Doelgroep:
Dit artikel richt zich op personen die werkzaam zijn op tactisch niveau van organisaties die willen beginnen met het in kaart brengen van hun te beschermen belangen.
In samenwerking met:
Directie CIO Rijk, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Bluebird & Hawk B.V., CISO-Office, Ministerie van Infrastructuur en Waterstaat, PBLQ
Definitie:
Te beschermen belangen zijn ook wel kroonjuwelen:
Informatie en informatiesystemen die het allerbelangrijkst zijn voor een organisatie. Het heeft grote gevolgen voor de organisatie als men niet meer bij deze informatie kan komen wanneer men dat wil. Of als de informatie niet meer klopt, of als die ongewild bij anderen terechtkomt. Intelectueel eigendom is voorbeeld van een kroonjuweel.
Een organisatie heeft haar eigen organisatie doelstellingen. De organisatie heeft er belang bij dat deze doelstellingen worden behaald (niveau 1). Om deze doelstellingen te realiseren wordt er informatie verwerkt, en zijn er processen ingericht (niveau 2). Deze processen worden ondersteund door netwerk- en informatiesystemen (niveau 3). Te beschermen belangen hebben betrekking op alle onderstaande niveaus.
Iedere organisatie heeft haar eigen unieke te beschermen belangen.
Dit artikel helpt je om een eerste (ruwe) lijst van jou te beschermen belangen op procesniveau samen te stellen. Het NCSC adviseert om te starten met het in kaart brengen van jouw organisatiedoelstellingen (niveau 1), om vervolgens de processen in kaart te brengen (niveau 2). Een voorbeeld van een te beschermen belang op niveau 2 is: de mogelijkheid om ten behoeve van het proces voorraadbeheer tijdig nieuwe voorraden te kunnen bestellen.
Voordat je aan de slag gaat met het in kaart brengen van jouw te beschermen belangen is het belangrijk om de juiste randvoorwaarden te scheppen. In deze stap schrijf je een beknopt plan van aanpak. Dit plan helpt je om draagvlak bij collega’s te creëren en is het uitgangspunt om mandaat te verkrijgen van het bestuur van jouw organisatie.
Voordat je de TBB’s van jouw organisatie in kaart kunt gaan brengen, is het belangrijk dat je scherp hebt wat dit omvat. Jouw definitie van een TBB beschrijf je in een plan van aanpak. Dit helpt bij het inventariseren ervan en het voeren van de dialoog over hoe belangrijk een bepaalde TBB is ten opzichte van een andere TBB.
Wij adviseren om TBB’s te bezien in de eerder genoemde abstractieniveaus:
Elke organisatie heeft haar eigen specifieke doelstellingen. Aan deze doelstelling kleven diverse belangen. Denk hierbij aan financiële-, juridische-, reputatie- en veiligheidsbelangen. Om de organisatiedoelen te kunnen (blijven) realiseren moeten deze risico’s voldoende worden beperkt. Begin met het concretiseren van de doelstelling(en) van jouw organisatie en definieer op hoofdlijnen welke categorieën belangen hiermee gemoeid gaan. In bijlage 1 is een inspiratielijst bijgevoegd die je kunt gebruiken als startpunt.
Voorbeeld: mijn organisatie is een commerciële dienstverlener gericht op het maken van winst. De belangrijkste belangencategorieën zijn financieel, reputatie en juridisch.
Vervolgens bepaal je welke organisatieprocessen essentieel zijn ten aanzien van de hierboven genoemde categorieën van belangen.
Voorbeeld: voor een commerciële dienstverlener is de continuïteit van het verkoopproces en het bijhouden van klantgegevens essentieel om de organisatiedoelstellingen te bereiken.
Cyberbeveiligingswet (NIS2) - Kritieke netwerk en informatiesystemen bepalen
De Cyberbeveiligingswet richt zich slechts op netwerk- en informatiesystemen (niveau 3). Na het definiëren van essentiële informatie en processen kan worden bepaald wat de meest kritieke netwerk en informatiesystemen zijn. Het NCSC adviseert organisaties die nog aan het begin staan van het krijgen van zicht op hun TBB’s om deze stap nog niet te zetten en eerst haar TBB’s op het niveau van processen (niveau 2) in kaart te brengen.
Naast zicht op essentiële processen moet je deze ook waarderen en prioriteren. De aanpak hiervoor beschrijf je ook in het plan van aanpak.
TBB-waardering: een draaiknop, geen schakelaar
Bij het waarderen van TBB’s adviseren we om een 5-punts schaal aan te houden. Zo kun je TBB’s waarderen (en prioriteren) zonder deze mogelijk onterecht als geen TBB te classificeren.
Een voorbeeld van een 5-punts schaal is:
Voorbeeld van een waardering:
- Beperkt belang: wanneer onbevoegden toegang krijgen tot bepaalde informatie, heeft dit tijdelijke (uren) en beperkte nadelige gevolgen voor de organisatie.
