De opkomst van internet en technologie heeft ons leven steeds gemakkelijker gemaakt, maar heeft ook nieuwe kwetsbaarheden blootgelegd die door cybercriminelen kunnen worden uitgebuit.
Zonder de juiste maatregelen rondom informatiebeveiliging zijn organisaties kwetsbaar voor datalekken en de vaak aanzienlijke financiële gevolgen die daarmee gepaard gaan voor jouw bedrijf.
Risicobeheer is dus terug van nooit weggeweest. “nooit weggeweest” omdat het een cruciaal onderdeel is van cyber security in organisaties en elke cyberbeveiligingsstrategie die daaruit voortkomt.
“Terug” omdat risicobeheer met naam en toenaam genoemd wordt in de NIS2 richtlijn waardoor het ook een wettelijke verplichting wordt.
Nu zijn er over risicobeheer vele standaarden geschreven, boeken gepubliceerd, en cursussen beschikbaar, maar soms is het niet slecht te vertrekken vanuit de basis.
Waar de fijne kneepjes van risicobeheer een specialisatie op zich zijn, is de basis redelijk eenvoudig.
In dit artikel overlopen we de kernprincipes van risicobeheer in cyber beveiliging waardoor je meteen inzicht krijgt in de wettelijke verplichting rond risicobeheer in de context van NIS2.
Wat is het belang van cybersecurity of cyberbeveiliging?
Waarom zou je aan cyberveiligheid doen voor jouw onderneming?
Omdat het een wettelijke verlichting is, horen we je denken.
Volkomen gelijk natuurlijk, maar normaal gezien komt een wettelijke verplichting uit iets rationeels voort. Met risicobeheer is dat niet anders. Het helpt/verplicht een organisatie namelijk om eerst in kaart te brengen waar het fout kan gaan.
Met andere woorden, niet meteen springen op het nieuwste cybersecurity tooltje, of het “pet project” van de Chief Information Security Officer (CISO) , maar een stapje terug nemen om zo objectief mogelijk te bekijken aan welke risico’s, zoals bijvoorbeeld cyberaanvallen, malware, phishing, ransomware, social engineering, ddos-aanvallen of andere kwetsbaarheden de organisatie blootgesteld is om daarna te bepalen wat de noodzakelijkste maatregelen zijn.
Dit hoeft niet meteen te verzanden in een eindeloze administratieve overhead, risicobeheer mag gerust eenvoudig en pragmatisch zijn. Onderstaand benoemen we de drie essentiële fases voor het uitvoeren van risicobeheer.
#1 Risico’s identificeren
Het begint met cybersecurity risico’s proactief te identificeren, oftewel in kaart brengen welke risico’s je organisatie loopt, risico over je systemen en data. Er is geen officiële manier om dat te doen, ook de NIS2 richtlijn laat je vrij om dat in te vullen.
Brainstorm sessies per afdeling? Brown paper sessies met het management? Excel sheets met vragen die rondgemaild worden?
Het mag allemaal, maar onthoudt dat je best wel een manier vindt om risico’s specifiek te maken: vertrekken van bestaande risicolijsten die online te vinden zijn kan een nuttige inspiratiebron zijn, maar focus op risico’s die relevant zijn voor jouw organisatie en de eventuele zwakke plekken in je oganisatie.
Niet onbelangrijk: de kunst van het formuleren van risico’s in een “risk statement”.
Zo’n risk statement zijn één of twee zinnen die een risico samenvatten en moet op zo’n manier zijn opgesteld dat ook voor leken duidelijk is waarom dit risico een risico is.
Een riskstatement moet op zijn minst de “so what?” vraag kunnen beantwoorden, wat is de impact van dit risico?
Bijvoorbeeld:
- Het risico op een datalek in onze applicatie. Hier ontbreekt het antwoord op de “so what?” vraag.
- Het risico op een datalek in onze applicatie waardoor bedrijfsgegevens op straat kunnen komen en de organisatie reputatieschade en financiële schade leidt waardoor we ons openstellen voor schadeclaims. Hier is de “so what?” vraag beantwoordt.
