Intermediate

Waarom een proactieve cyberbeveiligingsstrategie essentieel is

Teun Tonino — Tue, 23 May 2023 06:28:00 +0000

In het huidige digitale tijdperk, waarin technologie elk aspect van ons leven doordringt, worden organisaties geconfronteerd met een voortdurend veranderend en geavanceerd dreigingslandschap. Cyberaanvallen zijn veelvuldiger, geavanceerder en schadelijker dan ooit tevoren. Het is voor organisaties niet langer voldoende om simpelweg te reageren op incidenten nadat ze hebben plaatsgevonden; een proactieve cyberbeveiligingsstrategie is essentieel geworden. In deze blogpost gaan we in op de redenen waarom organisaties een proactieve benadering van cyberbeveiliging moeten hanteren en geven we de voordelen daarvan. Veranderend cyberdreigingslandschap Cyberdreigingen ontwikkelen zich voortdurend, waarbij aanvallers nieuwe manieren vinden om kwetsbaarheden in systemen en netwerken uit te buiten. Recente geruchtmakende aanvallen zoals ransomware-incidenten, datalekken en aanvallen op de toeleveringsketen hebben de ernst van de situatie duidelijk gemaakt. Organisaties kunnen het zich niet veroorloven om te wachten tot ze slachtoffer worden; ze moeten anticiperen en zich voorbereiden op nieuwe bedreigingen. Door een proactieve cyberbeveiligingsstrategie te implementeren, kunnen organisaties aanvallers voorblijven en potentiële risico’s beperken. Kosten van inbreuken op de cyberbeveiliging De financiële en reputatiekosten van cyberaanvallen zijn duizelingwekkend. Studies tonen aan dat de gemiddelde kosten van een datalek in de miljoenen lopen, gezien de kosten van de reactie op een incident, het herstel, de juridische kosten en de kennisgeving aan […]

Het bericht Waarom een proactieve cyberbeveiligingsstrategie essentieel is verscheen eerst op Intermediate.

De impact van AI op compliance

Teun Tonino — Tue, 28 Mar 2023 07:02:51 +0000

Als compliance officer ben je waarschijnlijk goed op de hoogte van het steeds toenemende regelgevingslandschap en de noodzaak voor organisaties om zich te houden aan strikte compliance-eisen. Met de komst van AI zal compliance echter een transformatie ondergaan die van invloed zal zijn op de manier waarop organisaties de naleving van regelgeving, risico management en rapportage aan toezichthouders beheren. In deze blogpost onderzoeken we de impact van AI op compliance. Compliance taken automatiseren Een van de belangrijkste effecten van AI op compliance is de mogelijkheid om vervelende en tijdrovende compliance taken te automatiseren. Door AI aangedreven tools kunnen bijvoorbeeld snel en nauwkeurig grote hoeveelheden gegevens screenen om mogelijke compliance problemen op te sporen, waardoor compliance officers tijd kunnen vrijmaken om zich te concentreren op meer strategische taken. Volgens een onderzoek van Accenture gelooft 80% van de compliance officers dat AI het compliance-landschap zal transformeren door handmatige processen te automatiseren. Vermindering van het risico van niet-naleving AI kan ook helpen het risico op niet-naleving te verkleinen door potentiële problemen proactief te identificeren voordat ze een probleem worden. Machine learning-algoritmen kunnen enorme hoeveelheden gegevens analyseren om patronen en afwijkingen te identificeren die kunnen wijzen op een nalevingsrisico. Dit betekent dat compliance officers […]

Het bericht De impact van AI op compliance verscheen eerst op Intermediate.

