Risicomanagement

Ben je benieuwd welke vragen je als bestuurder aan de CISO moet stellen om je voor te bereiden op de komst van de Cyberbeveiligingswet? De publicatie "Vragen die je als bestuurder kunt stellen aan de CISO" biedt concrete handvatten en voorbeeldvragen om je gesprekken met de CISO richting en vorm te geven. Hoe krijg je overzicht op de uitvoering van maatregelen op het gebied van cyberbeveiligingsrisico's, om deze te begrijpen en goed te keuren. 

Het realiseren van een passende digitale weerbaarheid vereist een gezamenlijke inspanning van de hele organisatie. Als CISO (Chief Information Security Officer) heb je een sturende en aanjagende rol in het realiseren van een passend niveau van digitale weerbaarheid. Dit doe je bijvoorbeeld door het (laten) uitvoeren van risicoanalyses en het opstellen van het informatiebeveiligingsbeleid.

In de publicatie "Hoe stuur je op effectieve informatiebeveiliging?" vind je praktische handvatten om je organisatie te begeleiden bij het implementeren van effectieve informatiebeveiliging.

Een ongeluk zit in een klein hoekje. Stress, vermoeidheid maar ook gebrek aan ondersteuning  vanuit de organisatie en vanuit de techniek zijn daar vaak de oorzaak van. Meestal ontstaat onveilig gedrag niet vanuit een bewuste intentie, vaker gaat het om handelen dat tijdsvoordeel oplevert of het werken vereenvoudigt.

Met deze publicatie bieden we je leidende principes waarmee je veilig digitaal gedrag van de medewerkers in jouw organisatie bevordert. Kennis over cyberaanvallen is daarvoor belangrijk maar niet genoeg. Voor het verbeteren van veilig digitaal gedrag in jouw organisatie is dan ook meer nodig dan een bewustwordingscampagne of een verplichte e-learning. Herken je dat en wil je aan de slag met wat wel werkt?
Lees erover in de publicatie 'Voorbij de e-learning'.

Aanleiding voor de nieuwe wet- en regelgeving is het inzicht dat inzet van digitale technologie ook risico’s voor de samenleving opleveren. Veel van die nieuwe regels hebben een overwegend risicogebaseerd karakter gekregen. Ze vertellen niet in detail welke maatregelen een organisatie moet nemen, maar verplicht ze om zelf de risico’s in kaart te brengen en vervolgens zelf te besluiten welke maatregelen er moeten worden genomen om die risico’s te beheersen. Van bestuurders wordt verwacht dat ze zich actief met deze materie bezighouden.

Met deze publicatie "Effectief omgaan met wetten en regelgeving die op organisaties afkomt" bieden we je de praktische handvatten om als organisatie de eerste stappen te zetten en effectief om te gaan met de wet- en regelgeving die specifiek voor jouw organisatie gelden.

Het in kaart brengen en versterken van deze digitale weerbaarheid vraagt meer dan een compliancegedreven operatie. Compliance, ofwel onderzoeken of leveranciers afspraken naleven en wet- en regelgeving volgen, is daarvoor belangrijk maar onvoldoende. De dialoog met je leveranciers aangaan en het versterken van de relatie met je leveranciers, is zeker zo belangrijk voor weerbaarheid in de keten. Relatiemanagement dus.

Hoe draag je als CISO bij aan leveranciersmanagement? Deze publicatie "Hoe versterk je de weerbaarheid van leveranciers" helpt je op weg. Van compliance naar dialoog met je leveranciers.

Om de beveiliging van informatie op orde te krijgen, is het noodzakelijk om de bijbehorende risico's inzichtelijk te maken en onacceptabele risico's te beheersen. De waarde van informatie is daarbij een belangrijk uitgangspunt.

Beleg het eigenaarschap van informatie en de daarvoor geldende risico's en bepaal de bijbehorende verantwoordelijkheden. Meer informatie over het vaststellen van eigenaarschap van informatie kun je vinden in de factsheet: ’Risico’s beheersen: de waarde van informatie als uitgangspunt’.

Door in kaart te brengen welke zaken cruciaal zijn voor jouw organisatie en/of dienstverlening, kun je afwegingen maken om de juiste passende maatregelen te nemen om deze belangen te beschermen. Voorbeelden van kroonjuwelen kunnen zijn: klantgegevens, productiemethoden, gegevens over de medewerkers, financiële gegevens of reputatie van jouw organisatie.

De publicatie 'Hoe breng ik mijn te beschermen belangen in kaart?' biedt organisaties praktische handvatten aan personen die werkzaam zijn op tactisch niveau in de organisatie. Wanneer je jouw te beschermen belangen in kaart hebt gebracht, kun je deze gebruiken om een risicoanalyse uit te voeren.

