De opkomst van internet en technologie heeft ons leven steeds gemakkelijker gemaakt, maar heeft ook nieuwe kwetsbaarheden blootgelegd die door cybercriminelen kunnen worden uitgebuit.<\/p>\n
Zonder de juiste maatregelen rondom informatiebeveiliging zijn organisaties kwetsbaar voor\u00a0datalekken en de vaak aanzienlijke financi\u00eble gevolgen die daarmee gepaard gaan voor jouw bedrijf.<\/p>\n
Risicobeheer is dus terug van nooit weggeweest. “nooit weggeweest” omdat het een cruciaal onderdeel is van cyber security in organisaties en elke cyberbeveiligingsstrategie die daaruit voortkomt.<\/p>\n
“Terug” omdat risicobeheer met naam en toenaam genoemd wordt in de NIS2 richtlijn waardoor het ook een wettelijke verplichting wordt.<\/p>\n
Nu zijn er over risicobeheer vele standaarden geschreven, boeken gepubliceerd, en cursussen beschikbaar, maar soms is het niet slecht te vertrekken vanuit de basis.<\/p>\n
Waar de fijne kneepjes van risicobeheer een specialisatie op zich zijn, is de basis redelijk eenvoudig.<\/p>\n
In dit artikel overlopen we de kernprincipes van risicobeheer in cyber beveiliging waardoor je meteen inzicht krijgt in de wettelijke verplichting rond risicobeheer in de context van NIS2.<\/p>\n
Waarom zou je aan cyberveiligheid doen voor jouw onderneming?<\/p>\n
Omdat het een wettelijke verlichting is, horen we je denken.<\/p>\n
Volkomen gelijk natuurlijk, maar normaal gezien komt een wettelijke verplichting uit iets rationeels voort. Met risicobeheer is dat niet anders. Het helpt\/verplicht een organisatie namelijk om eerst in kaart te brengen waar het fout kan gaan.<\/p>\n
Met andere woorden, niet meteen springen op het nieuwste cybersecurity tooltje, of het “pet project” van de Chief Information Security Officer (CISO) , maar een stapje terug nemen om zo objectief mogelijk te bekijken aan welke risico’s, zoals bijvoorbeeld cyberaanvallen, malware, phishing, ransomware, social engineering, ddos-aanvallen of andere kwetsbaarheden de organisatie blootgesteld is om daarna te bepalen wat de noodzakelijkste maatregelen zijn.<\/p>\n
Dit hoeft niet meteen te verzanden in een eindeloze administratieve overhead, risicobeheer mag gerust eenvoudig en pragmatisch zijn. Onderstaand benoemen we de drie essenti\u00eble fases voor het uitvoeren van risicobeheer.<\/p>\n
Het begint met cybersecurity risico’s proactief te identificeren, oftewel in kaart brengen welke risico’s je organisatie loopt, risico over je systemen en data. Er is geen offici\u00eble manier om dat te doen, ook de NIS2 richtlijn laat je vrij om dat in te vullen.<\/p>\n
Brainstorm sessies per afdeling? Brown paper sessies met het management? Excel sheets met vragen die rondgemaild worden?<\/p>\n
Het mag allemaal, maar onthoudt dat je best wel een manier vindt om risico’s specifiek te maken: vertrekken van bestaande risicolijsten die online te vinden zijn kan een nuttige inspiratiebron zijn, maar focus op risico’s die relevant zijn voor jouw organisatie en de eventuele zwakke plekken in je oganisatie.<\/p>\n
Niet onbelangrijk: de kunst van het formuleren van risico’s in een “risk statement”.<\/p>\n
Zo’n risk statement zijn \u00e9\u00e9n of twee zinnen die een risico samenvatten en moet op zo’n manier zijn opgesteld dat ook voor leken duidelijk is waarom dit risico een risico is.<\/p>\n
Een riskstatement moet op zijn minst de “so what?” vraag kunnen beantwoorden, wat is de impact van dit risico?<\/p>\n
Bijvoorbeeld:<\/p>\n
Ook al is het risico dat je wilt benoemen hetzelfde: de tweede risk statement gaat veel beter omschrijven waarom een bepaald risico het waard is om aan te pakken.<\/p>\n
Je eindigt de vorige stap met een lijstje aan cybersecurity risico’s. Maar welke van die risico’s ga je aanpakken? Alles tegelijk doen is geen optie, CISO’s leven nu eenmaal niet in een wereld van onbeperkte middelen.<\/p>\n
Er gaan dus keuzes gemaakt moeten worden en het beoordelen van risico’s gaat je helpen om te bepalen welke risico’s groter zijn dan anderen.<\/p>\n
Klassiek bekijken we hiervoor twee aspecten van een risico: de impact en de waarschijnlijkheid.<\/p>\n
Hoe groot is de schade als dit risico zich voordoet, en hoe groot is de kans dat het zich voordoet?<\/p>\n
Een risico dat een grote impact kan hebben, maar zich waarschijnlijk, maar eens om de paar jaar voordoet, kan een lagere prioriteit krijgen dan een risico met een lagere impact, maar waarvan het waarschijnlijk is dat het zich regelmatig zal voordoen.<\/p>\n
Belangrijk in deze fase is het bepalen van de criteria die je gebruikt om risico’s te beoordelen en uiteindelijk een bepaalde score toe te kennen.<\/p>\n
Scores bestaan er in alle vari\u00ebteiten: van de superklassieke Laag, Midden, Hoog tot schalen van 0-100. Voor zowel de waarschijnlijkheid als de impact ga je (voor bijvoorbeeld de superklassieke scores) moeten zorgen voor objectieve en herhaalbare criteria voor High Medium en Low.<\/p>\n
Met ander woorden, wat maakt de impact van een risico Hoog? Wat is het verschil met Medium? Als persoon X vandaag een risico beoordeeld, moet die ongeveer op dezelfde score uitkomen als persoon Y die het gisteren deed.<\/p>\n
Goed, we hebben nu niet enkel een lijst met risico’s, maar ze zijn nu ook beoordeeld. We weten welke risico’s hoger zijn en welke we dus als eerste moeten behandelen waarbij behandelen in feite neerkomt op bepalen wat we gaan doen aan de risico’s.<\/p>\n
Risico’s behandelen kun je op vier manieren doen. We benoemen ze in de volgorde waarin je het liefst risico’s behandelt.<\/p>\n
Als deze drie fases doorlopen zijn, heb je de fundamenten gelegd van een goed risicobeheer. Uiteraard is de uitvoer van de risicobehandelingen nu cruciaal, dus we eindigen met een paar concrete tips:<\/p>\n
Je carri\u00e8re als CISO starten of je kennis als CISO verdiepen? Dat kan met onze CISO-opleiding die bestaat uit 7 modules van 2 dagen.<\/p>\n