Context en uitleg

De routekaart risicomanagement is opgesteld om inzicht en overzicht te geven op het gebied van risicomanagement in het digitale domein. De routekaart wordt gebruikt als referentiekader en biedt perspectief aan organisaties die hun digitale weerbaarheid op een passend niveau willen krijgen. Het doel van dit artikel is om de routekaart verder toe te lichten.

Door de achtergrond, methodiek en toepassingen te beschrijven zijn organisaties in staat om gebruik te maken van de routekaart. Het helpt organisaties om bestaande activiteiten en plannen op het gebied van cybersecurity en risicomanagement in het grotere geheel te plaatsen. Daarmee zijn de componenten van de routekaart context-afhankelijk en is het aan organisaties om weloverwogen keuzes te maken.

Leeswijzer

Dit artikel is opgebouwd uit twee onderdelen. In het eerste onderdeel, wordt de routekaart geïntroduceerd. Daarna zal onderstaande visualisatie toegelicht worden en worden de vier fases van de risicomanagementcyclus toegelicht. Vervolgens volgt er een verdiepingshoofdstuk. Hierin zullen de toepassingen van routekaart risicomanagement besproken worden. In de rest van het artikel komt de context aan bod: de aanleiding voor het opstellen van de routekaart, methodiek en definities worden uiteengezet en tenslotte volgt er een vooruitblik.

Achtergrond

Dit artikel is onderdeel van de NCSC-reeks rondom risicomanagement. Het NCSC adviseert organisaties om een passend niveau van digitale weerbaarheid na te streven. Risicomanagement is het fundamentele instrument om dit passend niveau te bepalen en behalen. De routekaart risicomanagement van het NCSC biedt overzicht over het risicomanagement landschap. Dat geeft organisaties inzicht in hoe hun activiteiten met betrekking tot risicomanagement zich verhouden tot de rest van het landschap. Dat inzicht stelt organisaties in staat om hun risicomanagementproces doorlopend te verbeteren.

De routekaart beschrijft een cyclus. Deze risicomanagementcyclus kent vier fases, welke hier kort geïntroduceerd zullen worden. Door structureel aandacht te schenken aan de “governance en randvoorwaarden” van risicomanagement en deze op orde te brengen kan een organisatie structureel risicomanagement in de organisatie integreren. Dit helpt een organisatie om daarna risico’s te identificeren en te beoordelen. Dit heet de zogenaamde “risicobeoordelingsfase”. Door risico’s in kaart te brengen en met elkaar te vergelijken, zijn organisaties in staat om hun schaarse middelen in te zetten op de risico’s welke de hoogste prioriteit hebben. Dat gericht inzetten van middelen om de weerbaarheid te verhogen, vindt plaats in de “risicobehandelingsfase”. Ten slotte is het in de fase van “doorlopende monitoring” van belang om zicht te blijven houden op zowel de effectiviteit van de mitigerende maatregelen als mogelijke veranderingen in de omgeving waar de organisatie zich in bevindt.

Inleiding

Risicomanagement is een continu proces waarbij bedrijfsrisico’s voortdurend worden bewaakt.¹ Daarmee is het een cyclisch proces waarmee organisaties een passend niveau van digitale weerbaarheid willen bereiken en behouden.

De routekaart risicomanagement is opgesteld vanwege de behoefte aan overzicht en inzicht in het complexe speelveld van risicomanagement. Er is een groot aanbod aan verschillende raamwerken, methodieken en andere zienswijzen om invulling te geven aan (onderdelen van) risicomanagement in het digitale domein.

De routekaart brengt onderlinge verhoudingen van de kernbegrippen van veel verschillende raamwerken en methodes gevisualiseerd in beeld. Dit is gedaan op basis van een analyse van een groot aantal bestaande raamwerken en methodes,² alsmede door verrijking op basis van de expertise van het NCSC. Daarmee is de routekaart methodiek-agnostisch. Dat betekent dat het de centrale, terugkerende begrippen van risicomanagement omvat. Daarmee zijn de bestaande kernpunten van de bestaande methodes en raamwerken terug te vinden in de routekaart. Het NCSC heeft daarna de uitkomsten verrijkt op basis van haar expertise.

