Governance en randvoorwaarden

Externe factoren zijn invloeden in de externe omgeving die de organisatie kunnen beïnvloeden. In deze stap wordt bijvoorbeeld onderzocht of er generieke inzichten bestaan in de sector waarin de organisatie opereert. Dit kan bijvoorbeeld gaan om industrie-standaarden of belangenverenigingen met specifieke inzichten voor de sector.

De organisatorische structuur is de wijze waarop taken en verantwoordelijkheden binnen de organisatie zijn verdeeld en de manier waarop afstemming tussen de verschillende deeltaken tot stand worden gebracht. Er wordt er bijvoorbeeld gekeken naar welke afdelingen of business units de organisatie heeft en hoe deze met elkaar samenwerken. Ook kan er gekeken worden naar de manier waarop deze units worden aangestuurd en wie de verantwoordelijkheid draagt.

De veiligheidscultuur van een organisatie is hoe er in de praktijk omgegaan wordt met veiligheid binnen de organisatie. In deze stap wordt onderzocht hoe de veiligheidscultuur van de organisatie er uit ziet. Ook wordt het beveiligingsbewustzijn binnen de organisatie in kaart gebracht.  Beveiligingsbewustzijn¹ is de mate waarin mensen risico’s herkennen en zich ervan bewust zijn dat deze de veiligheid van informatie in gevaar kunnen brengen. Dit kan zowel in de praktijk zijn, als kijken naar bestaand beleid rondom het stimuleren van een positieve veiligheidscultuur binnen de organisatie.

Beveiligingsprincipes zijn de basisrichtlijnen die gebruikt worden bij het ontwerpen of implementeren van een systeem of proces. Er wordt in kaart gebracht in hoeverre er al sprake is van beveiligingsprincipes rondom risicomanagement binnen de organisatie. Een voorbeeld is inventariseren of er beleid aanwezig is binnen de organisatie op het gebied van fysiek risicomanagement. Hier kunnen beveiligingsprincipes of risicomanagementnormen aan gekoppeld zijn.

Een bedrijfsstrategie omvat de doelen van een organisatie en een beschrijving hoe deze bereikt gaan worden. Om te weten of de context waar de organisatie in opereert (op korte termijn) gaat veranderen wordt onderzocht of de organisatie op korte termijn van strategie gaat veranderen. Een voorbeeld van een alternatieve bedrijfsstrategie is het plan om volgend jaar een deel van  het werk aan derde partijen uit te besteden. Dit zijn zaken om rekening mee te houden in het kader van risicomanagement.

Integraal risicomanagement (IRM) is de manier waarop een organisatie op een gestructureerde wijze omgaat met risico’s en de beheersing daarvan. Waar risicomanagement in het digitale domein zich specifiek richt op digitale risico’s, is IRM breder en omvat het alle verschillende risicogebieden binnen de organisatie. Tijdens het vaststellen van de context is geïnventariseerd of de organisatie zich op andere manieren bezighoudt met risicomanagement. Om te zorgen voor een gestroomlijnd proces is het belangrijk dat er overwogen wordt om risicomanagement op het gebied van cyberweerbaarheid te integreren in het bredere proces van integraal risicomanagement.  

In deze stap wordt het risicomanagementproces geïntegreerd met en afgestemd op de bedrijfsdoelstellingen, organisatorische prioriteiten en BCM (business continuity management). Bedrijfsdoelstellingen zijn doelen die een organisatie wil bereiken, bijvoorbeeld: omzet, winst, groei en ontwikkeling. Uit deze bedrijfsdoelstellingen kunnen de organisatorische prioriteiten geëxtraheerd worden. Op basis van de bedrijfsdoelstellingen worden prioriteiten gesteld binnen de organisatie. Dit biedt extra inzichten op de focus voor risicomanagementprocessen. BCM is een beheersproces waarbij de organisatie maatregelen getroffen heeft om, ongeacht welke omstandigheden, de continuïteit van de meest kritische bedrijfsprocessen gegarandeerd te laten blijven. Het is belangrijk om ook hier op af te stemmen om daarmee de organisatorische lijn te kunnen volgen.

