Wat moet je precies veiligstellen om zo snel en efficiënt mogelijk te herstellen na een cyberaanval? In de vorige blog stonden we stil bij het type informatie. Nu gaan we dieper in op de vorm waarin die informatie is opgeslagen. Lees verder

Een goede cyber recovery-strategie valt of staat bij de kwaliteit van je tests. Maar wat moet je precies testen en hoe diep moet je gaan? Lees verder

Kun je volledig vertrouwen op je cloudleverancier, of moet je zelf herstelmaatregelen nemen als er een cyberaanval toeslaat? En hoe verschillen de opties tussen SaaS, PaaS en IaaS? Lees verder

Wat is belangrijker in cyber recovery: een waterdicht noodplan of ruimte voor improvisatie bij een onvoorspelbare cyberaanval? Lees verder

Direct herstellen om de schade te beperken, of eerst forensisch onderzoek doen om te achterhalen wat er is gebeurd bij een cyberaanval? Lees verder

Welke concepten zijn er op de markt beschikbaar en welke overwegingen spelen een rol bij de keuze voor een specifieke aanpak? Lees verder

De termen RTO, RPO en MDT worden traditioneel bepaald op proces- of dienstniveau, maar is dat altijd de meest effectieve aanpak? Lees verder

Wat maakt Cyber Recovery anders dan traditioneel back-upherstel?

Back-ups beschermen tegen hardwarestoringen, menselijke fouten en softwarefouten. Maar een cyberaanval kan hele netwerken besmetten en back-ups compromitteren. Alleen data terugzetten is dan niet genoeg; je moet zeker weten dat je geen geïnfecteerde systemen herstelt. Daarom draait cyber recovery om méér dan back-ups: het vereist isolatie, immutability en actieve (intelligente) inspectie:

  1. Isolatie – Data die als laatste redmiddel dient, moet fysiek of logisch gescheiden zijn van de productieomgeving. Een aanvaller mag hier nooit bij kunnen, zelfs niet met beheerdersrechten in de productieomgeving.
  2. Immutability – De data in de kluis mag niet gewijzigd of verwijderd kunnen worden. Zelfs een aanvaller met diepe systeemtoegang kan de kluisinhoud niet manipuleren.
  3. (Intelligente) Inspectie – De opgeslagen data wordt continu of periodiek gescand op tekenen van malware, ransomware of andere Indicators of Compromise (IoC’s). Hierdoor voorkom je dat je een besmetting terugplaatst bij herstel.

Twee hoofdbenaderingen in Cyber Recovery

Cyber recovery-oplossingen zijn grofweg in te delen op basis van:

  1. Functionele basis – Werkt de oplossing op basis van Endpoint Detection & Response (EDR) of op basis van back-uptechnologie?
  2. Implementatiemodel – Wordt de oplossing aangeboden als een cloudgebaseerde oplossing of als een on-premise systeem?

Hieruit ontstaan vier categorieën, die we verder uitwerken:

Cyber Recovery StrategieënOn-PremiseCloudgebaseerd
EDR-gebaseerde oplossingenEndpoint-beveiliging binnen het eigen netwerk (bijv. SentinelOne Singularity, CrowdStrike Falcon)Cloudgebaseerde bescherming en herstel van endpoints (bijv. SentinelOne Data Lake)
Back-upgebaseerde oplossingenOn-premise geïsoleerde opslag voor kritieke data (bijv. Dell EMC PowerProtect, IBM Cyber Recovery)Cloud-native cyber recovery-oplossingen (bijv. Druva Curated Snapshots, Cohesity FortKnox, AWS Backup Vault Lock)

1. EDR-gebaseerde Cyber Recovery oplossingen

Endpoint Detection & Response (EDR)-gebaseerde oplossingen richten zich op het detecteren, blokkeren en herstellen van cyberaanvallen door te focussen op endpoints en actieve dreigingen. Dit type oplossing is geschikt voor bedrijven die met name een snelle respons op bedreigingen willen en hun herstelprocessen willen automatiseren.

Geschikt voor organisaties die snelle detectie en herstel van werkplekken en servers belangrijk vinden.

