Risicobehandeling

Dit artikel beschrijft stapsgewijs de risicobehandelingsfase binnen het risicomanagementproces. Het doel van risicobehandeling is om risico’s waar relevant terug te brengen tot een voor de organisatie acceptabel niveau. Na de risicobeoordelingsfase heeft een organisatie een aantal risico’s gevonden welke de organisatie kunnen treffen. In de fase van risicobehandeling worden er daarom keuzes gemaakt worden met betrekking tot de gevonden risico’s. Dat betekent dat er afgewogen wordt of er aanvullende maatregelen nodig zijn. Mocht dat het geval zijn, dan kunnen er keuzes gemaakt worden over de meest passende maatregelen. Deze maatregelen richten zich op het verhogen van de digitale weerbaarheid van de organisatie. 

De routekaart dient gelezen te worden als referentiekader. Het helpt organisaties om bestaande activiteiten en plannen op het gebied van cybersecurity en risicomanagement in het grotere geheel te plaatsen. Daarmee zijn de componenten van de routekaart context-afhankelijk en is het aan organisaties om weloverwogen keuzes te maken. Lees hier meer over de achtergrond van de routekaart risicomanagement. 

Leeswijzer

Dit artikel is opgebouwd uit twee onderdelen. Allereerst, zal onderstaande visual toegelicht worden: de begrippen binnen risicobehandeling worden geïntroduceerd. Daarmee legt het eerste hoofdstuk de basis. Het tweede onderdeel zal risicobehandeling van verdere diepgang voorzien. De uitgebreide variant van de routekaart wordt gepresenteerd. Deze detaillering houdt in dat de volledige fase van risicobehandeling doorgenomen zal worden.

Download hier de volledige routekaart. Deze is beter leesbaar en hier kun je gemakkelijker inzoomen.

Kennismaken met risicobehandeling

Het doel van risicobehandeling is om keuzes te maken om het niveau van digitale weerbaarheid van een organisatie naar een passend niveau te tillen. Allereerst houdt dat in dat er afgewogen moet worden van een risico of het wel of niet acceptabel is. Dit gebeurt door de geïdentificeerde risico’s af te wegen ten opzichte van de risicobereidheid van de organisatie. In de governance-fase van risicomanagement, is de risicobereidheid van de organisatie vastgesteld. Dat betekent dat het strategisch leiderschap van de organisatie keuzes gemaakt heeft. Deze keuzes richten zich op de beschikbaarheid, integriteit en vertrouwelijkheid van de te beschermen belangen van de organisatie. Als de gevonden risico’s deze te beschermen belangen op zo’n manier negatief kunnen beïnvloeden dat dit als niet acceptabel gezien wordt, dan wordt de risicobereidheid overschreden. In dat geval zal de organisatie over willen gaan tot risicomitigatie.

Vergroot afbeelding RM Landkaart_risicobehandeling_2
Beeld: ©NCSC
Afbeelding: Risicobehandeling

Het mitigeren van een risico betekent dat er beheersmaatregelen geïmplementeerd worden om het risico te beheersen. Het beheersen van een risico houdt in dat het binnen de acceptatiegrenzen van de organisatie past. De acceptatiegrenzen zijn gebaseerd op de risicobereidheid van de organisatie en geeft de hoeveelheid en het soort risico aan dat een organisatie bereid is na te streven, te behouden of te nemen.1  

Het mitigeren van een risico kan zich op twee onderdelen richten. Ten eerste, kan mitigatie de waarschijnlijkheid (kans) dat een risico plaatsvindt verkleinen. Ten tweede kan risicomitigatie zich richten op het verkleinen van de impact van manifestatie van een risico. In beide gevallen is het einddoel van risicomitigatie om de gevonden risico’s terug te brengen tot een acceptabel niveau.

