Doorlopende monitoring
Dit artikel is opgebouwd uit twee onderdelen. Allereerst, zal onderstaande visual toegelicht worden: de begrippen binnen doorlopende monitoring worden geïntroduceerd. Daarmee legt het eerste hoofdstuk de basis. Het tweede onderdeel zal doorlopende monitoring van verdere diepgang voorzien. De uitgebreide variant van de routekaart wordt gepresenteerd. Deze detaillering houdt in dat de volledige fase van doorlopende monitoring doorgenomen zal worden.
De routekaart dient gelezen te worden als referentiekader. Het helpt organisaties om bestaande activiteiten en plannen op het gebied van cybersecurity en risicomanagement in het grotere geheel te plaatsen. Daarmee zijn de componenten van de routekaart context-afhankelijk en is het aan organisaties om weloverwogen keuzes te maken. Lees hier meer over de achtergrond van de routekaart risicomanagement.
Kennismaken met doorlopende monitoring
Het doel van doorlopende monitoring is het voorkomen dat het restrisico1 van de organisatie ongemerkt de risicobereidheid1 overschrijdt. Risicobereidheid is de hoeveelheid en het soort risico dat een organisatie bereid is na te streven, te behouden of te nemen. Een restrisico is het risico dat blijft bestaan na het invoeren van beheersmaatregelen, ook wel het netto risico genoemd. Door factoren te monitoren die invloed kunnen hebben op het restrisico, kan actie ondernomen worden op het moment dat dit gebeurt.
Doorlopende monitoring bestaat uit twee verschillende onderwerpen:
- Evaluatie risicomitigatie
- Het monitoren van omgevingsvariabelen
Doorlopende monitoring
Tijdens de risicobeheersingsfase zijn er beheersmaatregelen gekozen om de geïdentificeerde risico’s van de organisatie te beheersen. Tijdens de evaluatie van de risicomitigatie worden de beheersmaatregelen systematisch beoordeeld. Door het verzamelen en evalueren van informatie over de prestaties van de beheersmaatregelen wordt er gekeken of de maatregelen het beoogde effect hebben.
Tijdens het monitoren van omgevingsvariabelen worden de interne en externe veranderingen bijgehouden en geëvalueerd. Veranderingen binnen of buiten de organisatie kunnen er voor zorgen dat de gekozen beheersmaatregelen niet langer het beoogde effect hebben. Deze veranderingen kunnen er toe leiden dat risico’s opnieuw beoordeeld – en eventueel anders behandeld – moeten worden.
In het volgende deel van dit artikel volgt een uitgebreidere beschrijving van de onderwerpen binnen de doorlopende monitoring fase.
Verdieping doorlopende monitoring
Nu de basis van doorlopende monitoring is toegelicht, wordt in dit artikel een verdiepingsslag gemaakt op twee verschillende onderwerpen.
In de risicobehandelingsfase zijn er beheersmaatregelen gekozen om de geïdentificeerde risico’s tot een acceptabel niveau te brengen. Om te zorgen dat de gekozen beheersmaatregelen daadwerkelijk effect hebben moeten deze maatregelen continue geëvalueerd worden. Dit wordt gedaan door het bijhouden van de implementatie, het evalueren van de prestaties en het beoordelen van de effectiviteit van beheersmaatregelen. Vervolgens wordt er bepaald of de effectiviteit van de maatregelen de gewenste impact heeft op het restrisico. Als er zodanige impact ontstaat dat het restrisico de risicotolerantie van de organisatie overschrijdt, worden de relevante risico-, proces- en systeemeigenaren betrokken.
Verdieping doorlopende monitoring
Evaluatie risicomitigatie
Risicomitigatie behelst alle dingen die een organisatie doet om risico's te verkleinen of helemaal te laten verdwijnen.1 Het doel van de evaluatie van de risicomitigatie is het systematisch evalueren van de werking van de gekozen beheersmaatregelen.
