Governance en randvoorwaarden
- Artikel
- Leestijd:
- Risicomanagement
- Groeien
In de governance en randvoorwaardenfase worden op basis van onderzoek binnen en buiten de organisatie keuzes gemaakt over het risicomanagementproces.
Dit artikel is opgebouwd uit twee onderdelen. Allereerst, zal onderstaande visual toegelicht worden: de begrippen binnen governance en randvoorwaarden worden geïntroduceerd. Daarmee legt het eerste hoofdstuk de basis. Het tweede onderdeel zal governance en randvoorwaarden van verdere diepgang voorzien. De uitgebreide variant van de routekaart wordt gepresenteerd. Deze detaillering houdt in dat de volledige fase van governance en randvoorwaarden doorgenomen zal worden.
De routekaart dient gelezen te worden als referentiekader. Het helpt organisaties om bestaande activiteiten en plannen op het gebied van cybersecurity en risicomanagement in het grotere geheel te plaatsen. Daarmee zijn de componenten van de routekaart context-afhankelijk en is het aan organisaties om weloverwogen keuzes te maken. Lees meer over de achtergrond van de routekaart risicomanagement.
Kennismaken met governance en randvoorwaarden
Het doel van governance en randvoorwaarden is tweeledig:
- Het scheppen van de juiste randvoorwaarden om risicomanagement een structurele plek te geven binnen de organisatie.
- Het vaststellen van de manier waarop de organisatie besluitvorming rondom risicomanagement inricht.
De juiste randvoorwaarden leggen de basis voor een succesvol risicomanagementproces. Door de gemaakte afspraken vervolgens vast te leggen in beleid, processen en/of procedures wordt er voor gezorgd dat risicomanagement geborgd wordt binnen de organisatie.
Binnen governance en randvoorwaarden zijn zes verschillende onderwerpen van belang:
- Context vaststelling
- Organisatorische integratie
- Compliance identificatie
- Betrekking strategische leiding
- Scope vaststelling
- Governance formalisatie
De fase Governance en Randvoorwaarden legt de basis voor effectief risicomanagement. Eerst wordt de context van de organisatie in kaart gebracht door te kijken naar de organisatie zelf, haar doelstellingen en de sector waarin zij actief is. Op basis daarvan wordt risicomanagement afgestemd op de organisatie en waar mogelijk geïntegreerd met bestaande risicomanagementprocessen.
Vervolgens wordt bepaald aan welke wet- en regelgeving, normen en interne eisen de organisatie moet voldoen. Deze vormen samen het uitgangspunt voor het risicomanagementproces. Ook wordt de strategische leiding betrokken om richting, prioriteiten en mandaat te geven.
Daarna worden de scope, verantwoordelijkheden en kaders van het risicomanagementproces vastgesteld en formeel vastgelegd in beleid en procedures. Zo worden de juiste randvoorwaarden gecreëerd om risico’s effectief te kunnen beoordelen en beheersen.
Met deze basis op orde kan de organisatie de volgende stap zetten: de risicobeoordelingsfase.
Verdieping op governance en randvoorwaarden
In deze fase wordt eerst de context van de organisatie vastgesteld. Daarbij wordt gekeken naar factoren zoals de organisatiestructuur, de sector, de veiligheidscultuur en bestaande uitgangspunten voor risicomanagement. Zo ontstaat een duidelijk beeld van de omgeving waarin de organisatie opereert en de rol van risicomanagement daarin.
Vervolgens wordt risicomanagement afgestemd op bestaande processen, organisatiedoelstellingen en prioriteiten. Ook worden relevante wet- en regelgeving, interne beleidskaders en andere verplichtingen in kaart gebracht. De strategische leiding speelt hierbij een belangrijke rol door richting te geven, de risicobereidheid vast te stellen en mandaat te verlenen.
Daarna worden de bedrijfsmiddelen en belangen van de organisatie geïnventariseerd en geprioriteerd. Dit vormt de basis voor de risicobeoordeling. Tot slot worden gemaakte afspraken, rollen en verantwoordelijkheden vastgelegd in beleid en procedures, zodat het risicomanagementproces goed is verankerd binnen de organisatie.
Voorbeeld: Een organisatie die een Security Operations Center (SOC) wil opzetten, brengt in deze fase eerst haar belangrijkste systemen, processen en wettelijke verplichtingen in kaart. Ook wordt vastgesteld welke risico’s acceptabel zijn en wie verantwoordelijk is voor besluitvorming. Door deze randvoorwaarden vooraf goed te organiseren, ontstaat een stevige basis voor het beoordelen van risico’s en het kiezen van passende beveiligingsmaatregelen.
1. Context vaststelling
Het doel van context vaststelling is om een duidelijker beeld te krijgen hoe de organisatie opereert en hoe risicomanagement in de organisatie past.
