{"id":14399,"date":"2024-08-28T12:35:33","date_gmt":"2024-08-28T10:35:33","guid":{"rendered":"https:\/\/www.dp-institute.eu\/?p=14399"},"modified":"2024-08-28T12:37:57","modified_gmt":"2024-08-28T10:37:57","slug":"belang-cybersecurity","status":"publish","type":"post","link":"https:\/\/www.dp-institute.eu\/nl\/belang-cybersecurity\/","title":{"rendered":"Het belang van CISO en cybersecurity: de kunst van risicobeheer"},"content":{"rendered":"

De opkomst van internet en technologie heeft ons leven steeds gemakkelijker gemaakt, maar heeft ook nieuwe kwetsbaarheden blootgelegd die door cybercriminelen kunnen worden uitgebuit.<\/p>\n

Zonder de juiste maatregelen rondom informatiebeveiliging zijn organisaties kwetsbaar voor\u00a0datalekken en de vaak aanzienlijke financi\u00eble gevolgen die daarmee gepaard gaan voor jouw bedrijf.<\/p>\n

Risicobeheer is dus terug van nooit weggeweest. “nooit weggeweest” omdat het een cruciaal onderdeel is van cyber security in organisaties en elke cyberbeveiligingsstrategie die daaruit voortkomt.<\/p>\n

“Terug” omdat risicobeheer met naam en toenaam genoemd wordt in de NIS2 richtlijn waardoor het ook een wettelijke verplichting wordt.<\/p>\n

Nu zijn er over risicobeheer vele standaarden geschreven, boeken gepubliceerd, en cursussen beschikbaar, maar soms is het niet slecht te vertrekken vanuit de basis.<\/p>\n

Waar de fijne kneepjes van risicobeheer een specialisatie op zich zijn, is de basis redelijk eenvoudig.<\/p>\n

In dit artikel overlopen we de kernprincipes van risicobeheer in cyber beveiliging waardoor je meteen inzicht krijgt in de wettelijke verplichting rond risicobeheer in de context van NIS2.<\/p>\n

Wat is het belang van cybersecurity of cyberbeveiliging?<\/h2>\n

Waarom zou je aan cyberveiligheid doen voor jouw onderneming?<\/p>\n

Omdat het een wettelijke verlichting is, horen we je denken.<\/p>\n

Volkomen gelijk natuurlijk, maar normaal gezien komt een wettelijke verplichting uit iets rationeels voort. Met risicobeheer is dat niet anders. Het helpt\/verplicht een organisatie namelijk om eerst in kaart te brengen waar het fout kan gaan.<\/p>\n

Met andere woorden, niet meteen springen op het nieuwste cybersecurity tooltje, of het “pet project” van de Chief Information Security Officer (CISO) , maar een stapje terug nemen om zo objectief mogelijk te bekijken aan welke risico’s, zoals bijvoorbeeld cyberaanvallen, malware, phishing, ransomware, social engineering, ddos-aanvallen of andere kwetsbaarheden de organisatie blootgesteld is om daarna te bepalen wat de noodzakelijkste maatregelen zijn.<\/p>\n

Dit hoeft niet meteen te verzanden in een eindeloze administratieve overhead, risicobeheer mag gerust eenvoudig en pragmatisch zijn. Onderstaand benoemen we de drie essenti\u00eble fases voor het uitvoeren van risicobeheer.<\/p>\n

#1 Risico’s identificeren<\/h2>\n

Het begint met cybersecurity risico’s proactief te identificeren, oftewel in kaart brengen welke risico’s je organisatie loopt, risico over je systemen en data. Er is geen offici\u00eble manier om dat te doen, ook de NIS2 richtlijn laat je vrij om dat in te vullen.<\/p>\n

Brainstorm sessies per afdeling? Brown paper sessies met het management? Excel sheets met vragen die rondgemaild worden?<\/p>\n

Het mag allemaal, maar onthoudt dat je best wel een manier vindt om risico’s specifiek te maken: vertrekken van bestaande risicolijsten die online te vinden zijn kan een nuttige inspiratiebron zijn, maar focus op risico’s die relevant zijn voor jouw organisatie en de eventuele zwakke plekken in je oganisatie.<\/p>\n

Niet onbelangrijk: de kunst van het formuleren van risico’s in een “risk statement”.<\/p>\n

Zo’n risk statement zijn \u00e9\u00e9n of twee zinnen die een risico samenvatten en moet op zo’n manier zijn opgesteld dat ook voor leken duidelijk is waarom dit risico een risico is.<\/p>\n

Een riskstatement moet op zijn minst de “so what?” vraag kunnen beantwoorden, wat is de impact van dit risico?<\/p>\n

Bijvoorbeeld:<\/p>\n