Risicobehandeling

Dit artikel beschrijft stapsgewijs de risicobehandelingsfase binnen het risicomanagementproces. Het doel van risicobehandeling is om risico’s waar relevant terug te brengen tot een voor de organisatie acceptabel niveau. Na de risicobeoordelingsfase heeft een organisatie een aantal risico’s gevonden welke de organisatie kunnen treffen. In de fase van risicobehandeling worden er daarom keuzes gemaakt worden met betrekking tot de gevonden risico’s. Dat betekent dat er afgewogen wordt of er aanvullende maatregelen nodig zijn. Mocht dat het geval zijn, dan kunnen er keuzes gemaakt worden over de meest passende maatregelen. Deze maatregelen richten zich op het verhogen van de digitale weerbaarheid van de organisatie.

De routekaart dient gelezen te worden als referentiekader. Het helpt organisaties om bestaande activiteiten en plannen op het gebied van cybersecurity en risicomanagement in het grotere geheel te plaatsen. Daarmee zijn de componenten van de routekaart context-afhankelijk en is het aan organisaties om weloverwogen keuzes te maken. Lees hier meer over de achtergrond van de routekaart risicomanagement.

Leeswijzer

Dit artikel is opgebouwd uit twee onderdelen. Allereerst, zal onderstaande visual toegelicht worden: de begrippen binnen risicobehandeling worden geïntroduceerd. Daarmee legt het eerste hoofdstuk de basis. Het tweede onderdeel zal risicobehandeling van verdere diepgang voorzien. De uitgebreide variant van de routekaart wordt gepresenteerd. Deze detaillering houdt in dat de volledige fase van risicobehandeling doorgenomen zal worden.

Kennismaken met risicobehandeling

Het doel van risicobehandeling is om keuzes te maken om het niveau van digitale weerbaarheid van een organisatie naar een passend niveau te tillen. Allereerst houdt dat in dat er afgewogen moet worden van een risico of het wel of niet acceptabel is. Dit gebeurt door de geïdentificeerde risico’s af te wegen ten opzichte van de risicobereidheid van de organisatie. In de governance-fase van risicomanagement, is de risicobereidheid van de organisatie vastgesteld. Dat betekent dat het strategisch leiderschap van de organisatie keuzes gemaakt heeft. Deze keuzes richten zich op de beschikbaarheid, integriteit en vertrouwelijkheid van de te beschermen belangen van de organisatie. Als de gevonden risico’s deze te beschermen belangen op zo’n manier negatief kunnen beïnvloeden dat dit als niet acceptabel gezien wordt, dan wordt de risicobereidheid overschreden. In dat geval zal de organisatie over willen gaan tot risicomitigatie.

RM Landkaart_risicobehandeling_2 — Afbeelding: Risicobehandeling

Het mitigeren van een risico betekent dat er beheersmaatregelen geïmplementeerd worden om het risico te beheersen. Het beheersen van een risico houdt in dat het binnen de acceptatiegrenzen van de organisatie past. De acceptatiegrenzen zijn gebaseerd op de risicobereidheid van de organisatie en geeft de hoeveelheid en het soort risico aan dat een organisatie bereid is na te streven, te behouden of te nemen.¹

Het mitigeren van een risico kan zich op twee onderdelen richten. Ten eerste, kan mitigatie de waarschijnlijkheid (kans) dat een risico plaatsvindt verkleinen. Ten tweede kan risicomitigatie zich richten op het verkleinen van de impact van manifestatie van een risico. In beide gevallen is het einddoel van risicomitigatie om de gevonden risico’s terug te brengen tot een acceptabel niveau.

