Leestijd: 2 minuten

Legacysystemen en hun risico’s

Ondernemers zijn in steeds grotere mate afhankelijk van IT. Voor een deel zullen dit systemen zijn die inmiddels niet meer of nauwelijks meer worden ondersteund door hun leveranciers. Dat zijn de zogenaamde “legacysystemen”. Het gebruik van dergelijke systemen is niet zonder risico’s. Legacysystemen worden immers vaak ingezet in bedrijfskritische processen. Daarmee vervullen deze systemen een cruciale rol voor veel ondernemingen.

Legacysystemen zijn niet noodzakelijkerwijs onveiliger, wat blijkt uit het feit dat veel van deze systemen al jaren uitstekend functioneren. Toch kan het verstandig zijn om met een assessment de risico’s in kaart te brengen. De beveiligingsrisico’s van deze legacysystemen nemen toe doordat systemen steeds meer aan elkaar gekoppeld worden en aangesloten zijn op het internet.

Self-assessment

Het Nationaal Cyber Security Centrum (NCSC) heeft om die reden deze maand een self-assessmentmethode publiek gemaakt, opdat elk bedrijf zelf de risico’s in kaart kan brengen. Deze self-assessmentmethode kan helpen om op methodische wijze inzicht te verkrijgen in de risico’s en kwetsbaarheden. Nadat dit inzicht is ontstaan, kunnen maatregelen worden overwogen om de risico’s te verkleinen.

Het self-assessment is te gebruiken door alle (grotere) organisaties met problematiek op het gebied van legacysystemen, maar het richt zich voornamelijk op organisaties in vitale sectoren zoals het betalingsverkeer, kernenergie en drinkwatervoorzieningen

Deze self-assessmentmethode kan in aanvulling op de vele andere methoden in risicomanagement en informatiebeveiliging worden gebruikt, zoals ISO 27002 en 27005, ISF Sprint, NIST SP 800-53, BIV-classificaties enzovoort. Dit self-assessment is anders in die zin dat in het bijzonder wordt gekeken naar de onveiligheden en de opties die specifiek voor legacysystemen relevant zijn. Hierbij komen de gekwantificeerde risico’s voor de eigen organisaties en ook de samenleving aan de orde.

Op de website van het NCSC zijn de hulpmiddelen publiekelijk beschikbaar gemaakt:

Link: Zicht op risico’s van legacysystemen

Vragen?

Heeft u vragen over de self-assessment of andere compliance-vraagstukken, dan bent u bij NORD Advocatuur aan het juiste adres.

Geplaatst op 22 december 2015 door Koen Konings