Implementatie is het proces van het introduceren van een vernieuwing of verandering. In dit geval, het introduceren van een beheersmaatregel. Tijdens de risicobehandelingsfase zijn er beheersmaatregelen geselecteerd en gemodelleerd. In deze stap wordt bijgehouden hoe het implementeren van de beheersmaatregelen verloopt. Een voorbeeld is het implementatieproces van multifactorauthenticatie binnen de organisatie. Er wordt gekeken hoe het proces verloopt en of dit loopt zoals gemodelleerd is in de risicobehandelingsfase.
In deze stap worden de prestaties van de beheersmaatregelen geëvalueerd. Dat wil zeggen, er wordt gekeken of de beheersmaatregelen doen wat beoogd is.
Het beoordelen van effectiviteit is het controleren of het beoogde doel bereikt wordt. Tijdens deze stap worden de gekozen beheersmaatregelen beoordeeld op de effectiviteit. In andere woorden, er wordt gekeken of de resultaten van de beheersmaatregelen het beoogde effect behalen. In het voorbeeld van multifactorauthenticatie, wordt hier onderzocht of implementatie van deze beheersmaatregel ertoe geleid heeft dat het gewenste effect bereikt is. Oftewel, als het doel was om bepaalde users zich meerdere malen te laten authenticeren, wordt in deze fase gecontroleerd of dat effect ook bereikt is. Waar de prestaties zich dus enkel richten op de beheersmaatregel doet wat het moet doen, wordt nu geëvalueerd of de beheersmaatregel ook het beoogde effect heeft.
In deze stap wordt bepaald wat de impact van de geïmplementeerde beheersmaatregel op het restrisico is. Restrisico’s1 zijn de risico’s die blijven bestaan na het invoeren van beheersmaatregelen. Wanneer zowel de prestatie als de effectiviteit van de beheersmaatregelen is bepaald dan kan de effectiviteit van de beheersmaatregel worden afgezet tegen het restrisico.
Risicobereidheid is de hoeveelheid en het soort risico dat een organisatie bereid is na te streven, te behouden of te nemen.1 In andere woorden, het niveau van restrisico wat de organisatie bereid is om te lopen. Als het restrisico verandert kan dit vergeleken worden met de eerder geïdentificeerde risicobereidheid. Er wordt dus gekeken of de verandering in het restrisico de gewenste risicobereidheid overschrijdt.
In deze stap worden de relevante risico-, proces- en systeemeigenaren geïnformeerd als het restrisico de risicobereidheid overstijgt als gevolg van slecht presterende of ineffectieve beheersmaatregelen. Vervolgens kan worden bepaald welke risicomanagementfases opnieuw doorlopen moeten worden om het restrisico tot een acceptabel niveau te reduceren.
Een risico-eigenaar is een aangesteld persoon die verantwoordelijk is voor het beheersen van een aan hem of haar toegekend risico. Proceseigenaren, vaak (lijn)managers, zijn eindverantwoordelijk voor een proces. De proceseigenaar heeft dus globaal zicht op het gehele proces. De systeemeigenaar is verantwoordelijk voor de beschikbaarheid, beveiliging, onderhoud en support van een systeem. In deze stap worden de relevante risico-, proces- en systeemeigenaren geïnformeerd over de evaluatie van de beheersmaatregelen.
Monitoren omgevingsvariabelen
Monitoren van omgevingsvariabelen behelst het in de gaten houden van veranderingen binnen en buiten de organisatie. Bij de voorgaande fases van het risicomanagementproces wordt uitgegaan actuele context van de organisatie. Dit is altijd een momentopname. Organisaties en hun omgeving zijn echter dynamisch en dus onderhevig aan veranderingen.
Veranderingen kunnen invloed hebben op de voorgaande fases van risicomanagement, waardoor er onacceptabel restrisico ontstaat. Indien dit het geval is moeten de juiste rollen binnen de organisatie worden betrokken. Op die manier worden de risico’s opnieuw bekeken zodra dat nodig is.