Zodra de organisatie de stappen voor risicomitigatie doorlopen heeft, kan de conclusie zijn dat er van bepaalde mitigerende maatregelen verwacht wordt dat ze het risico naar een acceptabel niveau verlagen. Op dat moment is het zaak om de verwachte effecten van deze mitigerende maatregelen te modeleren. Dat houdt in dat vastgesteld wordt of de beheersmaatregelen de gewenste effecten op het risico zullen bereiken. Hiermee kan de organisatie met grotere zekerheid stellen dat de ingezette middelen op effectieve en efficiënte wijze effect zullen hebben.

Nadat deze stap gezet is, kan overgegaan worden tot implementatie van de beheersmaatregelen. Op dit punt in het risicomanagementproces heeft de organisatie zicht op risico’s, is de governance op orde en zijn dus de juiste personen betrokken en is er een afgewogen keuze gemaakt voor de meest doeltreffende beheersmaatregelen. Daarom kan er dan overgegaan worden tot implementatie van de voorgestelde beheersmaatregelen.

Verdieping risicobehandeling

Het doel van risicobehandeling is om risico’s waar relevant terug te brengen tot een voor de organisatie acceptabel niveau. Dat betekent dat er afgewogen wordt of er aanvullende maatregelen nodig zijn. Mocht dat het geval zijn, dan kunnen er keuzes gemaakt worden over de meest passende maatregelen. Deze maatregelen richten zich op het verhogen van de digitale weerbaarheid van de organisatie. Daarom zal ten eerste in het artikel toegelicht worden welke opties ontstaan zodra beoordeeld is of een gevonden risico de risicobereidheid van de organisatie overschrijdt. Ten tweede, zal het modeleren van implementatie van risicobehandeling toegelicht worden. Tenslotte zal de implementatie van beheersmaatregelen geduid worden.

RM Landkaart_risicobehandeling — Risicobehandeling verdieping

Risicoacceptatie

Risicoacceptatie houdt in dat bewust gekozen wordt om geen aanvullende maatregelen te nemen om de weerbaarheid van de organisatie te verhogen. Na het afwegen van de gevonden risico’s ten opzichte van de risicobereidheid van de organisatie, zijn er twee mogelijkheden: risicomitigatie of risicoacceptatie.

Ten eerste, kan het zo zijn dat de conclusie getrokken worden dat het risico binnen de risicobereidheid valt. Op dat moment kan de keuze gemaakt worden om het risico te accepteren. Het NCSC raadt aan om helder te documenteren dat er overgegaan is tot acceptatie. Het is zaak om deze documentatie periodiek te herzien. Dat een risico op het moment van beoordeling gezien wordt als acceptabel, dat betekent niet dat dit in de toekomst ook zo zal zijn.

De tweede optie is dat het risico de risicobereidheid overschrijdt. Ook in dit geval kan het risico alsnog geaccepteerd worden, mits de organisatie hier een expliciete keuze op maakt. Als dit niet het geval is, dan zal er overgegaan worden tot risicomitigatie.

Risicomitigatie

Risicomitigatie gaat om alle dingen die een organisatie doet om risico’s te verkleinen of helemaal te laten verdwijnen. Grijpt een organisatie in, dan kan dat twee doelen hebben:

de kans op een incident verkleinen.
de gevolgen verkleinen als dat incident toch plaatsvindt.¹

Daarmee gaat het om het ondernemen van actie om het risico te verminderen tot een acceptabel niveau. Risicomitigatie kan op een aantal manieren ingevuld worden.

Risicodeling houdt in dat er gekozen wordt om het risico over meerdere organisaties te spreiden. Dat kan bijvoorbeeld delen van dreigingsinformatie ten behoeve van het inzicht verkrijgen in de risico’s. Een andere optie is om tezamen met meerdere organisaties af te spreken om als uitwijklocatie te fungeren, mocht één van de deelnemers door een calamiteit getroffen worden. Door kennis en kunde te bundelen en op het gebied van digitale veiligheid samen te werken, kan elke deelnemer profijt behalen van risicodeling.