Daarmee biedt de routekaart overzicht over het risicomanagementlandschap aangezien al deze centrale begrippen en hun onderlinge verhoudingen in kaart zijn gebracht. Een dergelijk overzicht geeft organisaties inzicht in hoe hun activiteiten met betrekking tot risicomanagement zich verhouden tot de rest van het landschap. Met dit inzicht zijn organisaties in staat om invulling te geven aan ontbrekende of suboptimaal ingerichte risicomanagementactiviteiten en zo hun risicomanagementproces doorlopend te verbeteren.

De hoofdcategorieën

Het doel van risicomanagement is om een passend niveau van digitale weerbaarheid te bereiken en te behouden. Om dit doel te bereiken, kunnen er vier hoofdcategorieën onderscheiden, zoals gevisualiseerd in dit artikel.

Het doel van governance en randvoorwaarden is tweeledig; het scheppen van de juiste randvoorwaarden voor het risicomanagementproces en het maken en vastleggen van afspraken. In de governance- en randvoorwaardenfase worden op basis van onderzoek binnen en buiten de organisatie keuzes gemaakt over de verdere vormgeving en het bestuur van het risicomanagementproces.

Het doel van de risicobeoordelingsfase is dat er wordt beoordeeld wat de belangrijkste risico’s zijn voor een organisatie. Risico’s kunnen worden geïdentificeerd op basis van uit drie componenten: dreigingen, te beschermen belangen en weerbaarheid. Vervolgens kunnen de risico’s worden geanalyseerd, kan er een inschatting worden gemaakt van de kans en de impact en kunnen de risico’s ten slotte worden beoordeeld. Na deze fase is in beeld wat de risico’s zijn met de hoogste prioriteit voor de organisatie.

Na de risicobeoordelingsfase heeft een organisatie een aantal risico’s gevonden welke de organisatie kunnen treffen. Het doel van risicobehandeling is om risico’s waar relevant terug te brengen tot een voor de organisatie acceptabel niveau door het toepassen van mitigerende acties. In de fase van risicobehandeling worden er daarom keuzes gemaakt worden met betrekking tot de gevonden risico’s. Dat betekent dat er op basis van de risicobereidheid van de organisatie afgewogen wordt hoe er het beste met het risico omgegaan kan worden. Op die manier kunnen er weloverwogen keuzes gemaakt worden over de meest passende maatregelen.

Het doel van doorlopende monitoring is het zicht houden op beoordeelde risico’s en de effectiviteit van de gekozen risicobehandeling. Wijzigingen in risico’s of onvoorziene ineffectiviteit van maatregelen geven aanleiding om risico’s opnieuw te beoordelen of behandelen. In de doorlopende monitoringfase wordt er continue bijgehouden of de gekozen beheersmaatregelen daadwerkelijk tot het beoogde resultaat leiden. Tevens worden interne en externe veranderingen van de organisatie bijgehouden en wordt geëvalueerd om te zien of dit effect heeft op de beoordeling van risico’s.

RM_landkaart_overzicht — Afbeelding: Routekaart risicomanagement

Download hier de routekaart risicomanagement in PDF-versie

Toepassingen

Eerder zijn de vier categorieën van de routekaart geïntroduceerd: governance en randvoorwaarden, risicobeoordeling, risicobehandeling en doorlopende monitoring. In losse artikelen worden de details van deze categorieën besproken.

Vanaf dit punt, zullen de toepassingen van de routekaart toegelicht worden. Daarna komt er een voorbeeld aan bod om deze toepassingen tastbaar te maken. De rest van het artikel richt zich op de context van de routekaart: de aanleiding, definities en door het NCSC gehanteerde methodiek worden besproken. Ten slotte volgt er een vooruitblik op de volgende stappen.

