Risicomanagement vormt de basis van digitale weerbaarheid. Het stelt organisaties in staat om de juiste prioriteiten te stellen en proactief om te gaan met potentiële bedreigingen. Door risico's systematisch te identificeren, te evalueren en te beheersen, kunnen organisaties hun digitale omgeving beter beschermen tegen incidenten en aanvallen.
Het Nationaal Cyber Security Centrum (NCSC) heeft diverse adviesproducten ontwikkeld die organisaties ondersteunen bij het zetten van de eerste stappen in risicomanagement. Deze producten bieden praktische richtlijnen en best practices om een effectief risicomanagementproces op te zetten en te onderhouden.
Routekaart risicomanagement
De routekaart risicomanagement van het NCSC biedt overzicht over het risicomanagement landschap. Dat geeft organisaties inzicht in hoe hun activiteiten met betrekking tot risicomanagement zich verhouden tot de rest van het landschap. Dat inzicht stelt organisaties in staat om hun risicomanagementproces doorlopend te verbeteren. De routekaart beschrijft een cyclus. Deze risicomanagementcyclus kent vier fases.
Het doel van de governance- en randvoorwaardenfase is tweeledig: zorgen voor de juiste voorwaarden zodat risicomanagement een vaste plek krijgt binnen de organisatie, en bepalen hoe de organisatie beslissingen neemt over risicomanagement. Governance verwijst naar de combinatie van processen en structuren die door de directie zijn vastgesteld om de organisatie te leiden en te beheren richting het behalen van haar doelen. Dit helpt om risicomanagement effectief en consistent toe te passen.
Ben je benieuwd welke vragen je als bestuurder aan de CISO moet stellen om je voor te bereiden op de komst van de Cyberbeveiligingswet? De publicatie "Vragen die je als bestuurder kunt stellen aan de CISO" biedt concrete handvatten en voorbeeldvragen om je gesprekken met de CISO richting en vorm te geven. Hoe krijg je overzicht op de uitvoering van maatregelen op het gebied van cyberbeveiligingsrisico's, om deze te begrijpen en goed te keuren.
Het realiseren van een passende digitale weerbaarheid vereist een gezamenlijke inspanning van de hele organisatie. Als CISO (Chief Information Security Officer) heb je een sturende en aanjagende rol in het realiseren van een passend niveau van digitale weerbaarheid. Dit doe je bijvoorbeeld door het (laten) uitvoeren van risicoanalyses en het opstellen van het informatiebeveiligingsbeleid.
Een ongeluk zit in een klein hoekje. Stress, vermoeidheid maar ook gebrek aan ondersteuning vanuit de organisatie en vanuit de techniek zijn daar vaak de oorzaak van. Meestal ontstaat onveilig gedrag niet vanuit een bewuste intentie, vaker gaat het om handelen dat tijdsvoordeel oplevert of het werken vereenvoudigt.
Met deze publicatie bieden we je leidende principes waarmee je veilig digitaal gedrag van de medewerkers in jouw organisatie bevordert. Kennis over cyberaanvallen is daarvoor belangrijk maar niet genoeg. Voor het verbeteren van veilig digitaal gedrag in jouw organisatie is dan ook meer nodig dan een bewustwordingscampagne of een verplichte e-learning. Herken je dat en wil je aan de slag met wat wel werkt?
Lees erover in de publicatie 'Voorbij de e-learning'.
Aanleiding voor de nieuwe wet- en regelgeving is het inzicht dat inzet van digitale technologie ook risico’s voor de samenleving opleveren. Veel van die nieuwe regels hebben een overwegend risicogebaseerd karakter gekregen. Ze vertellen niet in detail welke maatregelen een organisatie moet nemen, maar verplicht ze om zelf de risico’s in kaart te brengen en vervolgens zelf te besluiten welke maatregelen er moeten worden genomen om die risico’s te beheersen. Van bestuurders wordt verwacht dat ze zich actief met deze materie bezighouden.
Het in kaart brengen en versterken van deze digitale weerbaarheid vraagt meer dan een compliancegedreven operatie. Compliance, ofwel onderzoeken of leveranciers afspraken naleven en wet- en regelgeving volgen, is daarvoor belangrijk maar onvoldoende. De dialoog met je leveranciers aangaan en het versterken van de relatie met je leveranciers, is zeker zo belangrijk voor weerbaarheid in de keten. Relatiemanagement dus.
Om de beveiliging van informatie op orde te krijgen, is het noodzakelijk om de bijbehorende risico's inzichtelijk te maken en onacceptabele risico's te beheersen. De waarde van informatie is daarbij een belangrijk uitgangspunt.
Beleg het eigenaarschap van informatie en de daarvoor geldende risico's en bepaal de bijbehorende verantwoordelijkheden. Meer informatie over het vaststellen van eigenaarschap van informatie kun je vinden in de factsheet: ’Risico’s beheersen: de waarde van informatie als uitgangspunt’.
Maak een risicoanalyse
Digitale dreigingen kunnen grote risico’s met zich meebrengen voor de dienstverlening van jouw organisatie. Via een helder en cyclisch risicomanagementbeleid kun je komen tot een passend niveau van (digitale) weerbaarheid. Dat begint met een risicoanalyse waarin de te beschermen belangen, dreigingen en de huidige weerbaarheid van jouw organisatie worden bekeken. Op basis hiervan kun je weloverwogen keuzes maken hoe om te gaan met de gevonden risico’s.