De vaardigheden van een succesvolle Information Security Manager

Teun Tonino — Tue, 14 Feb 2023 06:00:00 +0000

Nu bedrijven steeds afhankelijker worden van technologie, is het belang van een robuust informatiebeveiligingssysteem nog nooit zo groot geweest. Nu cyberaanvallen en datalekken regelmatig het nieuws halen, is het essentieel dat bedrijven beschikken over een goed geïnformeerde en capabele Information Security Manager (ISM) om de risico’s te beperken. Deze manager moet over zowel technische als zachte vaardigheden beschikken om succesvol te zijn. In dit artikel bekijken we wat die vaardigheden zijn en waarom ze zo essentieel zijn. Technische vaardigheden Centraal in de rol van een ISM staat de behoefte aan technische kennis en ervaring op het gebied van informatiebeveiliging. Dit omvat inzicht in actuele bedreigingen van de veiligheid, beoordeling en beheer van kwetsbaarheden en de implementatie en het beheer van beveiligingsoplossingen. Op de hoogte blijven van de nieuwste technologieën en beste praktijken is essentieel, en veel ISM’s kiezen voor certificeringen zoals Certified Information Systems Security Professional (CISSP) of Certified Information Security Manager (CISM) om hun deskundigheid aan te tonen. Communicatieve vaardigheden Een ISM moet in staat zijn complexe beveiligingsconcepten doeltreffend over te brengen aan zowel technische als niet-technische belanghebbenden. Dit omvat het vermogen om bevindingen en aanbevelingen op een duidelijke en beknopte manier te presenteren aan het senior management, en […]

Het bericht De vaardigheden van een succesvolle Information Security Manager verscheen eerst op Intermediate.

Wat kunnen andere branches leren van de financiële sector?

Teun Tonino — Tue, 11 Oct 2022 06:00:53 +0000

Hoewel risk management en compliance binnen de meeste branches tegenwoordig wel een rol spelen, staan compliance met wet- en regelgeving en risk management niet in elke sector op een even hoog niveau. Bedrijven die actief zijn in de financiële sector bijvoorbeeld, moeten voldoen aan strenge(re) regels van toezichthouders en andere stakeholders. Dit zorgt ervoor dat risk management en de interne beheersing van compliance vraagstukken in de financiële wereld vaak een hoger volwassenheid niveau hebben dan in de meeste andere sectoren. Zo past deze branche bijvoorbeeld veel consequenter enterprise risk management (ERM) toe. Zij hanteren deze methode op een volwassenheidsniveau waar andere branches veel van kunnen leren. Van noodzaak naar deugd Na de crisis in 2008 lag de financiële wereld onder een maatschappelijk vergrootglas. Politici, klanten en samenleving eisten verandering. Als gevolg, kreeg de sector te maken met strengere wetten en aangescherpte regelgeving. Organisaties in deze sector maakten van de nood een deugd en zetten daarom sterk in op het opbouwen en onderhouden van specialistische kennis op het gebied van risicomanagement, interne beheersing en compliance met wet- en regelgeving. Het voorbeeld van de financiële sector Maar op welke vlakken loopt de financiële sector dan precies voor de muziek uit, als het […]

Het bericht Wat kunnen andere branches leren van de financiële sector? verscheen eerst op Intermediate.

Wat zijn een RO, RA, RE en RC en waarin verschillen ze?

Teun Tonino — Tue, 20 Sep 2022 06:00:57 +0000

Weet je wat het verschil is tussen een RO, RA, RE en RC? Ze spelen allemaal een grote rol in het management van jouw bedrijf. De afkortingen lijken erg op elkaar, maar de werkzaamheden van deze professionals verschillen nogal. Wat ze in ieder geval gemeen hebben is dat het universitaire en post doctorale titels zijn. Hieronder gaan we in op wat deze titels inhouden en wanneer je personen met deze titels het beste kunt inschakelen. Register Operational Auditor (RO) Een RO is een gekwalificeerde internal audit professional met kennis en ervaring in bedrijfsvoering. Wat doet een RO? De taak van een RO is de bedrijfsvoering vanuit een brede en algemene aanpak te onderzoeken. Hij doet dit vanuit een multidisciplinaire visie en geeft daarmee inzicht aan de hoogste leiding van de organisatie. Als generalist helpt de RO om het verhaal achter de cijfers te vertellen. Hij kijkt naar alle aspecten van het bedrijf en adviseert op basis daarvan over verbeteringen. Registeraccountant (RA) Het gebruik van de titel Registeraccountant (RA) is wettelijk beschermd. Dit betekent dat je deze titel enkel mag dragen als je staat ingeschreven in het register van de Nederlandse beroepsorganisatie van accountants. Wat doet een RA? Een RA is […]

Het bericht Wat zijn een RO, RA, RE en RC en waarin verschillen ze? verscheen eerst op Intermediate.