In wetten kunnen eisen staan waar een organisatie verplicht aan moet voldoen. Richtlijnen, voorschriften en standaarden zijn niet altijd wettelijk verplicht, maar kunnen ook verplicht worden vanuit organisatorisch beleid of wetgeving. In deze stap wordt in kaart gebracht aan welke wetten, richtlijnen, voorschriften en standaarden de organisatie moet voldoen. Door het inventariseren van deze vereisten wordt een overzicht gecreëerd met minimale beveiligingsvereisten waar aan voldaan moet worden. Denk bijvoorbeeld aan de Cyberbeveiligingswet (NIS2) waar een set aan beveiligingseisen staat omschreven waar een organisatie die onder de Cyberbeveiligingswet valt verplicht aan moet voldoen.

• Organisatorisch beleid is de systematische wijze waarop de organisatie of een deel van de organisatie omgaat met bepaalde zaken om een doel te bereiken.
• De bedrijfsmissie is een algemene beschrijving waarom de organisatie bestaat en waar de organisatie voor staat.
• Een bedrijfsfunctie daarentegen beschrijft wat een organisatie precies doet, onafhankelijk van de processen en de inrichting van de organisatie.

Uit het organisatorisch- beleid, missie en bedrijfsfuncties kunnen beveiligingsvereisten volgen die relevant zijn voor het risicomanagementproces. Bijvoorbeeld bepaalde veiligheidsvoorschriften waar medewerkers zich aan moeten houden maar ook de vereisten die gesteld worden aan rollen en verantwoordelijkheden van medewerkers.

De interne en externe vereisten worden gecombineerd tot een totaalpakket van minimale beveiligingsvereisten waar de organisatie aan moet voldoen, zoals eisen aan informatiesystemen en verantwoordelijkheden van verschillende functies van medewerkers. Door de minimale beveiligingsvereisten in kaart te brengen wordt er een minimale baseline gecreëerd voor het risicomanagementproces.

De strategische leiding van de organisatie bepaalt de strategie van de organisatie en geeft aan waar de prioriteiten binnen risicomanagement moeten liggen. De strategische leiding is het hoogste orgaan binnen de organisatie en heeft de verantwoordelijkheid om hier een actieve rol in te spelen. In deze stap wordt de strategische leiding betrokken bij het risicomanagementproces. Het is niet mogelijk om alle risico’s binnen de organisatie in één keer te beheersen. De strategische leiding heeft goed zicht op de organisatiedoelen en weten waar de prioriteiten moeten liggen. Zij geven aan waar de focus en prioriteiten binnen de vervolgstappen van het risicomanagementproces moeten liggen.

Risicobereidheid is de hoeveelheid en het soort risico dat een organisatie bereid is na te streven, te behouden of te nemen.¹Wanneer er in de risicobeheersingsfase beheersmaatregelen worden geïmplementeerd zal er in veel gevallen een restrisico overblijven. Deze bevind zich normaliter binnen de risico-acceptatiegrenzen van de organisatie. Restrisico’s, of netto risico, zijn de risico’s die blijven bestaan na het invoeren van de beheersmaatregelen. De strategische leiding van de organisatie stelt de risicobereidheid vast. Het is aan de strategische leiding van de organisatie om te bepalen welk niveau van restrisico acceptabel is voor de organisatie.

Het verlenen van mandaat houdt in dat de strategische leiding de uitvoerder van het risicomanagementproces machtigt om het proces uit te voeren in naam, en onder verantwoordelijkheid van de strategische leiding. In deze stap verleent de strategische leiding mandaat om het risicomanagementproces uit te gaan voeren. Wanneer de strategische leiding mandaat verleent is het onder andere helder:

• wie risico's mag accepteren,
• wie besluiten mag nemen over het behandelen van risico's en de inzet van bijbehorende mensen en middelen,
• wie verantwoording aflegt aan de strategische leiding en op welke wijze.

Tenslotte committeert de strategische leiding zich in deze stap ook aan een actieve rol binnen de risicomanagementcyclus. De leiding is uiteindelijk eindverantwoordelijk en daarmee integraal onderdeel van het risicomanagementproces.