Er valt geen eenduidig advies te geven welk type risicomitigatie het beste is. Dit is afhankelijk van verschillende factoren waaronder de organisatorische context, financiële kosten-baten en de termijn waarop mogelijke beheersmaatregelen effect moet hebben.

Type beheersmaatregelen

Op het niveau van de risicomitigatie zelf zal ook bepaald moeten worden welke onderdelen van het risico het meest passend zijn om te beheersen. Dit richt zich op categorisch op twee componenten.

Ten eerste, de kans op een incident. Dat is de proactieve, voorkomende factor van beheersmaatregelen.
Ten tweede, kan er gekeken worden naar de impact van een risico op de organisatie. Beheersmaatregelen kunnen dit verkleinen en omvat daarmee de reactieve component van beheersmaatregelen.

Het terugbrengen van de waarschijnlijkheid

Als er beheersmaatregelen genomen worden welke zich richten op het terugbrengen van de waarschijnlijkheid dat de risico materialiseert, dan vallen deze ofwel in de categorie van “beschermen” ofwel in “detecteren”. Hierbij is het doel om de kans te verkleinen dat een dreiging het te beschermen belang kan treffen.

Detecteren heeft als focus het herkennen zodra een dreiging zich voordoet. Het is niet mogelijk om volledig te voorkomen dat digitale aanvallen plaatsvinden. Het is dan ook van belang dat organisaties in staat zijn om ongewenste activiteiten te detecteren en te duiden. Bijvoorbeeld door het monitoren van anomalieën kunnen verdachte activiteiten of kwetsbaarheden vroegtijdig worden opgespoord.

Het terugbrengen van de impact

Risico’s kunnen ook beheerst worden middels het terugbrengen van de impact op de organisatie als het zich voor zou doen. Het doel hierbij is daarmee om te voorkomen dat de gebeurtenis onacceptabele gevolgen heeft voor de organisatie. Ook hierin zijn twee primaire opties te onderscheiden.

Reageren op een materialiserend risico omvat de technieken en processen die worden gebruikt na het detecteren van een incident. Snel en effectief reageren is essentieel om impact op de organisatie te beperken. Dat houdt bijvoorbeeld in dat er naast processen ook technische oplossingen ingericht zijn om verdere verspreiding van het incident te voorkomen.

Net zoals bij het kiezen voor de wijze van risicomitigatie, is er geen specifieke voorkeur uit te spreken welk type beheersmaatregel het meest effectief is. Dit is afhankelijk van de voorkeuren van de organisatie en de wijze waarop het risico ingeschat is.

Het modeleren van implementatie van risicobehandeling betekent dat er ingeschat wordt of de beheersmaatregelen het gewenste effect hebben op het risico. Hiervoor zijn drie stappen te doorlopen.

Het is van belang om te realiseren welke beperkingen mogelijke beheersmaatregelen hebben. Zodra deze inzichtelijk zijn, kunnen er categorische keuzes gemaakt betreffende de meest passende beheersmaatregelen.
Daarna is het zaak om deze keuzes verder te operationaliseren.
Om deze stap te zetten, raadt het NCSC aan om het gewenste effect van de verschillende beheersmaatregelen te modeleren.

Door deze stappen te doorlopen, is de organisatie in staat om uiteindelijk de meest effectieve en efficiënte beheersmaatregelen te implementeren.

Het doel van deze stap is om inzichtelijk te krijgen welke beperkingen de verschillende mogelijkheden van risicobehandeling hebben. Dit bestaat uit het type risicomitigatie en het type beheersmaatregel. Alle opties hebben hun eigen voor- en nadelen. Zo heeft “risicomodificatie” het voordeel dat de organisatie zelf veel controle heeft, aangezien de organisatie zelf de beheersmaatregelen implementeert. Een potentieel nadeel daarvan is dat de organisatie zelf in staat moet zijn om dit naar behoren te doen en dus deze kennis in huis moet hebben. Op het gebied van het type beheersmaatregel, geldt dezelfde logica. Daarom is het van belang om te identificeren welke beperkingen er zijn en hoe deze opwegen tegen de verwachte opbrengsten.