Het belang van compliance en risk management bij scale-ups

Teun Tonino — Tue, 23 Aug 2022 07:00:31 +0000

Het aantal start- en scale-ups groeit snel, zeker in de wereld van de fintech. Een van de redenen hiervoor is dat technologische ontwikkelingen de mogelijkheid bieden om tegen relatief lage kosten nieuwe diensten of producten in de markt te zetten. De drempel om te starten en bij groei en succes snel uit te breiden is dus laag. Waar het vaak nog aan schort bij scale- en start-ups? Voldoende tijd besteden aan wet- en regelgeving, compliance en een goed intern controleframework voor risk management. Stakeholders verwachten daarentegen wel dat deze zaken goed geregeld zijn en dat de partners waar ze mee werken ‘in control’ zijn. In dit artikel lees je waarom compliance en risk management belangrijk zijn en hoe je deze zaken met de juiste maatregelen en expertise prima kunt inregelen. Van start-up naar scale-up: de uitdagingen Als het schort aan compliance en risk management, sneuvelen start-ups vaak voordat ze kunnen uitgroeien tot volwaardige scale-ups. In de praktijk bereikt slechts zo’n 5 procent van alle start-ups het stadium van scale-up. Dat heeft vaak te maken met de dynamiek van dit type organisaties. Ze groeien vaak snel en moeten voldoen aan zowel de behoeften van de markt als aan eisen die gesteld […]

Het bericht Het belang van compliance en risk management bij scale-ups verscheen eerst op Intermediate.

Ben jij al klaar voor DORA?

Teun Tonino — Tue, 19 Jul 2022 06:00:23 +0000

Digitalisering en technische innovatie scheppen volop kansen voor de financiële sector, maar brengen zeker ook risico’s met zich mee. Om die risico’s in te dammen, ontwierp de Europese Unie regelgeving die de digitale weerbaarheid van deze belangrijke sector moet vergroten: de Digital Operational Resilience Act (DORA). De Autoriteit Financiële Markten (AFM) verwacht dat deze verordening, die de Europese Raad momenteel bespreekt, eind 2022 of begin 2023 in werking treedt. Maar wat houdt DORA precies in? Wat betekent de EU-wet voor bedrijven die actief zijn in de financiële sector? En hoe kunnen die ondernemingen zich voorbereiden op de nieuwe wetgeving? Lees verder voor de antwoorden op deze prangende vragen. Wat is DORA? Met DORA wil de EU een uniform wetgevend kader scheppen op het gebied van cyberveiligheid in de financiële sector. Momenteel zijn de regels op dit gebied versnipperd of beperkt. Soms gelden regels alleen op landelijk niveau of zijn er helemaal geen regels, wat leidt tot inconsistentie in regelgeving tussen verschillende EU-lidstaten. Het gevolg? Meer cyberrisico’s en onnodige kosten voor financiële instellingen, maar ook onduidelijkheid over de regels die gelden in bepaalde landen of regio’s. 3 hoofddoelen van DORA De Europese Commissie (EC) formuleert zelf drie DORA-hoofddoelen: Wat betekent DORA […]

Het bericht Ben jij al klaar voor DORA? verscheen eerst op Intermediate.

Attack surface management: wat is het en waarom is het belangrijk?

Teun Tonino — Mon, 04 Jul 2022 08:00:56 +0000

Moderne CIO’s staan voor een uitdagende taak: digitale transformatie en innovatie stimuleren, maar tegelijkertijd de organisatie beschermen tegen het groeiende aantal geavanceerde cyberdreigingen en -aanvallen. Digitale transformatie leidt namelijk bijna altijd tot een groter, gevarieerder en complexer IT-landschap. Dit heeft een groter aanvalsoppervlak en is vaak lastiger te beheren dan een kleine IT-omgeving. Attack surface management is een van de beste manieren om jouw digitale omgeving veilig te houden. De toptrend in cybersecurity volgens Gartner. Maar wat houdt dit begrip in? En waarom is het belangrijk om er aandacht aan te besteden? Je leest het in dit blogartikel. Wat is een attack surface? Een attack surface (aanvalsopppervlak) is de som van het aantal IT-assets binnen een organisatie dat aan eventuele cyberrisico’s is blootgesteld. Die onderdelen kunnen een veilige, kwetsbare of onbekende status hebben. Het aanvalsoppervlak van een organisatie omvat IT-onderdelen die on-premises, in de cloud, in ‘dochternetwerken’ en in omgevingen van derde partijen staan. Een attack surface verandert door de tijd heen bovendien doorlopend. Er komen nieuwe applicaties en systemen bij, terwijl andere juiste verdwijnen. Wat is attack surface management? Attack surface management is een continu proces dat je helpt om het veiligheidsniveau van jouw IT-ecosysteem in te schatten en […]

