Routekaart risicomanagement
Achtergrond
Dit artikel is onderdeel van de NCSC-reeks rondom risicomanagement. Het NCSC adviseert organisaties om een passend niveau van digitale weerbaarheid na te streven. Risicomanagement is het fundamentele instrument om dit passend niveau te bepalen en behalen. De routekaart risicomanagement van het NCSC biedt overzicht over het risicomanagement landschap. Dat geeft organisaties inzicht in hoe hun activiteiten met betrekking tot risicomanagement zich verhouden tot de rest van het landschap. Dat inzicht stelt organisaties in staat om hun risicomanagementproces doorlopend te verbeteren.
De routekaart beschrijft een cyclus. Deze risicomanagementcyclus kent vier fases, welke hier kort geïntroduceerd zullen worden. Door structureel aandacht te schenken aan de “governance en randvoorwaarden” van risicomanagement en deze op orde te brengen kan een organisatie structureel risicomanagement in de organisatie integreren. Dit helpt een organisatie om daarna risico’s te identificeren en te beoordelen. Dit heet de zogenaamde “risicobeoordelingsfase”. Door risico’s in kaart te brengen en met elkaar te vergelijken, zijn organisaties in staat om hun schaarse middelen in te zetten op de risico’s welke de hoogste prioriteit hebben. Dat gericht inzetten van middelen om de weerbaarheid te verhogen, vindt plaats in de “risicobehandelingsfase”. Ten slotte is het in de fase van “doorlopende monitoring” van belang om zicht te blijven houden op zowel de effectiviteit van de mitigerende maatregelen als mogelijke veranderingen in de omgeving waar de organisatie zich in bevindt.
Inleiding
Risicomanagement is een continu en cyclisch proces waarmee organisaties hun digitale weerbaarheid op peil houden. De Routekaart Risicomanagement is ontwikkeld om overzicht en inzicht te bieden in het complexe speelveld van risicomanagement. Ze brengt de kernbegrippen uit diverse raamwerken en methodieken samen en toont hun onderlinge verbanden. De routekaart wordt gebruikt als referentiekader en biedt perspectief aan organisaties die hun digitale weerbaarheid op een passend niveau willen krijgen.
Op basis van analyse en expertise van het NCSC is de routekaart methodiek-agnostisch: ze richt zich op de centrale, terugkerende begrippen die in vrijwel alle benaderingen voorkomen.
Dit overzicht helpt organisaties hun activiteiten en plannen rond risicomanagement beter te plaatsen in het grotere geheel, ontbrekende onderdelen te herkennen en hun processen continu te verbeteren.
De hoofdcategorieën
Het doel van risicomanagement is om een passend niveau van digitale weerbaarheid te bereiken en te behouden. Om dit doel te bereiken, onderscheiden we de achtergrond en vier hoofdcategorieën.
1. Governance en randvoorwaarden
Het doel van governance en randvoorwaarden is tweeledig; het scheppen van de juiste randvoorwaarden voor het risicomanagementproces en het maken en vastleggen van afspraken. In de governance- en randvoorwaardenfase worden op basis van onderzoek binnen en buiten de organisatie keuzes gemaakt over de verdere vormgeving en het bestuur van het risicomanagementproces.
2. Risicobeoordeling
Het doel van de risicobeoordelingsfase is dat er wordt beoordeeld wat de belangrijkste risico’s zijn voor een organisatie. Risico’s kunnen worden geïdentificeerd op basis van uit drie componenten: dreigingen, te beschermen belangen en weerbaarheid. Vervolgens kunnen de risico’s worden geanalyseerd, kan er een inschatting worden gemaakt van de kans en de impact en kunnen de risico’s ten slotte worden beoordeeld. Na deze fase is in beeld wat de risico’s zijn met de hoogste prioriteit voor de organisatie.