Zodra de organisatie de stappen voor risicomitigatie doorlopen heeft, kan de conclusie zijn dat er  van bepaalde mitigerende maatregelen verwacht wordt dat ze het risico naar een acceptabel niveau verlagen. Op dat moment is het zaak om de verwachte effecten van deze mitigerende maatregelen te modeleren. Dat houdt in dat vastgesteld wordt of de beheersmaatregelen de gewenste effecten op het risico zullen bereiken. Hiermee kan de organisatie met grotere zekerheid stellen dat de ingezette middelen op effectieve en efficiënte wijze effect zullen hebben.

Nadat deze stap gezet is, kan overgegaan worden tot implementatie van de beheersmaatregelen. Op dit punt in het risicomanagementproces heeft de organisatie zicht op risico’s, is de governance op orde en zijn dus de juiste personen betrokken en is er een afgewogen keuze gemaakt voor de meest doeltreffende beheersmaatregelen. Daarom kan er dan overgegaan worden tot implementatie van de voorgestelde beheersmaatregelen.

Verdieping risicobehandeling

Het doel van risicobehandeling is om risico’s waar relevant terug te brengen tot een voor de organisatie acceptabel niveau. Dat betekent dat er afgewogen wordt of er aanvullende maatregelen nodig zijn. Mocht dat het geval zijn, dan kunnen er keuzes gemaakt worden over de meest passende maatregelen. Deze maatregelen richten zich op het verhogen van de digitale weerbaarheid van de organisatie.  Daarom zal ten eerste in het artikel toegelicht worden welke opties ontstaan zodra beoordeeld is of een gevonden risico de risicobereidheid van de organisatie overschrijdt. Ten tweede, zal het modeleren van implementatie van risicobehandeling toegelicht worden. Tenslotte zal de implementatie van beheersmaatregelen geduid worden.

Vergroot afbeelding RM Landkaart_risicobehandeling
Beeld: ©NCSC
Risicobehandeling verdieping

Risicoacceptatie

Risicoacceptatie houdt in dat bewust gekozen wordt om geen aanvullende maatregelen te nemen om de weerbaarheid van de organisatie te verhogen. Na het afwegen van de gevonden risico’s ten opzichte van de risicobereidheid van de organisatie, zijn er twee mogelijkheden: risicomitigatie of risicoacceptatie.

Ten eerste, kan het zo zijn dat de conclusie getrokken worden dat het risico binnen de risicobereidheid valt. Op dat moment kan de keuze gemaakt worden om het risico te accepteren. Het NCSC raadt aan om helder te documenteren dat er overgegaan is tot acceptatie. Het is zaak om deze documentatie periodiek te herzien. Dat een risico op het moment van beoordeling gezien wordt als acceptabel, dat betekent niet dat dit in de toekomst ook zo zal zijn.

De tweede optie is dat het risico de risicobereidheid overschrijdt. Ook in dit geval kan het risico alsnog geaccepteerd worden, mits de organisatie hier een expliciete keuze op maakt. Als dit niet het geval is, dan zal er overgegaan worden tot risicomitigatie.

Risicomitigatie

Risicomitigatie gaat om alle dingen die een organisatie doet om risico’s te verkleinen of helemaal te laten verdwijnen. Grijpt een organisatie in, dan kan dat twee doelen hebben:

  • de kans op een incident verkleinen.
  • de gevolgen verkleinen als dat incident toch plaatsvindt.1

Daarmee gaat het om het ondernemen van actie om het risico te verminderen tot een acceptabel niveau. Risicomitigatie kan op een aantal manieren ingevuld worden.

Er valt geen eenduidig advies te geven welk type risicomitigatie het beste is. Dit is afhankelijk van verschillende factoren waaronder de organisatorische context, financiële kosten-baten en de termijn waarop mogelijke beheersmaatregelen effect moet hebben.

Type beheersmaatregelen

Op het niveau van de risicomitigatie zelf zal ook bepaald moeten worden welke onderdelen van het risico het meest passend zijn om te beheersen. Dit richt zich op categorisch op twee componenten.