2. Back-upgebaseerde Cyber Recovery oplossingen

Back-upgebaseerde oplossingen leggen de nadruk op het veiligstellen van cruciale data en systemen, zodat deze na een aanval volledig hersteld kunnen worden. Deze oplossingen gebruiken vaak isolatie, immutability en geavanceerde malwaredetectie om besmetting van back-ups te voorkomen.

Geschikt voor organisaties die een brede en diepgaande bescherming nodig hebben, inclusief servers, databases en complete IT-infrastructuren.

Bij back-upgebaseerde cyber recovery-oplossingen heb je, naast de keuze tussen on premise en cloud, twee opties:

  1. Leverancier-specifiek – Deze oplossingen bouwen voort op een bestaande back-uptechnologie van dezelfde aanbieder en zijn volledig geïntegreerd. Hierdoor kunnen cyber recovery oplossingen bijvoorbeeld (vaak) ook versleutelde back-ups inspecteren op malware, ransomware of IoC’s in zijn algemeenheid.
  2. Leverancier-onafhankelijk – Compatibel met meerdere back-upsystemen, wat handig is voor organisaties die verschillende technologieën combineren. Dit laatste is vanzelfsprekend enkel relevant op het moment dat je als organisatie al gebruik maakt van verschillende back-upoplossingen.

3. Cloudgebaseerde Cyber Recovery oplossingen

Cloud-native oplossingen bieden cyber recovery als een dienst, waarbij data, configuraties en applicaties veilig in de cloud worden opgeslagen en beheerd. Dit kan zowel voor back-ups als voor EDR-oplossingen gelden.

Geschikt voor organisaties die flexibiliteit en wereldwijde toegankelijkheid vereisen.

4. On-Premise Cyber Recovery oplossingen

Voor organisaties die volledige controle over hun cyber recovery-strategie willen behouden, blijven on-premise oplossingen een cruciale optie. Dit geldt zowel voor back-ups als voor EDR-oplossingen.

Geschikt voor organisaties die met strikte compliance-eisen en geen afhankelijkheid van IT-leveranciers willen.

De voor- en nadelen op een rijtje

OplossingstypeVoordelenNadelen
EDR-gebaseerdSnelle detectie en herstel, geautomatiseerde dreigingsrespons.Beperkt tot endpoints, geen bescherming voor back-ups.
Back-upgebaseerdLange termijn dataretentie, veilige herstelfuncties.Detectieperiode kan langer duren, hetzelfde geldt voor het herstelproces.
Leverancier-specifiek
Naadloze integratie en optimale functionaliteit, snelle herstelacties.Een verhoogd risico op vendor lock-in. Minder flexibiliteit en/of keuzevrijheid.
Leverancier-onafhankelijk
Centraal beheer met lagere beheerlast en eenvoudigere monitoring. Flexibel door meerdere oplossingen te koppelen.Integratie kan complexer zijn dan vooraf verwacht. Functionaliteiten kunnen mogelijk niet optimaal worden gebruikt, zoals het inspecteren van data omdat deze mogelijk is versleuteld door een product van een andere leverancier.
Cloudgebaseerde Cyber Recovery oplossingenSchaalbaarheid, flexibiliteit en geografische redundantie.Afhankelijkheid van cloudleveranciers, compliance-uitdagingen rondom data-soevereiniteit.
On-Premise Cyber Recovery oplossingenVolledige controle over infrastructuur en herstelstrategie, geen afhankelijkheid van externe partijen.Vereist meer interne middelen en hogere initiële kosten.

De strategische keuze: hybride denken

De realiteit is dat de meeste organisaties niet voor óf alleen product-specifieke oplossingen, óf alleen een algemene oplossing kiezen. Vaak is er sprake van een hybride aanpak. Daarom is het aan te bevelen in je cyber recovery strategie per proces, applicatie en/of dataset na te gaan wat de waarde is voor je organisatie en welke cyber recovery oplossing daar het best bij past.

Conclusie

Er is geen universeel juiste keuze tussen product-specifieke en algemene cyber recovery oplossingen. De beste strategie hangt af van de aard van je IT-landschap, de samenstelling van je applicatieportfolio, de data die je verwerkt en je risicobereidheid. Wat wel zeker is: zonder duidelijke cyber recovery strategie, inclusief isolatie, immutability en (intelligente) inspectie, wordt het vrijwel onmogelijk om na een serieuze cyberaanval met zekerheid malwarevrij en veilig te herstellen.