De routekaart biedt op verschillende manieren toegevoegde waarde aan organisaties die aandacht willen besteden aan hun digitale weerbaarheid.

Referentiekader
- De routekaart biedt overzicht en daarmee kaders rondom risicomanagement. Dat kan organisaties ondersteunen om focus aan te brengen.
- Op vele fysieke richtingskaarten staat een stip: “Je bent nu hier”. Dat zit logischerwijs niet in deze routekaart, maar door het referentiekader te begrijpen en de samenhang te zien, ondersteunt het organisaties in weloverwogen keuzes maken rondom risicomanagement.

Perspectief
- De routekaart dient als handvat om inzichtelijk te krijgen aan welke risicomanagementonderdelen al invulling wordt gegeven.
- De routekaart maakt de volgorde binnen de risicomanagementcyclus verder inzichtelijk.
- Het biedt aanvullend zicht op de cyclische aard van risicomanagement.

Stip op de horizon
- De routekaart is een stip op de horizon bij het steeds verder invullen van alle risicomanagementfuncties. De routekaart ondersteunt organisaties bij het bepalen van prioriteiten en het vinden van focus.
- Organisaties kunnen met behulp van de routekaart hun risicomanagementproces naar een steeds hoger volwassenheidsniveau brengen.

Toegankelijker maken van bestaande methodes
- De routekaart werkt drempelverlagend om bestaande methodes en raamwerken methodes toe te passen. Bijvoorbeeld, de ISO- of NIST-standaarden.
- Bestaande methodes zijn daarmee complementair aan de routekaart aangezien ze (onderdelen van) de risicomanagement routekaart in de praktijk invullen.
- Als een organisatie op basis van de routekaart zicht heeft op missende of suboptimaal ingerichte componenten van risicomanagement dan kan de organisatie gericht de beste methode identificeren en implementeren.

Voorbeeldcasus

Het is belangrijk om te onderschrijven dat de routekaart een manier van denken weergeeft. Dat houdt in dat er weloverwogen keuzes gemaakt moeten worden in het risicomanagementproces: elk risico is uniek in de context van een specifieke organisatie. Primair door goede analyse en het volgen van een duidelijk iteratieve aanpak van risicomanagement kunnen er keuzes gemaakt worden die passend zijn bij de organisatie en haar doelstellingen.

Dit valt te onderschrijven met een voorbeeldcasus, waarin een ingewikkeld proces geplot wordt op routekaart. Het oprichten van een Security Operations Center (SOC) is een complex operationeel proces. Daar zijn zeer specifieke methodes voor, die elk invulling geven aan (een deel van) de risicomanagementcyclus.

De cyclus van de routekaart biedt hier de handvatten om weloverwogen alle relevante stappen in te kleuren.

Zo is het cruciaal dat de juiste personen betrokken zijn en dat er heldere afspraken gemaakt zijn, om een goede risicobeoordeling uit te kunnen voeren. Zodra de risicobeoordeling plaatsgevonden heeft, komen er een aantal geprioriteerde risico’s in beeld. Vervolgens, in de risicobehandelingsfase, kan de organisatie de meest effectieve en efficiënte beheersmaatregelen bepalen en implementeren. Dit met het doel om grip op deze risico’s te krijgen en deze op een acceptabel niveau te brengen.