  • Ten eerste, de kans op een incident. Dat is de proactieve, voorkomende factor van beheersmaatregelen.
  • Ten tweede, kan er gekeken worden naar de impact van een risico op de organisatie. Beheersmaatregelen kunnen dit verkleinen en omvat daarmee de reactieve component van beheersmaatregelen.

Het terugbrengen van de waarschijnlijkheid

Als er beheersmaatregelen genomen worden welke zich richten op het terugbrengen van de waarschijnlijkheid dat de risico materialiseert, dan vallen deze ofwel in de categorie van “beschermen” ofwel in “detecteren”. Hierbij is het doel om de kans te verkleinen dat een dreiging het te beschermen belang kan treffen.

Het terugbrengen van de impact

Risico’s kunnen ook beheerst worden middels het terugbrengen van de impact op de organisatie als het zich voor zou doen. Het doel hierbij is daarmee om te voorkomen dat de gebeurtenis onacceptabele gevolgen heeft voor de organisatie. Ook hierin zijn twee primaire opties te onderscheiden.

Net zoals bij het kiezen voor de wijze van risicomitigatie, is er geen specifieke voorkeur uit te spreken welk type beheersmaatregel het meest effectief is. Dit is afhankelijk van de voorkeuren van de organisatie en de wijze waarop het risico ingeschat is.

Het modeleren van implementatie van risicobehandeling betekent dat er ingeschat wordt of de beheersmaatregelen het gewenste effect hebben op het risico. Hiervoor zijn drie stappen te doorlopen.

  1. Het is van belang om te realiseren welke beperkingen mogelijke beheersmaatregelen hebben. Zodra deze inzichtelijk zijn, kunnen er categorische keuzes gemaakt betreffende de meest passende beheersmaatregelen.
  2. Daarna is het zaak om deze keuzes verder te operationaliseren.
  3. Om deze stap te zetten, raadt het NCSC aan om het gewenste effect van de verschillende beheersmaatregelen te modeleren.

Door deze stappen te doorlopen, is de organisatie in staat om uiteindelijk de meest effectieve en efficiënte beheersmaatregelen te implementeren.

Implementatie van beheersmaatregelen

Het implementeren van de beheersmaatregelen houdt in dat de voorgestelde beheersmaatregelen in de praktijk uitgevoerd gaan worden. Implementatie van beheersmaatregelen wordt buiten beschouwing gelaten in het risicomanagementraamwerk. Implementatie is volgens het NCSC namelijk een specifieke tak van sport, waarbij het aan te raden is om geldende standaarden te volgen. Zo worden technische implementaties uitgevoerd middels change-processen en de juiste volgorde van ontwikkelen-testen-accepteren. Daarmee is dat geen specifieke risicomanagementafweging, maar het volgen van de geldende processen.

Samenvatting

In dit artikel is aandacht besteed aan de stappen welke aangeraden worden om te doorlopen als een organisatie overgaat tot risicobehandeling. Dat houdt in dat er globaal drie stappen doorlopen zijn:

  1. Opties overwegen rondom risicomitigatie.
  2. Identificeren van de effecten van risicomitigatie en de meest passende keuze maken.
  3. Implementatie van beheersmaatregelen.

Door deze stappen structureel te doorlopen, is risicobehandeling haalbaar en herhaalbaar te maken. Risicobehandeling is context- en organisatieafhankelijk. Daarom is het van fundamenteel belang om gestructureerd keuzes te maken op basis van een zo compleet mogelijke informatiepositie. Door deze stappen gefaseerd te doorlopen, zijn de gemaakte keuzes inzichtelijk waardoor een organisatie in staat is om constante verbeteringen er aan toe te voegen. Daarmee kan de volwassenheid verhoogd worden zodat organisaties een passend niveau van digitale weerbaarheid kunnen bereiken. Hiermee kan de volgende fase gestart worden, waarbij er doorlopend gemonitord wordt of de risico’s nog steeds afdoende beheerst zijn.

Bron: 1: https://cyberveilignederland.nl/woordenboek

Verder lezen..