Interne veranderingen zijn veranderingen binnen de organisatie. Het is mogelijk dat deze veranderingen effect hebben op de uitkomsten van de eerdere fases van het risicomanagementproces. Daarom is het van belang om deze veranderingen bij te houden. Deze veranderingen zijn niet louter technisch van aard: ook grote procedurele of personele wijzigingen kunnen relevantie hebben voor het restrisico.
Externe veranderingen zijn veranderingen in de omgeving van de organisatie. Het is mogelijk dat deze veranderingen effect hebben op de uitkomsten van de eerdere fases van het risicomanagementproces. Daarom is het van belang om deze veranderingen bij te houden. Een voorbeeld van externe veranderingen dat is de aankondiging van extra wetgeving, waardoor risico’s opnieuw beoordeeld moeten worden om te herzien of er nog voldaan wordt aan deze nieuwe wetgeving.
Restrisico’s zijn de risico’s die blijven bestaan, na het invoeren van de beheersmaatregelen.1 Het restrisico is bepaald na het doorlopen van de voorgaande fases van het risicomanagementproces. Interne en externe veranderingen kunnen effect hebben op de uitkomsten van deze fases. Daardoor kan ook het restrisico veranderen. Als er sprake is van interne en/of externe veranderingen is het daarom van belang om te bepalen of er impact is op het restrisico.
Risicobereidheid is het risico wat de organisatie bereid is om te lopen bij het realiseren van haar doelstellingen.1 In andere woorden, het niveau van restrisico wat de organisatie bereid is om te lopen. Als het restrisico verandert kan dit vergeleken worden met de eerder geïdentificeerde risicobereidheid. Er wordt dus gekeken of de verandering in het restrisico de gewenste risicobereidheid overschrijdt.
In deze stap worden de relevante risico-, proces- en systeemeigenaren geïnformeerd als het restrisico de risicobereidheid overstijgt als gevolg van slecht presterende of ineffectieve beheersmaatregelen. Vervolgens kan worden bepaald welke risicomanagementfases opnieuw doorlopen moeten worden om het restrisico tot een acceptabel niveau te reduceren.
Een risico-eigenaar is een aangesteld persoon die verantwoordelijk is voor het beheersen van een aan hem of haar toegekend risico. Proceseigenaren, vaak (lijn)managers, zijn eindverantwoordelijk voor een proces. De proceseigenaar heeft dus globaal zicht op het gehele proces. De systeemeigenaar is verantwoordelijk voor de beschikbaarheid, beveiliging, onderhoud en support van een systeem. In deze stap worden de relevante risico-, proces- en systeemeigenaren geïnformeerd over de evaluatie van de beheersmaatregelen.
Samenvatting
In dit artikel is aandacht besteed aan de onderwerpen die aanbevolen worden om te doorlopen als een organisatie overgaat tot doorlopende monitoring. De monitoringsfase kan worden gestructureerd aan de hand van twee onderwerpen:
- Evalueren van risicomitigatie. Hierbij wordt gekeken of de gekozen beheersmaatregelen voldoende presteren en effectief zijn om het beoogde restrisico te behalen.
- Monitoren van interne en externe veranderingen. Hierbij wordt gekeken of interne en/of externe veranderingen het beoogde restrisico verandert.
Bij beide onderwerpen worden factoren gemonitord die tot een onvoorzien restrisico kunnen leiden. Als dit leidt tot een restrisico dat de risicotolerantie van de organisatie overstijgt kunnen de juiste rollen binnen de organisatie worden betrokken. Dan kan worden bepaald of eerdere fases uit het risicomanagementproces opnieuw moeten worden uitgevoerd om het restrisico tot een acceptabel niveau te reduceren.
Op die manier vormt risicomanagement een cyclisch proces. Na afronding van de doorlopende monitoringsfase, raadt het NCSC aan om de governance waar relevant te herzien en op die manier de cyclus iteratief te doorlopen.