Denk vooruit: Hoe ziet jouw ideale cyber recovery strategie eruit? Is jouw organisatie voorbereid op cyber recovery of vertrouw je nog te veel op traditionele back-ups? Het is tijd om je cyberweerbaarheid structureel te versterken.

Neem contact op Vorige blog

Process Mining in Internal Audit

De Toepassing van Process Mining in Internal Audit: Kansen en Mogelijkheden

Door de snelle ontwikkeling van technologieën komen steeds meer middelen beschikbaar die ingezet kunnen worden om processen beter te doorgronden, wat kansen biedt voor internal audit. Eén van de veelbelovende technologieën die de laatste jaren op de voorgrond is getreden, is Process Mining. Hoewel Process Mining zich tot nu toe vooral heeft gericht op proces-efficiëntie en -automatisering, biedt de technologie ook veel kansen in het kader van internal audit.

Er zijn veel mogelijkheden om diepgaand inzicht te krijgen in bedrijfsprocessen en deze te optimaliseren door het gebruik van Process Mining, zeker door de toename van beschikbare data. In deze blog bespreken we hoe Process Mining kan worden toegepast in internal audits en welke kansen dit biedt.

Wat is Process Mining?

Process Mining is een technologie die gebruik maakt van data-analyse en een algoritme om bedrijfsprocessen in kaart te brengen en te analyseren. Het maakt gebruik van loggegevens die worden gegenereerd door IT-systemen om een gedetailleerd beeld te krijgen van hoe processen daadwerkelijk verlopen. Dit stelt auditors in staat om afwijkingen van de (papieren) opzet, inefficiënties en risico’s te identificeren, die anders moeilijk te detecteren zouden zijn voor de gehele populatie.

Toepassing in Internal Audit

Met Process Mining kunnen auditors processen visualiseren zoals ze in werkelijkheid plaatsvinden. Deze visualisaties geven een betrouwbaarder beeld dan inzichten die zijn verkregen door het afnemen van interviews. Dit helpt bij het identificeren van knelpunten, work arounds en inefficiënties. Door deze inzichten kunnen auditors gerichte aanbevelingen doen voor procesverbeteringen.
Vanwege het gedetailleerde inzicht dat auditors krijgen in de werkelijke processtromen, kunnen zij potentiële risico’s beter identificeren en beoordelen. Dit helpt bij het ontwikkelen van effectievere risicobeheersingsstrategieën. Process Mining kan ook helpen bij het identificeren van inefficiënte stappen in processen. Door deze stappen te optimaliseren, kunnen organisaties kosten besparen en de algehele efficiëntie verbeteren.

Kansen voor Internal Audits

De integratie van Process Mining in internal audits biedt tal van kansen. Door gebruik te maken van feitelijke data in plaats van steekproeven en interviews, kunnen auditors nauwkeurigere en betrouwbaardere bevindingen presenteren. Process Mining automatiseert veel van de data-analyse, waardoor audits sneller kunnen worden uitgevoerd zonder in te boeten aan kwaliteit. In plaats van periodieke audits, maakt Process Mining het ook mogelijk om processen continu te monitoren en real-time inzichten te verkrijgen. Door afwijkingen en risico’s vroegtijdig te detecteren, kunnen organisaties proactief maatregelen nemen om problemen te voorkomen.

Process Mining bestaat al geruime tijd, maar door de toename in verwerkings- en opslagcapaciteit is het momentum nu in een stroomversnelling geraakt. Dit heeft de kansen voor internal audit om gebruik te gaan maken van Process Mining aanzienlijk vergroot, waardoor auditors nog effectiever en efficiënter kunnen werken.

Hoe start je met Process Mining

Het implementeren van Process Mining in jouw organisatie kan aanvankelijk overweldigend lijken, maar door de volgende vier stappen te volgen, kun je een goede start maken:

Stap 1: Identificeer de juiste processen

Kies de processen die het meest geschikt zijn voor de toepassing van een Process Mining-analyse. Dit kunnen processen zijn die van cruciaal belang zijn voor je organisatie, die regelmatig problemen vertonen of die bijzonder complex zijn. Voorwaarde hierbij is dat er logging plaatsvindt van de activiteiten die worden uitgevoerd in de systemen die het proces ondersteunen.

