Risico gestuurde informatie beveiliging
Kies voor een op risico’s gebaseerde benadering op informatiebeveiliging.
Risico’s nemen is een natuurlijk onderdeel van zakendoen. Risicobeheer vormt de basis voor beslissingen en creëert een gezonde balans tussen bedreigingen en kansen. Beide zijn nodig om de organisatiedoelstellingen zo goed mogelijk te realiseren. Risicobeheer in het cyberbeveiligingsdomein zorgt ervoor dat de technologie, systemen en informatie in een organisatie op de meest geschikte manier worden beschermd en afgestemd op de zaken die belangrijk zijn voor jouw organisatie. Een goede aanpak van risicobeheer wordt in de hele organisatie ingebed en vormt een aanvulling op de manier waarop je andere bedrijfsrisico’s beheert.
Risicobeheer in security
Elke organisatie heeft te maken met risico’s. De meeste mensen zijn zich dan ook bewust van het feit dat je nooit alle risico’s kan wegnemen. Het draait dus allemaal om de juiste balans. Risicomanagement is hét proces dat helpt beslissingen te nemen met de juiste balans tussen bedreigingen en kansen om de organisatiedoelstellingen zo goed mogelijk te realiseren. Risicobeheer in het security domein helpt daarbij ervoor te zorgen dat informatie (en alle betrokken systemen en technologie) in een organisatie wordt beschermd en dat de beperkte middelen worden ingezet op plaatsten waar dit de grootste impact zal hebben. Door middel van risicomanagement maak je betere beslissingen, maar hiervoor moet het wel in de organisatie zijn ingebed.
Kies voor een op risico’s gebaseerde benadering op informatiebeveiliging.
Risico’s nemen is een natuurlijk onderdeel van zakendoen. Risicobeheer vormt de basis voor beslissingen en creëert een gezonde balans tussen bedreigingen en kansen. Beide zijn nodig om de organisatiedoelstellingen zo goed mogelijk te realiseren. Risicobeheer in het cyberbeveiligingsdomein zorgt ervoor dat de technologie, systemen en informatie in een organisatie op de meest geschikte manier worden beschermd en afgestemd op de zaken die belangrijk zijn voor jouw organisatie. Een goede aanpak van risicobeheer wordt in de hele organisatie ingebed en vormt een aanvulling op de manier waarop je andere bedrijfsrisico’s beheert.
Risicobeheer in security
Elke organisatie heeft te maken met risico’s. De meeste mensen zijn zich dan ook bewust van het feit dat je nooit alle risico’s kan wegnemen. Het draait dus allemaal om de juiste balans. Risicomanagement is hét proces dat helpt beslissingen te nemen met de juiste balans tussen bedreigingen en kansen om de organisatiedoelstellingen zo goed mogelijk te realiseren. Risicobeheer in het security domein helpt daarbij ervoor te zorgen dat informatie (en alle betrokken systemen en technologie) in een organisatie wordt beschermd en dat de beperkte middelen worden ingezet op plaatsten waar dit de grootste impact zal hebben. Door middel van risicomanagement maak je betere beslissingen, maar hiervoor moet het wel in de organisatie zijn ingebed.
Wat zijn de voordelen van risicobeheer?
Goed risicobeheer gaat over:
- De juiste informatie om de besluitvorming te verbeteren;
- het helpen delegeren van besluitvorming binnen de organisatie met behoud van het juiste overzicht op bestuursniveau;
- het bieden van een basis om zich aan te passen en effectief te reageren op nieuwe bedreigingen en kansen wanneer deze zich voordoen;
- of je nu nieuw bent op het gebied van cyberrisicomanagement of de effectiviteit van bestaande benaderingen probeert te beoordelen, het verschaffen van een nauwkeurig inzicht door middel van richtlijnen. Zo krijgt u een beter beeld van hoe een goede aanpak van risicomanagement eruitziet in de context van uw organisatie.
Wat zou je moeten doen?