Externe factoren zijn invloeden in de externe omgeving die de organisatie kunnen beïnvloeden. In deze stap wordt bijvoorbeeld onderzocht of er generieke inzichten bestaan in de sector waarin de organisatie opereert. Dit kan bijvoorbeeld gaan om industrie-standaarden of belangenverenigingen met specifieke inzichten voor de sector.
De organisatorische structuur is de wijze waarop taken en verantwoordelijkheden binnen de organisatie zijn verdeeld en de manier waarop afstemming tussen de verschillende deeltaken tot stand worden gebracht. Er wordt bijvoorbeeld gekeken naar welke afdelingen of business units de organisatie heeft en hoe deze met elkaar samenwerken. En naar de manier waarop deze units worden aangestuurd en wie de verantwoordelijkheid draagt.
De veiligheidscultuur van een organisatie is hoe er in de praktijk omgegaan wordt met veiligheid binnen de organisatie. In deze stap wordt onderzocht hoe de veiligheidscultuur van de organisatie eruit ziet. Ook wordt het beveiligingsbewustzijn binnen de organisatie in kaart gebracht. Beveiligingsbewustzijn1is de mate waarin mensen risico’s herkennen en zich ervan bewust zijn dat deze de veiligheid van informatie in gevaar kunnen brengen. Dit kan zowel in de praktijk zijn, als kijken naar bestaand beleid rondom het stimuleren van een positieve veiligheidscultuur binnen de organisatie.
Beveiligingsprincipes zijn de basisrichtlijnen die gebruikt worden bij het ontwerpen of implementeren van een systeem of proces. Er wordt in kaart gebracht in hoeverre er al sprake is van beveiligingsprincipes rondom risicomanagement binnen de organisatie. Een voorbeeld is inventariseren of er beleid aanwezig is binnen de organisatie op het gebied van fysiek risicomanagement. Hier kunnen beveiligingsprincipes of risicomanagementnormen aan gekoppeld zijn.
Een bedrijfsstrategie omvat de doelen van een organisatie en een beschrijving hoe deze bereikt gaan worden. Om te weten of de context waar de organisatie in opereert (op korte termijn) gaat veranderen wordt onderzocht of de organisatie op korte termijn van strategie gaat veranderen. Een voorbeeld van een alternatieve bedrijfsstrategie is het plan om volgend jaar een deel van het werk aan derde partijen uit te besteden. Dit zijn zaken om rekening mee te houden in het kader van risicomanagement.
2. Organisatorische integratie
Het doel van organisatorische integratie is het aansluiten van het risicomanagementproces binnen de organisatie. Het risicomanagementproces moet worden afgestemd op de doelstellingen en prioriteiten van de organisatie – en waar mogelijk – geïntegreerd met integraal risicomanagement.
Integraal risicomanagement (IRM) is de manier waarop een organisatie op een gestructureerde wijze omgaat met risico’s en de beheersing daarvan. Waar risicomanagement in het digitale domein zich specifiek richt op digitale risico’s, is IRM breder en omvat het alle verschillende risicogebieden binnen de organisatie. Tijdens het vaststellen van de context is geïnventariseerd of de organisatie zich op andere manieren bezighoudt met risicomanagement. Om te zorgen voor een gestroomlijnd proces is het belangrijk dat er overwogen wordt om risicomanagement op het gebied van cyberweerbaarheid te integreren in het bredere proces van integraal risicomanagement.
In deze stap wordt het risicomanagementproces geïntegreerd met en afgestemd op de bedrijfsdoelstellingen, organisatorische prioriteiten en BCM (business continuity management). Bedrijfsdoelstellingen zijn doelen die een organisatie wil bereiken, bijvoorbeeld: omzet, winst, groei en ontwikkeling. Uit deze bedrijfsdoelstellingen kunnen de organisatorische prioriteiten geëxtraheerd worden. Op basis van de bedrijfsdoelstellingen worden prioriteiten gesteld binnen de organisatie. Dit biedt extra inzichten op de focus voor risicomanagementprocessen. BCM is een beheersproces waarbij de organisatie maatregelen getroffen heeft om, ongeacht welke omstandigheden, de continuïteit van de meest kritische bedrijfsprocessen gegarandeerd te laten blijven. Het is belangrijk om ook hier op af te stemmen om daarmee de organisatorische lijn te kunnen volgen.
3. Compliance identificatie
Het doel van compliance identificatie is het om het risicomanagementproces in lijn te brengen met intern beleid en eventuele verplichtingen die voortvloeien uit (verplichte) wet- en regelgeving, richtlijnen, voorschriften en standaarden. Zo ontstaat er een set aan minimale eisen waar de organisatie aan moet voldoen om zowel intern- als extern compliant te zijn.