3. Risicobehandeling
Na de risicobeoordelingsfase heeft een organisatie een aantal risico’s gevonden welke de organisatie kunnen treffen. Het doel van risicobehandeling is om risico’s waar relevant terug te brengen tot een voor de organisatie acceptabel niveau door het toepassen van mitigerende acties. In de fase van risicobehandeling worden er daarom keuzes gemaakt worden met betrekking tot de gevonden risico’s. Dat betekent dat er op basis van de risicobereidheid van de organisatie afgewogen wordt hoe er het beste met het risico omgegaan kan worden. Op die manier kunnen er weloverwogen keuzes gemaakt worden over de meest passende maatregelen.
4. Doorlopende monitoring
Het doel van doorlopende monitoring is het zicht houden op beoordeelde risico’s en de effectiviteit van de gekozen risicobehandeling. Wijzigingen in risico’s of onvoorziene ineffectiviteit van maatregelen geven aanleiding om risico’s opnieuw te beoordelen of behandelen. In de doorlopende monitoringfase wordt er continue bijgehouden of de gekozen beheersmaatregelen daadwerkelijk tot het beoogde resultaat leiden. Tevens worden interne en externe veranderingen van de organisatie bijgehouden en wordt geëvalueerd om te zien of dit effect heeft op de beoordeling van risico’s.
Toepassingen
De routekaart biedt op verschillende manieren toegevoegde waarde aan organisaties die aandacht willen besteden aan hun digitale weerbaarheid.
- Referentiekader
- De routekaart biedt overzicht en daarmee kaders rondom risicomanagement. Dat kan organisaties ondersteunen om focus aan te brengen.
- Op vele fysieke richtingskaarten staat een stip: “Je bent nu hier”. Dat zit logischerwijs niet in deze routekaart, maar door het referentiekader te begrijpen en de samenhang te zien, ondersteunt het organisaties in weloverwogen keuzes maken rondom risicomanagement.
- Perspectief
- De routekaart dient als handvat om inzichtelijk te krijgen aan welke risicomanagementonderdelen al invulling wordt gegeven.
- De routekaart maakt de volgorde binnen de risicomanagementcyclus verder inzichtelijk.
- Het biedt aanvullend zicht op de cyclische aard van risicomanagement.
- Stip op de horizon
- De routekaart is een stip op de horizon bij het steeds verder invullen van alle risicomanagementfuncties. De routekaart ondersteunt organisaties bij het bepalen van prioriteiten en het vinden van focus.
- Organisaties kunnen met behulp van de routekaart hun risicomanagementproces naar een steeds hoger volwassenheidsniveau brengen.
- Toegankelijker maken van bestaande methodes
- De routekaart werkt drempelverlagend om bestaande methodes en raamwerken methodes toe te passen. Bijvoorbeeld, de ISO- of NIST-standaarden.
- Bestaande methodes zijn daarmee complementair aan de routekaart aangezien ze (onderdelen van) de risicomanagement routekaart in de praktijk invullen.
- Als een organisatie op basis van de routekaart zicht heeft op missende of suboptimaal ingerichte componenten van risicomanagement dan kan de organisatie gericht de beste methode identificeren en implementeren.
Het is belangrijk om te onderschrijven dat de routekaart een manier van denken weergeeft. Dat houdt in dat er weloverwogen keuzes gemaakt moeten worden in het risicomanagementproces: elk risico is uniek in de context van een specifieke organisatie. Primair door goede analyse en het volgen van een duidelijk iteratieve aanpak van risicomanagement kunnen er keuzes gemaakt worden die passend zijn bij de organisatie en haar doelstellingen.
Dit valt te onderschrijven met een voorbeeldcasus, waarin een ingewikkeld proces geplot wordt op routekaart. Het oprichten van een Security Operations Center (SOC) is een complex operationeel proces. Daar zijn zeer specifieke methodes voor, die elk invulling geven aan (een deel van) de risicomanagementcyclus.
De cyclus van de routekaart biedt hier de handvatten om weloverwogen alle relevante stappen in te kleuren.