Denk na over de bredere context waarin je cyberrisico’s wilt beheersen
Denk na over wat jouw organisatie doet en waar het om geeft: wat zijn de zakelijke prioriteiten en doelstellingen? Dit lijkt misschien een vreemd uitgangspunt voor cyberbeveiliging, maar het vormt de basis voor cyberrisicobeheer. Cyberrisicomanagement staat namelijk niet los van wat een organisatie wil bereiken, maar moet juist de organisatiedoelstellingen ondersteunen. Denk na over de risico’s die jullie bereid zijn te nemen om de organisatiedoelstellingen te bereiken. Op basis van deze risico’s kun je beslissingen nemen over de stappen die je moet nemen om het cyberbeveiligingsrisico te beheersen.
Overweeg welke bestuursstructuren er zijn om bedrijfsrisico’s te beheersen
Hoe past het managen van en communiceren over cyberrisico’s binnen die structuren? Effectief bestuur is belangrijk voor goed cyberbeveiligingsrisicobeheer. De reden hiervoor? De acties die een organisatie onderneemt om de cyberbeveiligingsrisico’s in te perken worden hiermee gecontroleerd en gestuurd. De aanpak en het beheer cyberbeveiliging gerelateerde risico’s moeten op een manier die voor jouw organisatie werkt worden beheerd.
Zorg dat de organisatie beschikt over een adequaat beleid
Een adequaat beleid dat is goedgekeurd door en eigendom is van de raad van bestuur – waarin de risicobeheerstrategie voor de organisatie als geheel wordt uiteengezet – is een must. Zorg ervoor dat het bestuur gezamenlijk over voldoende kennis beschikt wat betreft cyberbeveiliging. Zo weet je zeker dat het bestuur begrijpt hoe cyberbeveiliging de algemene organisatiedoelstellingen ondersteunt. Voorzie het bestuur daarom van voldoende informatie, in een formaat dat behapbaar is bij besluitvoering.
Begrijp waar cyberrisicobeheer moet worden toegepast
Denk na over het scala aan technologie, systemen, diensten en informatie die jouw organisatie gebruikt. Het is belangrijk dat er verschillende informatiebronnen worden gebruikt die helpen de reikwijdte te identificeren. Voor bestaande systemen kun je bijvoorbeeld assetregisters en systeemdiagrammen gebruiken. Voor systemen in ontwikkeling kun je beginnen met ontwerpen op hoog niveau. Door te praten met degenen die de systemen of services gebruiken, beheren of erdoor worden beïnvloed, krijg je een beter beeld van wat er moet worden beschermd en waarom. Vergeet niet om elementen op te nemen die mogelijk buiten jouw directe controle liggen, maar die nog steeds deel uitmaken van de bredere risicozorgen – denk aan de toeleveringsketen, gebruik van services van derden en cloudservices.
Denk na over hoe medewerkers omgaan met technologie, systemen en diensten
Ook hoe medewerkers omgaan met de verschillende systemen, netwerken en diensten binnen de organisatie is iets om over na te denken. Hoe worden medewerkers ondersteund om dit op een veilige en bruikbare manier te doen? Als je dit meeneemt in het risicobeheer, worden de cyberbeveiligingsrisico’s van de organisatie verder ingeperkt. Systemen omvatten mensen, processen en technologie: de manier waarop cyberrisicobeheer wordt ingezet moet rekening houden met deze verschillende elementen en hoe ze met elkaar omgaan.
Kies een aanpak voor cyberbeveiligingsrisicobeheer die past bij de organisatie
Bedenk welke benadering van cyberbeveiligingsrisicobeheer, of een mix van benaderingen, geschikt is voor jouw organisatie. Er zijn talloze tools, methoden, kaders en normen om uit te kiezen. Dit is afhankelijk van de normen of voorschriften die binnen de organisatie worden gevoerd, kosten en/of niveau van kennis. Het allerbelangrijkste? Ga voor een aanpak die geschikt is voor jouw organisatie en die goede risico-informatie over de systemen en services onthult. Het is overigens niet altijd nodig om een gedetailleerde risicobeoordeling uit te voeren. Een baseline zoals Cyber Essentials gebruiken om informatie te verstrekken over de basiscontroles die nodig zijn, is vaak al voldoende om te beschermen tegen de meeste cyberrisico’s.
Wil je meer weten over het juist implementeren van risicobeheer? Een van onze experts helpt je graag op weg!