Stap 2: Verzamel de benodigde data

Verzamel de loggegevens die door je IT-systemen worden gegenereerd. Deze data bevatten de tijdsbepaling, activiteiten en andere relevante informatie die nodig is om de processen in kaart te brengen. Vaak is er nog wel enige data opschoning nodig om de data klaar te maken om ingeladen te worden in de Process Mining tool.

Stap 3: Gebruik Process Mining tools

Maak gebruik van Process Mining-software om de verzamelde data te analyseren en te visualiseren. Er zijn verschillende tools beschikbaar op de markt, zoals Celonis, Disco en UiPath. Het advies is om klein te beginnen en bijvoorbeeld eerst een toetsing uit te voeren met Disco, een zeer gebruiksvriendelijke tool, om de mogelijkheden te onderzoeken.

Stap 4: Analyseer de resultaten en implementeer verbeteringen

Analyseer de visualisaties en resultaten om inefficiënties, knelpunten en afwijkingen te identificeren. Gebruik deze inzichten om gerichte verbeteringen door te voeren in je processen en om de naleving van regelgeving te waarborgen.

Process Mining en ARC People

Bij ARC People ondersteunen wij meerdere klanten bij het toepassen van Process Mining als onderdeel van internal audits. Waarbij wij bijvoorbeeld het inkooproces van begin tot eind analyseren en de mate van betrokkenheid van medewerkers binnen een proces inzichtelijk hebben gemaakt. Middels deze analyses kan onder andere vastgesteld worden of voor alle inkooporders een akkoord is gegeven voordat de inkooporder is ingediend bij de leverancier of dat bepaalde personen meerdere activiteiten hebben uitgevoerd waarvoor zij niet geautoriseerd zijn.

Mocht je geïnteresseerd zijn in de mogelijkheden van Process Mining voor jouw internal auditafdeling neem dan contact op met Roy van Buuren.

Process Mining Contact

Het dilemma tussen forensisch onderzoek en snel herstel tijdens een cyberaanval

Inleiding

Het gebeurt op het slechtst denkbare moment: systemen vallen uit, klanten kunnen niet meer inloggen en het bestuur kijkt je vragend aan. Moeten we direct herstellen of eerst onderzoeken? Dit is het dilemma dat organisaties treft tijdens een cyberaanval.

  • Grondig (forensisch) onderzoek – Het zorgvuldig analyseren van het incident om te begrijpen hoe de aanval is uitgevoerd, welke kwetsbaarheden zijn misbruikt en of de aanvaller nog aanwezig is.
  • Snel herstel – Het zo snel mogelijk herstellen van systemen en diensten om de impact op de bedrijfsvoering en klanten te minimaliseren.

Ben jij voorbereid op een cyberaanval? En hoe zeker ben je dat je kunt herstellen na zo’n aanval? Lees verder

In deze blog staan we stil bij waarom het niet verstandig is om Cyber Recovery volledig uit te besteden, zelfs als je IT dat wel is. Ook geven we 5 tips over zaken die je écht zelf moet regelen. Lees verder

In deze blog geven we tips over herstellen na een cyberaanval. Tijd om jouw herstelstrategie onder de loep te nemen. Lees verder

Wat moet je precies veiligstellen om zo snel en efficiënt mogelijk te herstellen na een cyberaanval? In de vorige blog stonden we stil bij het type informatie. Nu gaan we dieper in op de vorm waarin die informatie is opgeslagen. Lees verder

Een goede cyber recovery-strategie valt of staat bij de kwaliteit van je tests. Maar wat moet je precies testen en hoe diep moet je gaan? Lees verder

Kun je volledig vertrouwen op je cloudleverancier, of moet je zelf herstelmaatregelen nemen als er een cyberaanval toeslaat? En hoe verschillen de opties tussen SaaS, PaaS en IaaS? Lees verder

Wat is belangrijker in cyber recovery: een waterdicht noodplan of ruimte voor improvisatie bij een onvoorspelbare cyberaanval? Lees verder

Direct herstellen om de schade te beperken, of eerst forensisch onderzoek doen om te achterhalen wat er is gebeurd bij een cyberaanval? Lees verder

Welke concepten zijn er op de markt beschikbaar en welke overwegingen spelen een rol bij de keuze voor een specifieke aanpak? Lees verder

De termen RTO, RPO en MDT worden traditioneel bepaald op proces- of dienstniveau, maar is dat altijd de meest effectieve aanpak? Lees verder

Waarom is dit een dilemma?