Ook al is het risico dat je wilt benoemen hetzelfde: de tweede risk statement gaat veel beter omschrijven waarom een bepaald risico het waard is om aan te pakken.
#2 Risico’s beoordelen
Je eindigt de vorige stap met een lijstje aan cybersecurity risico’s. Maar welke van die risico’s ga je aanpakken? Alles tegelijk doen is geen optie, CISO’s leven nu eenmaal niet in een wereld van onbeperkte middelen.
Er gaan dus keuzes gemaakt moeten worden en het beoordelen van risico’s gaat je helpen om te bepalen welke risico’s groter zijn dan anderen.
Klassiek bekijken we hiervoor twee aspecten van een risico: de impact en de waarschijnlijkheid.
Hoe groot is de schade als dit risico zich voordoet, en hoe groot is de kans dat het zich voordoet?
Een risico dat een grote impact kan hebben, maar zich waarschijnlijk, maar eens om de paar jaar voordoet, kan een lagere prioriteit krijgen dan een risico met een lagere impact, maar waarvan het waarschijnlijk is dat het zich regelmatig zal voordoen.
Belangrijk in deze fase is het bepalen van de criteria die je gebruikt om risico’s te beoordelen en uiteindelijk een bepaalde score toe te kennen.
Scores bestaan er in alle variëteiten: van de superklassieke Laag, Midden, Hoog tot schalen van 0-100. Voor zowel de waarschijnlijkheid als de impact ga je (voor bijvoorbeeld de superklassieke scores) moeten zorgen voor objectieve en herhaalbare criteria voor High Medium en Low.
Met ander woorden, wat maakt de impact van een risico Hoog? Wat is het verschil met Medium? Als persoon X vandaag een risico beoordeeld, moet die ongeveer op dezelfde score uitkomen als persoon Y die het gisteren deed.
#3 Risico’s behandelen
Goed, we hebben nu niet enkel een lijst met risico’s, maar ze zijn nu ook beoordeeld. We weten welke risico’s hoger zijn en welke we dus als eerste moeten behandelen waarbij behandelen in feite neerkomt op bepalen wat we gaan doen aan de risico’s.
Risico’s behandelen kun je op vier manieren doen. We benoemen ze in de volgorde waarin je het liefst risico’s behandelt.
- Risico’s vermijden: je doet iets waardoor het risico zich onmogelijk nog voor kan doen. Ideaal natuurlijk, maar niet altijd een optie.
- Risico’s overdragen: het risico blijft bestaan, maar we zorgen ervoor dat het iemand risico bij iemand anders ligt. Verzekeren of uitbesteden zijn twee veel voorkomende manieren om risico’s over te dragen.
- Risico’s beperken: de meest voorkomende manier om risico’s te behandelen. Je neemt maatregelen die de impact of waarschijnlijkheid van een risico beïnvloeden waardoor het risico (veel) minder ernstig is.
- Risico’s accepteren: als standaardmethode geen goede manier om om te gaan met risico’s, maar als eindstation na het nemen van andere maatregelen is het goed mogelijk dat je een bepaald “restrisico” accepteert.
Als deze drie fases doorlopen zijn, heb je de fundamenten gelegd van een goed risicobeheer. Uiteraard is de uitvoer van de risicobehandelingen nu cruciaal, dus we eindigen met een paar concrete tips:
- Bepaal goed wie er verantwoordelijk is voor het uitvoeren van de gekozen behandelmethode, de zogenoemde “risk owner”.
- Plak er zo concreet mogelijk deadlines op en zorg dat die deadlines opgevolgd worden. Het gevaar van een papieren oefening die steeds blijft liggen is namelijk groot.
- Beschouw risicobeheer zeker niet als een eenmalige oefening: risicobeheer is iets dat continu doorgaat en waarbij een wat formelere validatie van bovenstaande fases gemiddeld 1x per jaar dient, plaatst te vinden.
Je carrière als CISO starten of je kennis als CISO verdiepen? Dat kan met onze CISO-opleiding die bestaat uit 7 modules van 2 dagen.