Internet of Things: checklist risicomanagement

Al die moderne apparaten die al dan niet met medeweten van de ICT-afdeling, de risiscomanager en de interne auditor onze kantoren en fabrieken binnenstromen kunnen veel nieuwe waarde (helpen) creëren, maar vormen tegelijk allerlei nieuwe risico’s en zwakke plekken in de defensie van de organisatie tegen ongeoorloofde toegang, diefstal en bewerking van gegevens.

ISACA publiceerde zojuist nieuwe richtlijnen en raadt elke organisatie aan negen cruciale vragen te stellen om beter voorbereid het IoT naar binnen te laten.

Het gaat om de volgende gewetensvragen:

• Hoe wordt het apparaat zakelijk ingezet en gebruikt, en wat is het zakelijk nut ervan?

• Welke risico’s draagt het met zich mee, en (hoe) kunnen we die mitigeren dan wel opheffen?

• Wie kan en mag er werken met het apparaat, welke rollen en personen, hoe is dat geregeld en vastgelegd?

• Wie is verantwoordelijk voor het monitoren van het apparaat in termen van aanvallen van buitenaf of vastgestelde kwetsbaarheden?

• Wie is er verantwoordelijk voor (eventuele updating etc van) het apparaat in het geval van een cyber-aanval of geconstateerde zwakke plek?

• Zijn de mogelijke risicoscenario’s gewogen en afgezet tegen de eventuele baten voor de organisatie?

• Welke persoonsinformatie wordt in, door of voor het IoT-apparaat verzameld, vastgelegd en verwerkt?

• Weten de individuen om wiens gegevens het gaat hier van en hebben zij toestemming gegeven?

• Wie heeft toegang tot de data? Met wie worden deze gedeeld? Is er een adequate audit trail?

Dat het hier niet om overbodige voorzichtigheid gaat moge blijken uit het feit dat volgens ISACA’s IT Risk/Reward Barometer survey al 43% van de ondervraagde organisaties gebruik maakt van apparaten die aan het IoT gekoppeld zijn.

www.isaca.org