Hoe om te gaan met 'Digitale Verzekering

De reden achter Digitale Verzekering

Het implementeren en onderhouden van Digitale Beveiliging in een gedigitaliseerd ecosysteem vergt veel werk. Tegenwoordig worden meerdere complexe frameworks en modellen gebruikt om Digitale Beveiliging te implementeren.

Helaas worden deze tools gezien als ingewikkeld om te implementeren en te onderhouden in gedigitaliseerde waardeketens en platforms. De meeste bedrijven gebruiken nog steeds spreadsheets om hun compliance aan te tonen. En verrassend genoeg gebruiken ook toezichthouders spreadsheets voor supervisie.

Bedrijven lopen risico

Onderzoek heeft aangetoond dat het aantal beveiligingsincidenten is toegenomen [1] in de loop der jaren, evenals de financiële impact per datalek [1]. Het beheersen van opkomende technologieën zoals big data, Internet of Things [2], Kunstmatige Intelligentie en sociale media en het bestrijden van cybercriminaliteit [3], terwijl kritieke bedrijfsgegevens worden beschermd, vereist een team in plaats van één IT-persoon [4].

Om deze gegevens te beschermen, moeten beveiligingsspecialisten de waarde van informatie kennen en de impact als deze in gevaar is [4].

In het verleden [7] werden IT-beveiligingsmaatregelen geïmplementeerd om dit risico te verminderen. Deze maatregelen waren gebaseerd op best practices die door leveranciers werden voorgeschreven, zonder een directe link naar risico's, regelgevende vereisten of bedrijfsdoelstellingen [7].

De maatregelen zijn afhankelijk van technologie en audits en beoordelingen (in spreadsheets) werden gebruikt om hun effectiviteit aan te tonen [8]. Werken met verspreide Excel-spreadsheets wordt op zichzelf een risico door aankomende regelgevende vereisten in de Europese Unie, zoals NIS2 en de DORA-wet. En andere wetgevingen (zie onderstaande tabel).

Onbetrouwbare en versnipperde gegevens over meerdere bestanden en systemen

Het invullen van spreadsheets is vatbaar voor manipulatie [28], omdat het geen gesloten, afgeschermde cyclus is. Spreadsheets worden opgeslagen – soms in dubbele versies – op gedecentraliseerde systemen, soms niet goed beschermd, waardoor bewijs onbetrouwbaar wordt. Spreadsheetgegevens kunnen niet altijd uit de bronnen worden verzameld, wat de authenticiteit en integriteit vermindert [31].

Er is behoefte aan een geoptimaliseerd risico- en complianceproces

Javid Khan zegt: "Het gebruik van slimmere en intuïtievere tools en technologieën, samen met het automatiseren van processen, zal organisaties in staat stellen de voordelen te behalen die ze nastreven, zoals realtime waarschuwingen, betere rapportage en het samenbrengen van alle gegevensbronnen. In de toekomst zal er een grotere vraag zijn naar dit soort technologie die het complianceproces kan optimaliseren, zowel vanuit een management- als onderhoudsperspectief [24]."

Het Wat: De voordelen van centraal beheerde risico, compliance- en privacybeheersing

Een aanzienlijke hoeveelheid documentatie en een audittrail is nodig voor compliance, wat tijdrovend kan zijn.

Wat we twee decennia geleden in de financiële sector hebben geleerd, met de MCI WorldCom- en Enronschandalen, is dat het documenteren van financiële processen in verspreide, op Excel gebaseerde systemen onbetrouwbaar en niet duurzaam is.

Uit onze ervaring blijkt dat een centraal Information Security Management System (ISMS) nodig is. Een ISMS is een applicatie die alle vereiste privacy-, risicobeheer- en beveiligingscontrolebewijzen centraal documenteert.

Begin jaren '70 en '80 werd de behoefte aan systemen zoals Enterprise Resource Planning (ERP) en gespecialiseerde boekhoudsystemen die boekhoudkundige regelgeving ondersteunden duidelijk – systemen zoals SAP, Baan en later Exact en AFASOnline.

Om de administratieve last te verminderen

Omdat financiële processen één versie van de waarheid vereisen, wat nu ook in de beveiligingssector gebeurt, dringen strengere regelgevende vereisten aan op een professioneel niveau van Administratieve Organisatie en Interne Controle (AO/IC).

Specifieke Governance, Risk en Compliance (GRC)-tools omvatten ISMS-functies, maar zijn voor veel organisaties overkill. Het beheren en onderhouden van een GRC-systeem, vooral als middenbedrijf, is complex en wordt een taak op zich. Dit kan het bedrijf verstikken.

Information Security Management Systems (ISMS) vergemakkelijken het hele verzekeringsproces. Ze zullen essentieel worden voor bedrijven die zich moeten houden aan regelgeving zoals NIS2. In Europa moeten 160.000 bedrijven hieraan voldoen voor 18 oktober 2024.

De administratieve last die deze toekomstige regelgeving met zich mee zal brengen voor elk technologiebedrijf in de EU (EdTech, InsurTech, FinTech, MedTech, GovTech, etc.) is enorm als je niet centraal beheert en automatiseert via ISMS-tools.

Behoud overzicht over uw waardevolle digitale activa

ISMS-systemen automatiseren controletests en kunnen periodieke taken creëren die door operationeel personeel moeten worden uitgevoerd. Het centraal documenteren van de resultaten maakt governance over digitale beveiliging en compliance met regelgeving eenvoudiger.