Het portfolio van een organisatie bestaat uit de data, het personeel, de apparaten, systemen en faciliteiten die de organisatie in staat stellen de bedrijfsdoelen te bereiken, ook wel bedrijfsmiddelen genoemd. In deze stap wordt er een weergave van de bedrijfsmiddelen ontwikkeld waar het risicomanagementproces zich op gaat richten. Door het portfolio in kaart te brengen ontstaat er een duidelijker beeld van de bedrijfsmiddelen die de essentiële processen binnen de organisatie ondersteunen.

Op basis van de risicobereidheid en organisatorische belangen wordt het portfolio geprioriteerd. Het is niet mogelijk om alle risico’s binnen de organisatie in één keer te beheersen. Daarom moeten er keuzes gemaakt worden in de prioritering. In de prioritering wordt er gekeken naar de onderdelen in de portfolio die de grootste invloed hebben op het behalen van de organisatiedoelen. Daardoor dienen deze onderdelen prioriteit te krijgen tijdens de risicobehandeling.

Risicobeoordeling omvat het identificeren en inschatten van de waarschijnlijkheid dat digitale dreigingen zich manifesteren, gecombineerd met een inschatting van de impact daarvan. Door het combineren van het portfolio met de vooraf verzamelde informatie, zoals de eerder geïdentificeerde organisatorische prioriteiten, wordt in deze stap begonnen met het voorbereiden op de risicobeoordelingsfase.

Aan de hand van de scope wordt geïdentificeerd welke rollen binnen de organisatie relevant zijn voor het vervolg van het risicomanagementproces. Voor een succesvolle risicobeoordeling is het belangrijk dat de juiste personen betrokken zijn, evenals dat de verantwoordelijkheden in beeld zijn.

De relevante risico-, proces- en systeemeigenaren worden betrokken met als doel om hun deelname aan het risicomanagementproces formeel geaccordeerd te krijgen. Een risico-eigenaar is een aangesteld persoon die verantwoordelijk is voor het beheersen van een aan hem of haar toegekend risico. Proceseigenaren, vaak (lijn)managers, zijn eindverantwoordelijk voor een proces. De proceseigenaar heeft dus globaal zicht op het gehele proces. De systeemeigenaar is verantwoordelijk voor de beschikbaarheid, beveiliging, onderhoud en support van een systeem. Deze rollen kunnen toegewezen zijn aan dezelfde medewerkers, die dus in dat geval zowel risico- als systeem-eigenaar is. Ook als de opdracht voor een risicobeoordeling afkomstig is vanuit een van deze rollen dan is het van belang om de gemaakte afspraken officieel vast te leggen.

Om het risicomanagementproces zo goed mogelijk te borgen binnen de organisatie worden in samenspraak met de strategische leiding afspraken gemaakt over de logging en rapportage.

Logging is een proces waarbij gegevens worden geregistreerd om bij te houden welke handelingen en gebeurtenissen er hebben plaatsgevonden. In de context van risicomanagement gaat het daarin bijvoorbeeld om het bijhouden van een risicoregister en andere manieren waarop risicogegevens bewaard zullen worden.

Met rapportage wordt een wijze bedoeld hoe er verslag wordt gelegd van het risicomanagementproces en uitkomsten worden gecommuniceerd. Aangezien risicomanagement een cyclisch proces is, kan het doormiddel van rapportage/logging mechanismes het proces continue verbeterd worden.

In deze stap wordt de beschrijving van de scope goedgekeurd door de strategische leiding van de organisatie. Waar tijdens de scope vaststelling de richting en het kader van de scope scherp zijn gesteld, wordt de scope hier formeel goedgekeurd door de strategische leiding van de organisatie. Zoals eerder gesteld, zal de scope normaliter gericht zijn op het ondersteunen van de organisatorische prioriteiten. In deze fase is deze focus geoperationaliseerd en zal dit dus officieel goed gekeurd moeten worden. In de goedkeuring wordt onder andere de gekozen methodes en de wijze waarop risico’s beoordeeld worden meegenomen. Dit is dus een verdere vertaling van de eerdere stappen. Daarmee vormt het akkoord de basis voor de vervolgfase van risicobeoordeling.

Op dit punt worden de rollen binnen de risicobeoordelingsfase toegewezen. Met de formele goedkeuring van de scope van de risicobeoordeling door de strategische leiding van de organisatie kan er begonnen worden met het toewijzen van rollen binnen de risicobeoordeling.