Risicomanagement en cyberbeveiliging
Risicomanagement is een manier om proactief met risico’s in een organisatie om te gaan. Het vraagt om een geïntegreerde aanpak. Een organisatie brengt stap voor stap risico’s in kaart en bedenkt welke oplossingen nodig zijn om deze risico’s kleiner te maken. Daarna controleert een organisatie regelmatig of de oplossingen goed werken en past deze aan als dat nodig is. Risicomanagement is verplicht onder de Cyberbeveiligingswet (Cbw).
Risicomanagement
Voor cyberbeveiliging begint het risicomanagement met het in kaart brengen en evalueren van de belangrijkste bedrijfsprocessen en -middelen (zoals hardware, software en gegevens) die cruciaal zijn voor de vitale en kritieke processen van de organisatie. Dit is in lijn met de zorgplicht onder de Cyberbeveiligingswet (Cbw).
Ketenrisico’s en leveranciersafhankelijkheid
In de risicoanalyse moet een organisatie ook aandacht besteden aan ketenrisico’s en leveranciersafhankelijkheid. Volgens de Cbw moet een organisatie in haar cyberbeveiligingsbeleid expliciet aandacht hebben voor de ketenrisico’s. Denk bijvoorbeeld aan een jaarlijkse evaluatie van de belangrijkste leveranciers op hun cyberweerbaarheid en compliance. Of aan het vastleggen van minimale beveiligingseisen in contracten.
Continu proces
Risicomanagement is géén eenmalige activiteit, maar een cyclus van identificeren, analyseren, evalueren en beheersen van risico's. Effectief risicomanagement vereist betrokkenheid van alle niveaus van de organisatie: van medewerkers tot directie. Doet zich een incident voor, dan volgt een analyse naar de oorzaak met een verbeterplan.
In de identificatiefase kan een organisatie gebruikmaken van haar eigen kennis van de bedrijfsmiddelen en belangrijke interne processen. Handig zijn ook de beveiligingsadviezen met informatie over een recent gevonden kwetsbaarheid of dreiging in een specifiek softwareproduct. In Nederland publiceert onder andere het Nationaal Cyber Security Center (NCSC) deze adviezen.
Hulpmiddelen risicomanagement
U leest meer over risicomanagement voor effectieve cyberbeveiliging:
- Routekaart risicomanagement van het NCSC geeft inzicht en overzicht van risicomanagement in het digitale domein. U leest meer over de vier fases van de risicomanagementcyclus: governance (het bestuurlijk inrichten van afspraken, verantwoordelijkheden en processen) en randvoorwaarden, risicobeoordeling, risicobehandeling en doorlopende monitoring.
- Raamwerken voor risicomanagement van het NCSC helpt een organisatie om vervolgstappen te zetten. Raamwerken helpen om op een gestructureerde wijze invulling te geven aan risicomanagement.
- Op de website van de European Union Agency for Cybersecurity (ENISA) vindt u verschillende Engelstalige handvatten.