Als voorlopers van deze ISMS-technologie via Ph.D.-onderzoek hebben we de "Test once Comply Many"-werkwijze uitgevonden. En we hebben de Return on Security Investment (ROSI)-berekening geïntegreerd.

Deze "Test Once Comply Many"-filosofie is al met succes geïmplementeerd in veel organisaties zoals NN Group, UWV en ON2IT. Het stelt deze organisaties in staat om overzicht te houden over digitale verzekering en nieuwe klanten te winnen als betrouwbare partners.

De administratieve last die deze toekomstige regelgeving met zich mee zal brengen voor elk technologiebedrijf in de EU (EdTech, InsurTech, FinTech, MedTech, GovTech, etc.) is enorm als je niet centraal beheert en automatiseert.

Het Hoe: Bescherm uw bedrijf en zorg voor compliance

Anove staat sinds 1996 voorop in Digitale Beveiliging met de introductie van de eerste beveiligingstechnologie op de markt.

Momenteel hebben ze meer dan 25 jaar ervaring, kennis en de nieuwste inzichten gebundeld in een nieuwe digitale verzekeringstechnologie: Anove. Dit bewezen en in eigen huis ontwikkelde Information Security Management System verzamelt alle relevante gegevens die u nodig heeft om uw bedrijf te beschermen en compliance te waarborgen.

Anove is een oplossing om administratieve bureaucratie te verminderen en uw marktbenadering tegelijkertijd te versnellen. Als u last heeft van versnipperde informatie over meerdere tools en systemen, complexe risicobeheersing, onstuitbare bureaucratie en oncontroleerbare compliance-activiteiten, kan Anove u ondersteunen.

Anove streeft ernaar om het vakgebied te vereenvoudigen en continu te verbeteren, zaken te vereenvoudigen en actie boven praatjes te stellen. We bieden hulp bij digitale verzekering, zodat u zich kunt concentreren op uw bedrijf. U kunt rekenen op onze expertise en ervaring, omdat we weten:

Hoe u uw bedrijfsrisico's moet beheren,
Hoe u uw blootstelling kunt meten en
Hoe u ervoor kunt zorgen dat u op het juiste moment de juiste acties onderneemt met de voorziene effecten.

Wat nu?

Bent u benieuwd geworden naar wat digitale verzekering voor uw bedrijf kan betekenen? Neem contact met ons op voor een informatief gesprek of vraag een gratis demo aan.

Referenties en andere informatie

* De NIS-richtlijn is de eerste EU-brede wetgeving op het gebied van cyberbeveiliging. De richtlijn inzake de beveiliging van netwerk- en informatiesystemen (de NIS-richtlijn) vereist dat lidstaten adequaat zijn uitgerust. Meer informatie over deze richtlijn.

** DORA is ontworpen om ICT-risicobeheervereisten in de hele financiële dienstensector te consolideren en te upgraden, zodat alle deelnemers aan het financiële systeem onderworpen zijn aan een gemeenschappelijke set normen om ICT-risico's voor hun activiteiten te mitigeren. Europese Commissie, En de Digital Operational Resilience Act (DORA) voor de financiële sector en amendementen. Bron

 

1. Ponemon, "Cost of Data Breach Study: Global  Analysis," Ponemon Institute LLC, United States, 2016.
2. M. Conti, A. Dehghantanha, K. Franke and S. Watson,  "Internet of Things security and forensics: Challenges and  opportunities," FUTURE GENERATION COMPUTER SYSTEMS-THE INTERNATIONAL  JOURNAL OF ESCIENCE , vol. 78, pp. 544-546, 2018.
3. B. Cashell, W. Jackson, M.  Jickling and B. Webel, "The Economic Impact of Cyber-Attacks,"  Congressional Research Service, The Library of Congress, United States, 2004.
4. ITGI, Information Risks; Who's  Business are they?, United States: IT Governance Institute, 2005.
5. W. Yaokumah and S. Brown,  “An Empirical Examination of the relationship between Information Security /  Business strategic alignment and Information Security Governance,” Journal  of Business Systems, Governance and Ethics , vol. 2, no. 9, pp. 50-65,  2014.
6. D. Zitting, "Are You Still Auditing in  Excel?," Sarbanes Oxley Compliance Journal, 2015. [Online]. Available:  http://www.s-ox.com/dsp_getFeaturesDetails.cfm?CID=4156.
7. S. Powell, K. Baker and B. Lawson, "Errors in  Operational spreadsheets," Journal of Organizational and End User Computing, vol. 21, no. 3, pp. 24-36, 2009.
8. Deloitte, "Spreadsheet Management, Not what you  figured," 2009.
9. J. Khan, "The need for continuous  compliance," pp. 14-15, June 2018.
10. Y. Bobbert and T. Papelard, Critical Success Factors  for Business Information Security, Antwerp: Diagloog Publishers, 2018.
11. D. Hubbard, The Failure of  Risk Management, Hoboken New Jersey: John Wiley & Sons, 2009.
12. Y. Bobbert, Improving the Maturity of Business  Information Security: On the Design and Engineering of a Business Information Security Administrative tool, Nijmegen: Radboud University, 2018.
13. W. Flores, E. Antonsen and  M. Ekstedt, "Information security knowledge sharing in organizations:  Investigating the effect of behavioral information security governance and  national culture," Computers & security, Vols. 2014-43, pp.  90-110, 2014.
14. J. Van Niekerk and R. Von  Solms, “Information security culture; A management perspective,” Elsevier,  pp. 476-486, 2010.
15. C. Seale, Researching Society and Culture, Sage  Publications - Second edition: ISBN 978-0-7619-4197-2, 2004.

‍