Een cyberaanval brengt enorme druk met zich mee, vooral op management- en bestuursniveau. Operationele teams willen de systemen weer online krijgen, terwijl securityteams en externe forensische specialisten willen achterhalen hoe de aanval heeft plaatsgevonden en of de dreiging volledig is geëlimineerd.

Te snel herstel kan betekenen dat je een aanvaller per ongeluk laat ontsnappen of dat je niet goed begrijpt hoe de aanval heeft plaatsgevonden. Aan de andere kant kan een langdurig onderzoek de bedrijfsvoering ernstig verstoren en imagoschade vergroten.

De voor- en nadelen bij de keuzes

Voordelen van uitgebreid forensisch onderzoek:

  • Inzicht in aanvalspad – Begrijpen hoe de aanvaller binnenkwam en zich lateraal bewoog binnen de organisatie.
  • Detectie van achterdeurtjes – Voorkomen dat een aanvaller ongezien terugkeert.
  • Verbetering van toekomstige verdediging – Kennis gebruiken om preventieve maatregelen te versterken.
  • Juridische en compliance-verplichtingen – Voldoen aan regelgeving zoals de AVG, DORA of NIS2.

Nadelen van uitgebreid forensisch onderzoek:

  • Verlengde downtime – Systemen blijven langer offline, wat operationele en financiële schade oplevert, waar klanten en partners ook last van (kunnen) hebben.
  • Imagoschade – De organisatie komt negatief in het daglicht, omdat bekend wordt dat er een cyberaanval heeft plaatsgevonden.
  • Kosten – Externe forensische specialisten en de impact van downtime kunnen flink in de papieren lopen.

Voordelen van snel herstel:

  • Minimalisatie van operationele schade – Organisatie kan sneller weer functioneren.
  • Beperkte klantimpact – Klanten ondervinden minder hinder van verstoringen.
  • Beheerste kosten – Minder tijd en middelen nodig voor langdurige analyses.

Nadelen van snel herstel:

  • Onvolledig onderzoek – Mogelijk missen van sporen of actieve dreigingen.
  • Risico op herinfectie – Als de achterliggende oorzaak niet goed wordt begrepen, kan de aanvaller terugkomen.
  • Mogelijke compliance-risico’s – Wettelijke rapportageverplichtingen kunnen worden bemoeilijkt zonder goed onderzoek.

Hoe dit geen groot dilemma hoeft te zijn

Het goede nieuws: met de juiste voorbereiding en strategie kunnen organisaties het conflict tussen onderzoek en herstel grotendeels oplossen. Een veelgebruikte oplossing is het maken van een forensische kopie van getroffen systemen voordat herstel plaatsvindt. Hierdoor kunnen analisten achteraf een diepgaand onderzoek uitvoeren zonder dat dit de hersteloperatie vertraagt.

Om te voorkomen dat herstel overhaast of juist te traag verloopt, moeten organisaties vooraf de juiste maatregelen nemen. Dit zijn de belangrijkste stappen:

1. Real-time logging en monitoring inrichten

Goed ingerichte logging en detectie zorgen ervoor dat je direct inzicht hebt in een aanval. Dit kan niet alleen de schade beperken, maar versnelt ook het forensisch onderzoek en herstel. Echter, omdat aanvallen snel kunnen worden uitgevoerd, vaak sneller dan de verdediging op gang komt – iets wat met hulp van AI verbeterd kan worden – wil er wel eens een aanval tussendoor glippen. Het hebben van de juiste (en betrouwbare) logging kan dan helpen het forensisch onderzoek te versnellen en tegelijkertijd zorgen voor een beter gefundeerd herstelplan.