In deze voorbeeldcasus, geeft het management er de voorkeur aan dat een SOC om daarmee de gewenste en passende vorm van risicobeheersing te implementeren. Doordat de stappen van de routekaart doorlopen zijn, is de keuze voor een SOC helder gemandateerd en gebaseerd op een scherp zicht op de te beheersen risico’s. Daarmee kan er gericht bepaald worden welke detectielogica nodig is en op welke wijze er gereageerd moet worden vanuit het SOC, mocht er een incident plaatsvinden. De monitoringsfase van het routekaart risicomanagement zorgt ervoor dat de beheersmaatregelen, waaronder de dekking vanuit het SOC, effectief en efficiënt blijven

Aanleiding voor de constructie van de routekaart

Complexiteit van risicomanagement

Het NCSC herkent dat er een groot aanbod is aan verschillende raamwerken, methodieken en andere zienswijzen om invulling te geven aan (onderdelen van) risicomanagement in het digitale domein. Zo zijn er veel raamwerken welke zich specifiek richten op de losse fases van risicomanagement. Naast deze nauwe benaderingen van onderdelen van risicomanagement, zijn er ook allesomvattende raamwerken. Uit de praktijk werd duidelijk dat er behoefte is aan overzicht, waarbij de onderlinge verhoudingen van de kernbegrippen gevisualiseerd wordt.

Ad hoc en onhaalbaar

Risicomanagement in het digitale domein is in de praktijk vaak ad hoc ingericht en de stap naar structureel risicomanagement kan ervaren worden als onhaalbaar. Daaruit ontstaat de vraag om meer handvatten en overzicht in het gehele speelveld. Alle wegen leiden spreekwoordelijk naar Rome, maar een routekaart kan helpen om de meest efficiënte route te bepalen.

Cyberbeveiligingswet (NIS2)

De cyberbeveiligingswet (NIS2) benoemt risicomanagement expliciet. Daarbij is het onderdeel van de zorgplicht van organisaties. Een van de manieren waarop het NCSC haar doelgroepen wil ondersteunen, is met deze routekaart. De visie van het NCSC behelst een risico-gebaseerde aanpak van cybersecurity. Dat houdt in dat er geen one-size-fits-all benadering mogelijk is. De diversiteit van organisaties, hun digitale omgevingen en specifieke prioriteiten leidt ertoe dat risicomanagement de basis is van het behalen van een passend niveau van digitale weerbaarheid. Daarom biedt de routekaart een stip op de horizon ook in de context van de Cyberbeveiligingswet.

Methodiek

De routekaart is methodiek- en raamwerk agnostisch opgebouwd. Er wordt dus keuze gemaakt voor een specifiek raamwerk of specifieke methode. In Nederland is de standaard voor het definiëren van termen het “cybersecurity woordenboek” van de Cybersecurityalliantie. Deze definities zijn ook aangehouden voor de routekaart risicomanagement. Veel begrippen worden in de verschillende raamwerken en methodes van eigen definities voorzien en vaak van specifiek jargon. Het NCSC heeft daarom sommige begrippen op de routekaart vertaald naar de definities uit het woordenboek.

Het is belangrijk voor organisaties om zelf in hun eigen context de meest passende begrippen te adopteren. Daarom blijft het advies van het NCSC om als organisatie gebruik te maken van de bestaande raamwerken en methodes. Deze methodes gaan gedetailleerd in op de materie en kunnen dus eigen jargon gebruiken.

De routekaart is tot stand gekomen door een literatuuronderzoek vanuit het NCSC. Daarbij zijn, op basis van onderzoek door ENISA,² een 30-tal raamwerken vergelijkend onderzocht. De begrippen die als terugkerend en centraal te bestempelen zijn binnen risicomanagement zijn hiermee geïdentificeerd. Centrale begrippen dat zijn begrippen die in meerdere raamwerken terugkomen en als rode draad van de risicomanagementcyclus bestempeld kunnen worden.

Deze begrippen zijn onderling in verhouding gebracht en gevisualiseerd. Het resultaat is uitgebreid getoetst op volledigheid en toepasbaarheid, zowel binnen het NCSC als bij partners, om mogelijke aanvullingen te doen.