- Zeer groot belang: wanneer onbevoegden toegang krijgen tot bepaalde informatie, komt het voortbestaan van de organisatie in direct gevaar.
Nadat je een definitie hebt bepaald van een TBB voor jouw organisatie (dit mag nog ruw zijn), is het belangrijk om in het plan de verschillende processtappen in volgorde te beschrijven. In jouw procesvoorstel zou bijvoorbeeld kunnen staan dat je:
‘Perfect is the enemy of good enough'
Voor organisaties die nog geen of beperkt zicht hebben op hun te beschermen belangen adviseren we om in deze eerste inventarisatie de doelen niet te hoog te stellen. Een eerste ruwe lijst met TBB’s die beperkt zijn onderbouwd, gewaardeerd in een referentietabel, is in deze eerste stap een prima resultaat en een goede basis voor verdere iteraties.
In de vorige stap heb je de randvoorwaarden geschept om de te beschermen belangen van jouw organisatie in kaart te brengen. De volgende stap in dit proces is om mandaat te verkrijgen bij het bestuur van jouw organisatie.
Om mandaat te verkrijgen van het bestuur van jouw organisatie ga je in gesprek. In dit gesprek kun je het procesvoorstel dat je geschreven hebt ter besluitvorming aanbieden bij het bestuur van jouw organisatie.
Zorg dat je dezelfde taal spreekt als het bestuur van jouw organisatie. Probeer zo veel als mogelijk technische termen te vermijden en ga het gesprek op strategisch niveau aan. Leg uit waarom je de TBB’s binnen jouw organisatie in kaart wil brengen en waarom dit belangrijk is. Probeer jouw uitleg simpel te houden en bij de kern van je voorstel te blijven.
Tijdens het gesprek met het bestuur van jouw organisatie kun je bijvoorbeeld de volgende vragen stellen om meer beeld te krijgen bij de visie van het bestuur:
Wanneer je in kaart hebt gebracht wat de doelen van jouw organisatie zijn kun je deze vervolgens als hulpmiddel gebruiken bij stap 3 om processen identificeren die cruciaal zijn voor de dienstverlening binnen jouw organisatie.
In samenspraak met het bestuur van jouw organisatie kun je relevante stakeholders identificeren die je moet spreken om een beeld te krijgen van de primaire processen binnen je organisatie. Voorbeelden van stakeholders zijn:
Zorg er tenslotte voor dat je overeenstemming bereikt over het geplande resultaat van jouw opdracht. De eerste stap zou een ruwe lijst met te beschermen belangen op procesniveau kunnen zijn. Deze kunnen dan op een later moment aangescherpt en verder geprioriteerd worden. Maak een keuze op basis van het volwassenheids- en ambitieniveau van jouw organisatie.
Na het verkrijgen van mandaat van het bestuur van jouw organisatie kun je de belangrijkste stakeholders gaan informeren. In deze gesprekken kunt je het doel van de opdracht toelichten en het proces uitleggen. Het is belangrijk dat je in deze fase benoemt wat je van de stakeholders verlangt en dat de wederzijdse verwachtingen duidelijk zijn.
De Cyberbeveiligingswet verplicht het bestuur van een entiteit om genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s goed te keuren en toe te zien op de uitvoering hiervan. Het bestuur is ook verplicht om een opleiding te volgen op het gebied van cybersecurity en deze toonbaar actueel te houden. Tevens kan het bestuur onder de Cyberbeveiligingswet hoofdelijk aansprakelijk gesteld worden bij overtreding.
In de voorgaande stappen heb je de voorbereidingen getroffen en mandaat verkregen. Het is nu tijd om echt aan de slag te gaan!
In deze stap ga je de TBB’s van jouw organisatie in kaart brengen en vervolgens waarderen en prioriteren. Deze resultaten verwerk je in een referentietabel.
Wanneer je de TBB’s van jouw organisatie in kaart gaat brengen is het nuttig om éérst te inventariseren welke informatie er al beschikbaar is. Dit houdt in dat je praat met stakeholders binnen verschillende afdelingen, zoals bijvoorbeeld een inkoopafdeling.
Binnen deze afdelingen kun je veelal waardevolle informatie vinden over eerder geïdentificeerd risico’s en eventuele TBB’s.
Voorbeelden van waardevolle informatie die kunnen verwijzen naar TBB’s bij een inkoopafdeling zijn:
Dergelijke informatie helpt je een eerste beeld te krijgen van de TBB’s van jouw organisatie. Deze informatie kun je gebruiken als input tijdens het inventariseren van jouw TBB’s. Samen met stakeholders binnen de organisatie ga je de dialoog aan om de TBB’s verder te inventariseren, concretiseren en prioriteren.
Om de dialoog effectief te laten verlopen moet je ervoor zorgen dat de juiste mensen aan tafel zitten. In de vorige stappen heb je gesproken met verschillende stakeholders binnen de organisatie. Op basis van deze informatie kunt je een afweging maken welke mensen binnen jouw organisatie moeten deelnemen aan de dialoog.