2. De processtappen voor forensisch onderzoek vooraf gereed hebben

Hoe eerder je kunt starten met forensisch onderzoek, hoe eerder je kunt herstellen. De volgende factoren spelen daarbij een rol:

  • Werk, nog voordat er sprake is van een (cyber)incident / tijdens de “business as usual,” samen met gekwalificeerde forensische experts en stel vooraf vast welke certificeringen en competenties nodig zijn om effectief onderzoek te kunnen doen. Een gekwalificeerde forensisch expert beschikt idealiter over certificeringen zoals GCFA (GIAC Certified Forensic Analyst) of CHFI (Computer Hacking Forensic Investigator). Een helder contract met SLA’s en duidelijke verwachtingen en een gemakkelijk (ook niet-digitaal) te raadplegen contactenboekje met daarin de gegevens van de forensisch expert kan ervoor zorgen dat de expert direct en efficiënt kan handelen bij een incident.
  • Zorg voor vooraf gedefinieerde forensische procedures, zodat duidelijk is welke systemen, logs en metadata veiliggesteld moeten worden. Bepaal daarbij vooraf welke kritieke assets bij een aanval altijd moeten worden gekopieerd, zodat er geen tijd verloren gaat aan discussie.
  • Gebruik geautomatiseerde tooling voor forensische kopieën en logging, zodat dit proces snel en gestandaardiseerd verloopt.

3. Scheiding tussen onderzoek en herstelacties

Terwijl forensische kopieën worden geanalyseerd, kunnen al bepaalde herstelstappen worden ingezet. Welke stappen parallel kunnen worden ingezet is echter situatieafhankelijk en (soms) al dan niet deels afhankelijk van de eerste resultaten vanuit het forensisch onderzoek. Als incidenten de cyclus “Analyse – Inperking (containment) – Opschoning (eradication) – Herstel” doorlopen, is het in de fase van (parallel) herstel wel handig om alvast wat richting te krijgen vanuit analyses. Frequente communicatie tussen forensisch onderzoekers en herstelteams is dan ook cruciaal.

Desalniettemin kan in voorkomende gevallen – al is dat soms ten overvloede – alvast gestart worden met de voorbereiding op herstel gedurende het onderzoek. Om goed te kunnen herstellen moet vaak niet simpelweg op een knop gedrukt worden. Er zijn verschillende handelingen noodzakelijk, al helemaal naar mate de cyberaanval grootschaliger is.

  • Zijn herstelteams al (technisch) in staat met elkaar te communiceren?
  • Kunnen herstelprocedures (technisch) al in gang worden gezet?

Indien het antwoord op een van deze vragen “nee” is, kan daar in ieder geval aan gewerkt worden.

In feite kan dus alles parallel aan het forensisch onderzoek worden voorbereid om – zodra het bestuur/management vindt dat er voldoende onderzoek is gedaan – direct aan de slag te gaan met herstel; te beginnen met opschoning (eradication), gevolgd door het daadwerkelijk herstel.

Let wel, uit het onderzoek kan blijken dat de inhoud van back-ups ook opgeschoond moet worden. Mede daarom is het niet verstandig klakkeloos back-ups te herstellen.

4. Oefenen met tabletop-exercises

Organisaties die vooraf crisisscenario’s oefenen, zijn beter voorbereid op de balans tussen onderzoek en herstel en wanneer de balans welke kant op wijst. Simulaties kunnen helpen om de juiste afwegingen voor te bereiden onder tijdsdruk.

5. Oefenen (back-up) restore testen

In deze blog staat tijdsdruk en het dilemma tussen langer onderzoek versus sneller herstel centraal. “Sneller herstellen” betekent echter niet dat direct na het besluit te kunnen gaan herstellen een IT-omgeving (of deel ervan) gelijk hersteld is. Ook herstel kost tijd. Daarom is het goed om als input voor de afwegingen die hierboven genoemd zijn (bij de tabletop-exercises) te weten hoe lang je daadwerkelijk doet over herstel. De enige manier om daar een serieuze inschatting van te maken, is door het herstel te oefenen. Daarbij geldt daarnaast dat hoe vaker iets geoefend is hoe sneller het proces gaat, technische beperkingen daargelaten.

6. Communicatie en stakeholdermanagement

Heldere communicatie met interne en externe stakeholders helpt de verwachtingen te managen en voorkomt paniekbeslissingen. Een cybercrisiscommunicatieplan voorkomt onnodige druk om systemen te snel online te brengen.