Zo is het cruciaal dat de juiste personen betrokken zijn en dat er heldere afspraken gemaakt zijn, om een goede risicobeoordeling uit te kunnen voeren. Zodra de risicobeoordeling plaatsgevonden heeft, komen er een aantal geprioriteerde risico’s in beeld. Vervolgens, in de risicobehandelingsfase, kan de organisatie de meest effectieve en efficiënte beheersmaatregelen bepalen en implementeren. Dit met het doel om grip op deze risico’s te krijgen en deze op een acceptabel niveau te brengen.
In deze voorbeeldcasus, geeft het management er de voorkeur aan dat een SOC om daarmee de gewenste en passende vorm van risicobeheersing te implementeren. Doordat de stappen van de routekaart doorlopen zijn, is de keuze voor een SOC helder gemandateerd en gebaseerd op een scherp zicht op de te beheersen risico’s. Daarmee kan er gericht bepaald worden welke detectielogica nodig is en op welke wijze er gereageerd moet worden vanuit het SOC, mocht er een incident plaatsvinden. De monitoringsfase van het routekaart risicomanagement zorgt ervoor dat de beheersmaatregelen, waaronder de dekking vanuit het SOC, effectief en efficiënt blijven
Aanleiding voor de constructie van de routekaart
Complexiteit van risicomanagement
Het NCSC herkent dat er een groot aanbod is aan verschillende raamwerken, methodieken en andere zienswijzen om invulling te geven aan (onderdelen van) risicomanagement in het digitale domein. Zo zijn er veel raamwerken welke zich specifiek richten op de losse fases van risicomanagement. Naast deze nauwe benaderingen van onderdelen van risicomanagement, zijn er ook allesomvattende raamwerken. Uit de praktijk werd duidelijk dat er behoefte is aan overzicht, waarbij de onderlinge verhoudingen van de kernbegrippen gevisualiseerd wordt.
Ad hoc en onhaalbaar
Risicomanagement in het digitale domein is in de praktijk vaak ad hoc ingericht en de stap naar structureel risicomanagement kan ervaren worden als onhaalbaar. Daaruit ontstaat de vraag om meer handvatten en overzicht in het gehele speelveld. Alle wegen leiden spreekwoordelijk naar Rome, maar een routekaart kan helpen om de meest efficiënte route te bepalen.
Cyberbeveiligingswet (NIS2)
De cyberbeveiligingswet (NIS2) benoemt risicomanagement expliciet. Daarbij is het onderdeel van de zorgplicht van organisaties. Een van de manieren waarop het NCSC haar doelgroepen wil ondersteunen, is met deze routekaart. De visie van het NCSC behelst een risico-gebaseerde aanpak van cybersecurity. Dat houdt in dat er geen one-size-fits-all benadering mogelijk is. De diversiteit van organisaties, hun digitale omgevingen en specifieke prioriteiten leidt ertoe dat risicomanagement de basis is van het behalen van een passend niveau van digitale weerbaarheid. Daarom biedt de routekaart een stip op de horizon ook in de context van de Cyberbeveiligingswet.
De routekaart is methodiek- en raamwerk agnostisch opgebouwd. Er wordt dus keuze gemaakt voor een specifiek raamwerk of specifieke methode. In Nederland is de standaard voor het definiëren van termen het “cybersecurity woordenboek” van de Cybersecurityalliantie. Deze definities zijn ook aangehouden voor de routekaart risicomanagement. Veel begrippen worden in de verschillende raamwerken en methodes van eigen definities voorzien en vaak van specifiek jargon. Het NCSC heeft daarom sommige begrippen op de routekaart vertaald naar de definities uit het woordenboek.
Het is belangrijk voor organisaties om zelf in hun eigen context de meest passende begrippen te adopteren. Daarom blijft het advies van het NCSC om als organisatie gebruik te maken van de bestaande raamwerken en methodes. Deze methodes gaan gedetailleerd in op de materie en kunnen dus eigen jargon gebruiken.