Dit product is het vervolg op de publicatie “Wat zijn te beschermen belangen (kroonjuwelen) van mijn organisatie?” Dit tweede deel "Hoe breng ik mijn technische te beschermen belangen in kaart?" helpt je in drie stappen om jouw te beschermen belangen op het niveau van netwerk- en informatiesystemen in kaart te brengen. Na het doorlopen van de stappen heb je een lijst met de te beschermen belangen van jouw organisatie op het niveau van netwerk- en informatiesystemen.

Dreigingen kunnen zich richten op de beschikbaarheid (is de informatie toegankelijk wanneer dat nodig is?), integriteit (is de informatie correct?) of vertrouwelijkheid (hebben enkel geautoriseerden toegang tot de informatie?). Deze BIV-classificatie kun je gebruiken om te bepalen waar de dreigingen zich op richten. Door de dreigingen per te beschermen belang in kaart te brengen, krijg je een duidelijk overzicht.

De publicatie ‘Hoe breng ik mijn dreigingen in kaart’ biedt organisaties praktische handvatten om digitale dreigingen in kaart te brengen ter voorbereiding op de NIS2-richtlijn. Het in kaart brengen van relevante dreigingen is onderdeel van een risicoanalyse. Deze publicatie helpt organisaties bij het zetten van de eerste stappen. De handvatten in deze publicatie zijn ter voorbereiding op de NIS2-richtlijn geschreven, maar kunnen ook breder worden toegepast om dreigingen in kaart te brengen.

Nu je inzicht hebt in de te beschermen belangen en dreigingen van jouw organisatie, breng je de huidige weerbaarheid in kaart. Hierdoor is duidelijker grip te krijgen op de passende maatregelen die je kan treffen om je digitale weerbaarheid te vergroten. Voorbeelden van weerbaarheidsmaatregelen zijn het implementeren van multi-factorauthenticatie en trainen van het personeel. 

De NCSC publicatie 'Hoe krijg ik grip op mijn security controls?' helpt je bij het in kaart brengen en zicht houden op de security controls binnen jouw organisatie. Security controls zijn onderdeel van de huidige weerbaarheid van jouw organisatie.

Cybersecurity risico’s beperken zich niet alleen tot de eigen organisatie. Toeleveranciers van jouw organisatie spelen hierin ook een essentiële rol. Als één van de leveranciers getroffen wordt door een cyberaanval kan dat grote gevolgen hebben voor jouw organisatie. Door de (rechtstreekse) toeleveranciers van jouw organisatie in kaart te brengen maak je inzichtelijk waar je afhankelijkheden liggen en welke risico’s dit met zich mee brengt.

In de publicatie ‘Hoe breng ik mijn rechtstreekse leveranciers in kaart?’ helpen we je om inzicht te creëren in je leveranciers en zo voorbereid te zijn op de NIS2-vereisten.

Deze publicatie biedt praktische handvatten voor jouw organisatie om de meest relevante risico's te bepalen. Door met deze handvatten aan de slag te gaan, kun je prioriteren met welke risico's je als eerst aan de slag moet. Het doel van deze publicatie is om je hier stapsgewijs bij te helpen.

Medewerkers die zich bewust zijn van de risico’s rondom informatiebeveiliging, weten hoe zij moeten handelen in het geval van onveilige situaties en dragen een belangrijke steen bij aan de digitale weerbaarheid. Dit geldt niet alleen voor medewerkers, ook voor bestuurders en managers.

Een cultuur waarin incidenten veilig gemeld en verwerkt kunnen worden, helpt hierbij. Meer informatie over veilig gedrag op het gebied van digitale weerbaarheid is te vinden op de pagina ’Cyberhygiëne’ van het Digital Trust Center.

Om de impact van een incident te verminderen en snel weer aan de slag te kunnen, stelt de Cyberbeveiligingswet dat organisaties beleid moeten hebben op de behandeling van incidenten. Met een incident respons plan (IRP) zet je daar de eerste stappen voor. In de publicatie “Incident respons plan: hoe stel ik die op?”  vind je de eerste handvatten voor het opstellen van een IRP.

Naast het nemen van passende maatregelen om incidenten te voorkomen, is het van belang procedures te ontwikkelen voor het detecteren, monitoren, oplossen en melden van incidenten. Mocht je te maken krijgen met een cyberincident, dan is het van belang te weten hoe je daarvan kunt herstellen. Lees daarover meer in de Publicatie 'Herstel van een cyberincident'.

In deze publicatie “Hoe organiseer ik identiteit en toegang?” licht het NCSC toe wat het belang van identiteits- en toegangsbeheer is. En welke eerste stappen je kunt zetten om dit beheer in te richten om effectief grip te krijgen op je gebruikers en hun toegang.