In deze stap is het doel om concrete beheersmaatregelen voor te stellen. Nadat er keuzes gemaakt zijn op het gebied van de type risicobehandelingen welke het meest toepasbaar zijn voor de organisatie, kunnen deze verder geoperationaliseerd worden. Dat betekent dat een organisatie kan gaan identificeren op welke wijze ze in staat zal zijn om back-ups zelf te beheren. Ook kan er bekeken worden aan welke specifieke eisen deze moeten gaan voldoen.

In deze stap wordt door middel van modelering in kaart gebracht op welke wijze de organisatie verwacht dat beheersmaatregelen het doel van het beheersen van het risico behalen. Hierdoor wordt het mogelijk om van de voorgestelde beheersmaatregelen, de meest passende te kiezen. De laatste stap is daarom om het mogelijk te maken om de juiste keuze te maken uit de geïdentificeerde beheersmaatregelen. Dit kan gezien worden als het toetsen van de voorgestelde beheersmaatregelen. Als de geïdentificeerde beheersmaatregelen deze toetsing doorstaan, dan kan er overgegaan worden tot implementatie.

Implementatie van beheersmaatregelen

Het implementeren van de beheersmaatregelen houdt in dat de voorgestelde beheersmaatregelen in de praktijk uitgevoerd gaan worden. Implementatie van beheersmaatregelen wordt buiten beschouwing gelaten in het risicomanagementraamwerk. Implementatie is volgens het NCSC namelijk een specifieke tak van sport, waarbij het aan te raden is om geldende standaarden te volgen. Zo worden technische implementaties uitgevoerd middels change-processen en de juiste volgorde van ontwikkelen-testen-accepteren. Daarmee is dat geen specifieke risicomanagementafweging, maar het volgen van de geldende processen.

Samenvatting

In dit artikel is aandacht besteed aan de stappen welke aangeraden worden om te doorlopen als een organisatie overgaat tot risicobehandeling. Dat houdt in dat er globaal drie stappen doorlopen zijn:

Opties overwegen rondom risicomitigatie.
Identificeren van de effecten van risicomitigatie en de meest passende keuze maken.
Implementatie van beheersmaatregelen.

Door deze stappen structureel te doorlopen, is risicobehandeling haalbaar en herhaalbaar te maken. Risicobehandeling is context- en organisatieafhankelijk. Daarom is het van fundamenteel belang om gestructureerd keuzes te maken op basis van een zo compleet mogelijke informatiepositie. Door deze stappen gefaseerd te doorlopen, zijn de gemaakte keuzes inzichtelijk waardoor een organisatie in staat is om constante verbeteringen er aan toe te voegen. Daarmee kan de volwassenheid verhoogd worden zodat organisaties een passend niveau van digitale weerbaarheid kunnen bereiken. Hiermee kan de volgende fase gestart worden, waarbij er doorlopend gemonitord wordt of de risico’s nog steeds afdoende beheerst zijn.

^{Bron: 1: https://cyberveilignederland.nl/woordenboek}

Verder lezen..

< Terug naar Risicobeoordeling

> Door naar Doorlopende monitoring

Risicobehandeling

Leeswijzer

Kennismaken met risicobehandeling

Verdieping risicobehandeling

Risicoacceptatie

Risicomitigatie

Risicomodificatie

Risico-overdracht

Risicodeling

Risicovermijding

Type beheersmaatregelen

Het terugbrengen van de waarschijnlijkheid

Beschermen

Detecteren

Het terugbrengen van de impact

Reageren

Herstellen

Identificeren van beperkingen van risicobehandelingen

Identificeren mogelijke beheersmaatregelen

Modeleren van het effect van beheersmaatregelen

Implementatie van beheersmaatregelen

Samenvatting

Verder lezen..

Deel deze pagina