Bepaal aan de hand van het type organisatie en het ambitieniveau wat een goede werkvorm is om binnen de organisatie de dialoog over TBB’s aan te gaan. Wij adviseren om één of meerdere workshops te organiseren met vijf tot maximaal acht deelnemers.
De ervaring leert dat bij grotere groepen dit ten koste van de kwaliteit van de dialoog gaat. Een alternatief is om meerdere 1-op-1 gesprekken te voeren. Het nadeel hiervan is dat je meer tijd kwijt bent en geen gebruik kan maken van de dynamiek van een groep met verschillende perspectieven.
Aan de hand van de inventarisatie maak je een eerste versie van een referentietabel. Een referentietabel is een tabel waarin je de TBB’s van jouw organisatie kunt categoriseren en prioriteren. In bijlage 2 vind je een voorbeeld van een referentietabel.
Wij adviseren de volgende eigenschappen:
Voor een effectieve workshop of dialoog neem je bij start de deelnemers eerst mee in jouw plannen en het doel van de workshop. Denk bijvoorbeeld aan de onderstaande zaken:
Je legt de werking van de referentietabel uit.
Nadat je de partners hebt meegenomen in de doelen van de workshop en ieder aan de hand van jouw uitleg dezelfde taal spreekt kun je de dialoog starten. Werk hierbij van breed naar smal. Een voorbeeld van de invulling van de workshop is:
Aan het einde van de workshop kun je gezamenlijk kijken naar de opbrengst. Bepaal of eventuele vervolggesprekken nodig zijn en met wie deze dan gevoerd moeten worden.
Let op!
In deze fase is het normaal als het resultaat op verschillende vlakken nog onvolledig is. Het zijn immers ruwe inschattingen. Zie de workshop als een eerste stap in een langere reis met als einddoel het professioneel beheren van TBB’s.
Na de workshop verwerk je de opbrengst in een nieuwe versie van de referentietabel. Eventueel maak je een verslag van de workshop of de gesprekken die je hebt gevoerd.
Als laatste stap presenteer je het resultaat aan het bestuur. Je gaat de dialoog aan met het bestuur over de (ruwe) lijst met TBB’s.
Daarbij kun je bijvoorbeeld toelichten dat:
Wanneer je de bovenstaande stappen hebt gevolgd ben je in het bezit van een (ruwe) lijst met TBB’s van jouw organisatie op procesniveau. In dit hoofdstuk staan beknopt een aantal vervolgstappen die je kunt ondernemen.
In dit artikel heb je de organisatiedoelen en de daaraan gerelateerde processen in kaart gebracht en deze vervolgens gewaardeerd in een referentietabel. De volgende stap is om deze tabel uit te werken naar het niveau van netwerk- en informatiesystemen. Daarbij begin je bij de zeer grote belangen en werkt vanuit daar omlaag in de tabel. Je maakt in deze stap een eerste overzicht van kritieke elementen binnen digitale infrastructuur in relatie tot de te beschermen belangen op procesniveau.
Incidenten op het vlak van gevoelige informatie kunnen een grote impact hebben op de organisatiedoelen. Daarom is het noodzakelijk om deze risico’s te beheersen.
Om informatie goed te kunnen beheren is het belangrijk dat alle informatie een ‘eigenaar’ heeft. De lijst met TBB’s kan helpen om binnen de geïdentificeerde categorieën een eigenaar aan te wijzen. Het artikel “risico’s beheersen: de waarde van informatie als uitgangspunt” biedt handvatten om grip te krijgen op de beheersing van risico’s bij het werken met informatie.
Het in kaart brengen van de TBB’s van de organisatie is geen eenmalige exercitie. Zaken zoals veranderde bedrijfsdoelstellingen, nieuwe wetgeving of risico’s kunnen er voor zorgen dat de TBB’s veranderen. Richt in samenspraak met het bestuur een proces en/of beleid in, waarin je afspreekt hoe het overzicht van TBB’s actueel gehouden kan worden. Je kunt bijvoorbeeld vaststellen dat de referentietabel elke X aantal maanden herzien moet worden.
Door de TBB’s van jouw organisatie in kaart te brengen krijg je beter zicht op de risico’s die de organisatie loopt. De TBB’s van jouw organisatie kun je gebruiken als input voor een risicoanalyse.
Wij hebben diverse artikelen geschreven die je verder kunnen helpen bij het uitvoeren van een risicoanalyse.
Zo moet je bij een risicoanalyse:
de specifieke dreigingen per TBB in kaart te brengen, zie:
zicht krijgen op de huidige digitale weerbaarheid van uw organisatie, zie:
Op basis van een risicoanalyse kun je vervolgens bepalen wat de juiste maatregelen zijn om deze belangen te beschermen.
Cyberbeveiligingswet (NIS2) en risicoanalyse
De Cyberbeveiligingswet stelt verplicht dat entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beperken. Om tot passende en evenredige maatregelen te komen voer je een risicoanalyse uit.