Conclusie

Het conflict tussen forensisch onderzoek en snel herstel is een klassieke uitdaging binnen incident response. Toch kan dit dilemma grotendeels worden weggenomen door vooraf goed na te denken over responsstrategieën. Door snel en efficiënt forensische kopieën te maken, parallelle herstelstappen te nemen, kunnen organisaties zowel snel herstellen als waardevolle inzichten uit het forensisch onderzoek behouden. Zoals vaak met (ogenschijnlijke) dilemma’s: het gaat om het vinden van de juiste balans.

Hoe gaat jouw organisatie om het vinden van die balans en hoe valt de balans uit: staat snelheid of zorgvuldigheid bij jullie voorop?

Neem contact op Vorige blog

Het dilemma tussen voorbereiding en flexibiliteit bij cyber recovery

Inleiding

Stel je het volgende scenario voor: een cyberaanval, zoals NotPetya (waar Mearsk onder leed) of een massale ransomware-infectie, heeft je volledige IT-omgeving platgelegd. Niets werkt meer. Geen toegang tot e-mails, applicaties of zelfs de meest basale systemen zoals je Active Directory (AD). Het enige wat je hebt, is een noodplan—of dat hoop je in ieder geval. Maar hoe compleet moet dat plan zijn? Bereid je elke stap van herstel tot in de puntjes voor, of laat je ruimte voor flexibiliteit en improvisatie?

Dit dilemma raakt de kern van een van de uitdagingen in cyber recovery: hoe balanceer je de behoefte aan een strak plan met de onvoorspelbaarheid van een incident?

Ben jij voorbereid op een cyberaanval? En hoe zeker ben je dat je kunt herstellen na zo’n aanval? Lees verder

In deze blog staan we stil bij waarom het niet verstandig is om Cyber Recovery volledig uit te besteden, zelfs als je IT dat wel is. Ook geven we 5 tips over zaken die je écht zelf moet regelen. Lees verder

In deze blog geven we tips over herstellen na een cyberaanval. Tijd om jouw herstelstrategie onder de loep te nemen. Lees verder

Wat moet je precies veiligstellen om zo snel en efficiënt mogelijk te herstellen na een cyberaanval? In de vorige blog stonden we stil bij het type informatie. Nu gaan we dieper in op de vorm waarin die informatie is opgeslagen. Lees verder

Een goede cyber recovery-strategie valt of staat bij de kwaliteit van je tests. Maar wat moet je precies testen en hoe diep moet je gaan? Lees verder

Kun je volledig vertrouwen op je cloudleverancier, of moet je zelf herstelmaatregelen nemen als er een cyberaanval toeslaat? En hoe verschillen de opties tussen SaaS, PaaS en IaaS? Lees verder

Wat is belangrijker in cyber recovery: een waterdicht noodplan of ruimte voor improvisatie bij een onvoorspelbare cyberaanval? Lees verder

Direct herstellen om de schade te beperken, of eerst forensisch onderzoek doen om te achterhalen wat er is gebeurd bij een cyberaanval? Lees verder

Welke concepten zijn er op de markt beschikbaar en welke overwegingen spelen een rol bij de keuze voor een specifieke aanpak? Lees verder

De termen RTO, RPO en MDT worden traditioneel bepaald op proces- of dienstniveau, maar is dat altijd de meest effectieve aanpak? Lees verder

Vooruitplannen: structuur versus inflexibiliteit

Een gedetailleerd herstelplan heeft duidelijke voordelen. Het biedt structuur en houvast in een chaotische situatie. Iedereen weet wat ze moeten doen, in welke volgorde, en welke stappen prioriteit hebben. Maar te veel structuur kan ook een valkuil zijn. Wat als je plan uitgaat van een bepaald type aanval dat nét anders blijkt te zijn? Wat als de vooraf bedachte volgorde niet past bij de situatie, en niemand de autoriteit heeft om af te wijken?

Een voorbeeld: stel, dat jouw plan voorschrijft om eerst kritieke productie-applicaties te herstellen, maar blijkt dat de kritieke klantapplicaties sneller moeten worden opgestart om reputatieschade te voorkomen. Wie beslist dan om het plan los te laten en te improviseren? Het risico is dat een rigide plan meer tijd kost dan het bespaart.