Het bericht Attack surface management: wat is het en waarom is het belangrijk? verscheen eerst op Intermediate.

COSO ERM en ISO 31000: de overeenkomsten en verschillen

Teun Tonino — Wed, 15 Jun 2022 08:00:45 +0000

Om risicobeheersing verder te professionaliseren, is het belangrijk om een goed en erkend framework voor risicomanagement toe te passen. COSO ERM en de ISO 31000 zijn wereldwijd de twee belangrijkste standaarden voor risicomanagement op enterpriseniveau (enterprise risk management). Wat houden deze ERM-standaarden precies in? En wat zijn de belangrijkste overeenkomsten tussen COSO ERM en ISO 31000? Je leest het in dit blogartikel. Wat is COSO ERM? COSO ERM is een veelgebruikt model voor risicomanagement dat richtlijnen biedt voor interne controles en de beheersing daarvan. Het is een raamwerk dat je helpt om meer inzicht te krijgen in het realiseren van belangrijke organisatiedoelstellingen, bijvoorbeeld op het gebied van de efficiëntie van bedrijfsprocessen of het naleven van wet- en regelgeving. Het COSO-raamwerk verweeft 4 soorten risico’s (strategische en operationele risico’s, risico’s op het gebied van informatievoorziening en risico’s vanuit de wet- en regelgeving) in verschillende processtappen die je moet doorlopen en waarmee vrijwel elke grote organisatie te maken krijgt. Wat is ISO 31000? ISO 31000 is een ERM-raamwerk dat bestaat uit een drietal hoofdonderdelen: De principes voor risicomanagement die het fundament vormen van het model. Het raamwerk dat de hele beleidscyclus omvat: draagvlak, risicobeleid, contextanalyse, implementatie, review en verbetering. Hiermee stuur je […]

Het bericht COSO ERM en ISO 31000: de overeenkomsten en verschillen verscheen eerst op Intermediate.

De follow-up van management letter-items en auditbevindingen waarborgen? Zo lukt het!

Teun Tonino — Mon, 30 May 2022 08:00:28 +0000

Veel organisaties hebben geregeld te maken met managementletters en bevindingen van interne audits. Managementletters zoals rapporten van externe accountants aan de raad van commissarissen of toezicht van een bedrijf. Maar ze hebben vaak moeite met het oplossen van die punten of het leveren van een goede follow-up. In dit artikel geven we je een aantal effectieve handvatten om de follow-up van bevindingen uit managementletters en interne audits beter in te richten. Doe er je voordeel mee! Welke punten komen aan bod in een managementletter en interne audit? In een managementletter staan vaak bevindingen en adviezen over de bedrijfsvoering en administratieve organisatie van een bedrijf. Denk bijvoorbeeld aan de interne beheersing van processen en risico’s of de inrichting en kostenefficiëntie van de IT-omgeving. Andere punten zijn de administratieve organisatie van een onderneming of instelling en actuele ontwikkelingen op financieel en beleidsmatig gebied. Een interne audit (internal audit) richt zich vooral op het goed en betrouwbaar functioneren van bedrijfsprocessen en werkwijzen. Frustratie met de follow-up Organisaties hebben vaak moeite om de bevindingen uit managementletters en interne audits te vertalen naar goede follow-ups en gerichte verbeteringen. De materie is (te) complex, terwijl het monitoren van follow-ups en verbeteringen lastig is door het ontbreken […]

Het bericht De follow-up van management letter-items en auditbevindingen waarborgen? Zo lukt het! verscheen eerst op Intermediate.