De visualisatie van de onderlinge verhoudingen is daarna in deze reeks van artikelen gepubliceerd. Het doel van deze publicaties is om toelichting te geven op de visualisatie en daarmee gewenste inzicht en overzicht te creëren. Het gekozen abstractieniveau betekent automatisch dat er enkel gefocust wordt op het toelichten van de geplotte begrippen en de onderlinge verhoudingen. De manier waarop deze begrippen geoperationaliseerd kunnen worden in een organisatorische context valt buiten de scope van deze reeks. Hier besteedt het NCSC in specifieke artikelen aandacht aan, om recht te doen aan de materie.

De routekaart gaat in op de “wat”-vraag van risicomanagement, niet op de “hoe”. Bijvoorbeeld, de variabele “identificeren dreigingen”, is nu één stap in het model. Er wordt niet toegelicht hoe dreigingen geïdentificeerd kunnen worden. Daar zijn veel methodes voor beschikbaar en het NCSC raadt aan om zulke methodes te volgen.
Niet elke variabele geplot op de routekaart weegt even zwaar. Hoeveel waarde gehecht wordt aan de losse onderdelen dat is organisatie- en contextafhankelijk, Zo is “integreren met integraal risicomanagement” een organisatorische keuze. Er zijn omstandigheden waaronder dit duidelijk van toegevoegde waarde is. In andere gevallen is het juist wijs om risicomanagement in het digitale domein als los onderdeel te beschouwen. Welke componenten van de routekaart het meest relevant zijn, valt niet vanuit het NCSC te bepalen.
Ook zullen er onderdelen van de routekaart zijn welke überhaupt minder relevant zijn voor organisaties, of die in een bepaalde cyclus van risicomanagement overgeslagen kunnen worden. Ook hier is het aan de organisaties zelf om weloverwogen keuzes te maken.
Tenslotte konden niet alle potentieel relevante onderdelen geïncorporeerd worden. Zo zijn gestandaardiseerde IT-processen, zoals change-processen, niet meegenomen. Dat is de reden dat het implementeren van de beheersmaatregelen niet verder uitgediept wordt op de routekaart. Ook hebben we generieke organisatorische beleidsonderdelen waar relevant voor risicomanagement benoemd, maar ook hier niet gespecificeerd. Dit zijn allen unieke takken van sport en dat zou de focus van de routekaart doen verwateren.

Vooruitblik

Het NCSC verwacht de routekaart verder uit te breiden op een aantal componenten.

Zo is bekend dat er behoefte bestaat om inzichtelijk te maken welke methodiek op welk moment toegevoegde waarde biedt. In het eerdergenoemde voorbeeld van risicoanalyses, heeft elke methodiek voor en nadelen. Het NCSC zal handvatten ontwikkelen waarmee organisaties kunnen bepalen welke methodiek in hun specifieke situatie het beste kan worden gebruikt.
Daarnaast zal het NCSC kennisproducten ontwikkelen om de verschillende risicomanagementfuncties op de routekaart te operationaliseren. Dit is het verder invullen van de “hoe”-vraag.
Op die manier zal invulling gegeven worden aan de mogelijkheden om op basis van deze kennis de onderdelen van de routekaart te kunnen operationaliseren en in de praktijk toe te passen.

De prioritering en focus op deze onderdelen wordt gestuurd vanuit de behoefte van de doelgroepen van het NCSC.

^{Bronnen:

1. https://cyberveilignederland.nl/woordenboek

2. https://www.enisa.europa.eu/publications/compendium-of-risk-management-frameworks}

Lees verder

< Terug naar Routekaart risicomanagement

> Verder naar Governance en randvoorwaarden

Context en uitleg

Leeswijzer

Achtergrond

Inleiding

De hoofdcategorieën

1. Governance en randvoorwaarden

2. Risicobeoordeling

3. Risicobehandeling

4. Doorlopende monitoring

Toepassingen

Voorbeeldcasus

Aanleiding voor de constructie van de routekaart

Methodiek

Definities

Werkwijze en verantwoording

Beperkingen aan de routekaart

Vooruitblik

Lees verder

Deel deze pagina