De routekaart is tot stand gekomen door een literatuuronderzoek vanuit het NCSC. Daarbij zijn, op basis van onderzoek door ENISA,2 een 30-tal raamwerken vergelijkend onderzocht. De begrippen die als terugkerend en centraal te bestempelen zijn binnen risicomanagement zijn hiermee geïdentificeerd. Centrale begrippen dat zijn begrippen die in meerdere raamwerken terugkomen en als rode draad van de risicomanagementcyclus bestempeld kunnen worden.
Deze begrippen zijn onderling in verhouding gebracht en gevisualiseerd. Het resultaat is uitgebreid getoetst op volledigheid en toepasbaarheid, zowel binnen het NCSC als bij partners, om mogelijke aanvullingen te doen.
De visualisatie van de onderlinge verhoudingen is daarna in deze reeks van artikelen gepubliceerd. Het doel van deze publicaties is om toelichting te geven op de visualisatie en daarmee gewenste inzicht en overzicht te creëren. Het gekozen abstractieniveau betekent automatisch dat er enkel gefocust wordt op het toelichten van de geplotte begrippen en de onderlinge verhoudingen. De manier waarop deze begrippen geoperationaliseerd kunnen worden in een organisatorische context valt buiten de scope van deze reeks. Hier besteedt het NCSC in specifieke artikelen aandacht aan, om recht te doen aan de materie.
- De routekaart gaat in op de “wat”-vraag van risicomanagement, niet op de “hoe”. Bijvoorbeeld, de variabele “identificeren dreigingen”, is nu één stap in het model. Er wordt niet toegelicht hoe dreigingen geïdentificeerd kunnen worden. Daar zijn veel methodes voor beschikbaar en het NCSC raadt aan om zulke methodes te volgen.
- Niet elke variabele geplot op de routekaart weegt even zwaar. Hoeveel waarde gehecht wordt aan de losse onderdelen dat is organisatie- en contextafhankelijk, Zo is “integreren met integraal risicomanagement” een organisatorische keuze. Er zijn omstandigheden waaronder dit duidelijk van toegevoegde waarde is. In andere gevallen is het juist wijs om risicomanagement in het digitale domein als los onderdeel te beschouwen. Welke componenten van de routekaart het meest relevant zijn, valt niet vanuit het NCSC te bepalen.
- Ook zullen er onderdelen van de routekaart zijn welke überhaupt minder relevant zijn voor organisaties, of die in een bepaalde cyclus van risicomanagement overgeslagen kunnen worden. Ook hier is het aan de organisaties zelf om weloverwogen keuzes te maken.
- Tenslotte konden niet alle potentieel relevante onderdelen geïncorporeerd worden. Zo zijn gestandaardiseerde IT-processen, zoals change-processen, niet meegenomen. Dat is de reden dat het implementeren van de beheersmaatregelen niet verder uitgediept wordt op de routekaart. Ook hebben we generieke organisatorische beleidsonderdelen waar relevant voor risicomanagement benoemd, maar ook hier niet gespecificeerd. Dit zijn allen unieke takken van sport en dat zou de focus van de routekaart doen verwateren.
Vooruitblik
We verwachten de routekaart verder uit te breiden op een aantal componenten.
- Zo is bekend dat er behoefte bestaat om inzichtelijk te maken welke methodiek op welk moment toegevoegde waarde biedt. In het eerdergenoemde voorbeeld van risicoanalyses, heeft elke methodiek voor en nadelen. We zullen handvatten ontwikkelen waarmee organisaties kunnen bepalen welke methodiek in hun specifieke situatie het beste kan worden gebruikt.
- Daarnaast worden er artikelen ontwikkelt om de verschillende risicomanagementfuncties op de routekaart te operationaliseren. Dit is het verder invullen van de “hoe”-vraag.
- Op die manier zal invulling gegeven worden aan de mogelijkheden om op basis van deze kennis de onderdelen van de routekaart te kunnen operationaliseren en in de praktijk toe te passen.