Flexibiliteit: improvisatie of chaos?

Aan de andere kant kan een flexibel herstelpad waardevol zijn, omdat het ruimte laat om in te spelen op de specifieke situatie. Maar hier schuilt ook gevaar: zonder een helder kader kan flexibiliteit al snel omslaan in chaos. Wie neemt beslissingen? Op basis van welke informatie bepaal je prioriteiten? En hoe voorkom je dat verschillende teams elkaar tegenwerken?

Een hybride aanpak, waarbij bepaalde kritieke onderdelen strak gepland zijn en andere flexibel blijven, kan helpen om het beste van beide werelden te combineren. Maar dat vraagt voorafgaand overleg en duidelijke afspraken over wie welke beslissingen mag nemen.

Wat moet altijd eerst?

Er zijn delen van je IT-infrastructuur waar je simpelweg geen of in ieder geval weinig keuzevrijheid hebt. Basisinfrastructuur zoals AD, DNS, DHCP, NTP en je virtualisatieplatform vormen de ruggengraat van je IT-omgeving. Deze componenten zijn vaak sterk afhankelijk van elkaar. Dit betekent dat je voor deze lagen van je infrastructuur een vast en goed getest herstelplan nodig hebt (zie ook mijn eerdere blog over testen).

Op applicatieniveau is er vaak meer speelruimte. Hier kun je prioriteiten stellen op basis van de impact op je organisatie én de situatie waarin je verkeert. Zijn klantgerelateerde systemen het belangrijkst? Of richt je je eerst op interne processen zoals HR en finance? De keuzes die je maakt, zouden idealiter gebaseerd moeten zijn op een Business Impact Analysis (BIA), waarin je vooraf vastlegt welke applicaties cruciaal zijn voor je bedrijfscontinuïteit. Toch hoeven de resultaten van de BIA geen definitief uitsluitsel te bieden.

De rol van testen en simuleren

Of je nu kiest voor een strakke planning, flexibiliteit, of een combinatie van beide, een succesvol herstel staat of valt met testen. Tijdens een cyberaanval neemt stress vaak over, wat kan leiden tot fouten of vertraagde beslissingen. Het testen van je herstelplannen helpt niet alleen om technische fouten te ontdekken, maar ook om organisatorische zwaktes bloot te leggen. Wie neemt de leiding? Hoe stressbestendig is die persoon? Hoe reageren teams onder druk? Zijn de rollen en verantwoordelijkheden duidelijk?

Het simuleren van verschillende scenario’s, inclusief onvoorspelbare elementen, kan helpen om je organisatie voor te bereiden op het onverwachte. Denk aan scenario’s waarbij bepaalde systemen langer uitvallen dan verwacht, of waarbij sleutelpersonen niet beschikbaar zijn.

Strategische keuzes: alles voorbereiden of niet?

Het antwoord op dit dilemma is niet zwart-wit. Een 100% uitgewerkt herstelpad geeft duidelijkheid en snelheid, maar beperkt je wendbaarheid. Volledig vertrouwen op improvisatie biedt flexibiliteit, maar vergroot de kans op fouten. De beste aanpak is vaak een balans: een solide plan voor je basisinfrastructuur en ruimte voor flexibiliteit op applicatieniveau.

Belangrijk is dat je vooraf nadenkt over de verantwoordelijkheden. Wie beslist welke onderdelen volledig voorbereid worden? Wie heeft tijdens een crisis de autoriteit om beslissingen te nemen? En hoe zorg je ervoor dat deze rollen goed op elkaar zijn afgestemd?

Een plan voor het onverwachte

Een cyberaanval is altijd onverwacht, maar je herstelstrategie hoeft dat niet te zijn. Door kritisch te kijken naar je IT-afhankelijkheden en duidelijke keuzes te maken in wat je voorbereidt en wat je flexibel laat, kun je je organisatie wapenen tegen de gevolgen van een aanval. Combineer dit met regelmatig testen en een heldere rolverdeling, en je creëert een hersteltactiek die zowel robuust als wendbaar is.

De vraag blijft: ben jij voorbereid op het onverwachte? Of laat je het over aan de improvisatie van het moment?

Neem contact op Vorige blog
Older posts