Je kunt jouw risicoanalyse sturen door de volgende vragen te beantwoorden:
Door in kaart te brengen welke zaken cruciaal zijn voor jouw organisatie en/of dienstverlening, kun je afwegingen maken om de juiste passende maatregelen te nemen om deze belangen te beschermen. Voorbeelden van kroonjuwelen kunnen zijn: klantgegevens, productiemethoden, gegevens over de medewerkers, financiële gegevens of reputatie van jouw organisatie.
De publicatie 'Hoe breng ik mijn te beschermen belangen in kaart?' biedt organisaties praktische handvatten aan personen die werkzaam zijn op tactisch niveau in de organisatie. Wanneer je jouw te beschermen belangen in kaart hebt gebracht, kun je deze gebruiken om een risicoanalyse uit te voeren.
Dit product is het vervolg op de publicatie “Wat zijn te beschermen belangen (kroonjuwelen) van mijn organisatie?” Dit tweede deel "Hoe breng ik mijn technische te beschermen belangen in kaart?" helpt je in drie stappen om jouw te beschermen belangen op het niveau van netwerk- en informatiesystemen in kaart te brengen. Na het doorlopen van de stappen heb je een lijst met de te beschermen belangen van jouw organisatie op het niveau van netwerk- en informatiesystemen.
Dreigingen kunnen zich richten op de beschikbaarheid (is de informatie toegankelijk wanneer dat nodig is?), integriteit (is de informatie correct?) of vertrouwelijkheid (hebben enkel geautoriseerden toegang tot de informatie?). Deze BIV-classificatie kun je gebruiken om te bepalen waar de dreigingen zich op richten. Door de dreigingen per te beschermen belang in kaart te brengen, krijg je een duidelijk overzicht.
De publicatie ‘Hoe breng ik mijn dreigingen in kaart’ biedt organisaties praktische handvatten om digitale dreigingen in kaart te brengen ter voorbereiding op de NIS2-richtlijn. Het in kaart brengen van relevante dreigingen is onderdeel van een risicoanalyse. Deze publicatie helpt organisaties bij het zetten van de eerste stappen. De handvatten in deze publicatie zijn ter voorbereiding op de NIS2-richtlijn geschreven, maar kunnen ook breder worden toegepast om dreigingen in kaart te brengen.
Nu je inzicht hebt in de te beschermen belangen en dreigingen van jouw organisatie, breng je de huidige weerbaarheid in kaart. Hierdoor is duidelijker grip te krijgen op de passende maatregelen die je kan treffen om je digitale weerbaarheid te vergroten. Voorbeelden van weerbaarheidsmaatregelen zijn het implementeren van multi-factorauthenticatie en trainen van het personeel.
De NCSC publicatie 'Hoe krijg ik grip op mijn security controls?' helpt je bij het in kaart brengen en zicht houden op de security controls binnen jouw organisatie. Security controls zijn onderdeel van de huidige weerbaarheid van jouw organisatie.
Cybersecurity risico’s beperken zich niet alleen tot de eigen organisatie. Toeleveranciers van jouw organisatie spelen hierin ook een essentiële rol. Als één van de leveranciers getroffen wordt door een cyberaanval kan dat grote gevolgen hebben voor jouw organisatie. Door de (rechtstreekse) toeleveranciers van jouw organisatie in kaart te brengen maak je inzichtelijk waar je afhankelijkheden liggen en welke risico’s dit met zich mee brengt.
Deze publicatie biedt praktische handvatten voor jouw organisatie om de meest relevante risico's te bepalen. Door met deze handvatten aan de slag te gaan, kun je prioriteren met welke risico's je als eerst aan de slag moet. Het doel van deze publicatie is om je hier stapsgewijs bij te helpen.
Neem passende maatregelen
Via jouw risicomanagementproces krijg je zicht op de passende maatregelen. Welke maatregelen passend zijn is maatwerk en afhankelijk van de beoordeling van jouw risico’s. Een goed vertrekpunt is het toepassen van de vijf basisprincipes van het NCSC of ga aan de slag met voorbereidende maatregelen.
Voorbeelden van maatregelen zijn:
Medewerkers die zich bewust zijn van de risico’s rondom informatiebeveiliging, weten hoe zij moeten handelen in het geval van onveilige situaties en dragen een belangrijke steen bij aan de digitale weerbaarheid. Dit geldt niet alleen voor medewerkers, ook voor bestuurders en managers.
Een cultuur waarin incidenten veilig gemeld en verwerkt kunnen worden, helpt hierbij. Meer informatie over veilig gedrag op het gebied van digitale weerbaarheid is te vinden op de pagina ’Cyberhygiëne’ van het Digital Trust Center.
In deze publicatie “Hoe organiseer ik identiteit en toegang?” licht het NCSC toe wat het belang van identiteits- en toegangsbeheer is. En welke eerste stappen je kunt zetten om dit beheer in te richten om effectief grip te krijgen op je gebruikers en hun toegang.
Om de impact van een incident te verminderen en snel weer aan de slag te kunnen, stelt de Cyberbeveiligingswet dat organisaties beleid moeten hebben op de behandeling van incidenten. Met een incident respons plan (IRP) zet je daar de eerste stappen voor. In de publicatie “Incident respons plan: hoe stel ik die op?” vind je de eerste handvatten voor het opstellen van een IRP.
Naast het nemen van passende maatregelen om incidenten te voorkomen, is het van belang procedures te ontwikkelen voor het detecteren, monitoren, oplossen en melden van incidenten. Mocht je te maken krijgen met een cyberincident, dan is het van belang te weten hoe je daarvan kunt herstellen. Lees daarover meer in de Publicatie 'Herstel van een cyberincident'.