In wetten kunnen eisen staan waar een organisatie verplicht aan moet voldoen. Richtlijnen, voorschriften en standaarden zijn niet altijd wettelijk verplicht, maar kunnen ook verplicht worden vanuit organisatorisch beleid of wetgeving. In deze stap wordt in kaart gebracht aan welke wetten, richtlijnen, voorschriften en standaarden de organisatie moet voldoen. Door het inventariseren van deze vereisten wordt een overzicht gecreëerd met minimale beveiligingsvereisten waar aan voldaan moet worden. Denk bijvoorbeeld aan de Cyberbeveiligingswet (NIS2) waar een set aan beveiligingseisen staat omschreven waar een organisatie die onder de Cyberbeveiligingswet valt verplicht aan moet voldoen.
- Organisatorisch beleid is de systematische wijze waarop de organisatie of een deel van de organisatie omgaat met bepaalde zaken om een doel te bereiken.
- De bedrijfsmissie is een algemene beschrijving waarom de organisatie bestaat en waar de organisatie voor staat.
- Een bedrijfsfunctie daarentegen beschrijft wat een organisatie precies doet, onafhankelijk van de processen en de inrichting van de organisatie.
Uit het organisatorisch- beleid, missie en bedrijfsfuncties kunnen beveiligingsvereisten volgen die relevant zijn voor het risicomanagementproces. Bijvoorbeeld bepaalde veiligheidsvoorschriften waar medewerkers zich aan moeten houden maar ook de vereisten die gesteld worden aan rollen en verantwoordelijkheden van medewerkers.
De interne en externe vereisten worden gecombineerd tot een totaalpakket van minimale beveiligingsvereisten waar de organisatie aan moet voldoen, zoals eisen aan informatiesystemen en verantwoordelijkheden van verschillende functies van medewerkers. Door de minimale beveiligingsvereisten in kaart te brengen wordt er een minimale baseline gecreëerd voor het risicomanagementproces.
4. Betrekken strategische leiding
Het doel van het betrekken van de strategische leiding is om zowel mandaat als coördinatie en richting te verkrijgen voor het risicomanagementproces.
De strategische leiding van de organisatie bepaalt de strategie van de organisatie en geeft aan waar de prioriteiten binnen risicomanagement moeten liggen. De strategische leiding is het hoogste orgaan binnen de organisatie en heeft de verantwoordelijkheid om hier een actieve rol in te spelen. In deze stap wordt de strategische leiding betrokken bij het risicomanagementproces. Het is niet mogelijk om alle risico’s binnen de organisatie in één keer te beheersen. De strategische leiding heeft goed zicht op de organisatiedoelen en weten waar de prioriteiten moeten liggen. Zij geven aan waar de focus en prioriteiten binnen de vervolgstappen van het risicomanagementproces moeten liggen.
Risicobereidheid is de hoeveelheid en het soort risico dat een organisatie bereid is na te streven, te behouden of te nemen.1Wanneer er in de risicobeheersingsfase beheersmaatregelen worden geïmplementeerd zal er in veel gevallen een restrisico overblijven. Deze bevind zich normaliter binnen de risico-acceptatiegrenzen van de organisatie. Restrisico’s, of netto risico, zijn de risico’s die blijven bestaan na het invoeren van de beheersmaatregelen. De strategische leiding van de organisatie stelt de risicobereidheid vast. Het is aan de strategische leiding van de organisatie om te bepalen welk niveau van restrisico acceptabel is voor de organisatie.
Het verlenen van mandaat houdt in dat de strategische leiding de uitvoerder van het risicomanagementproces machtigt om het proces uit te voeren in naam, en onder verantwoordelijkheid van de strategische leiding. In deze stap verleent de strategische leiding mandaat om het risicomanagementproces uit te gaan voeren. Wanneer de strategische leiding mandaat verleent is het onder andere helder:
- wie risico's mag accepteren,
- wie besluiten mag nemen over het behandelen van risico's en de inzet van bijbehorende mensen en middelen,
- wie verantwoording aflegt aan de strategische leiding en op welke wijze.
Tenslotte committeert de strategische leiding zich in deze stap ook aan een actieve rol binnen de risicomanagementcyclus. De leiding is uiteindelijk eindverantwoordelijk en daarmee integraal onderdeel van het risicomanagementproces.
5. Scope vaststelling
Het doel van de scope vaststelling is om de relevante bedrijfsmiddelen van de organisatie in kaart te brengen en de richting en kader van het risicomanagementproces scherp te stellen. Door de relevante bedrijfsmiddelen in kaart te brengen en deze te prioriteren aan de hand van organisatorische belangen wordt er meer focus aangebracht.
Het portfolio van een organisatie bestaat uit de data, het personeel, de apparaten, systemen en faciliteiten die de organisatie in staat stellen de bedrijfsdoelen te bereiken, ook wel bedrijfsmiddelen genoemd. In deze stap wordt er een weergave van de bedrijfsmiddelen ontwikkeld waar het risicomanagementproces zich op gaat richten. Door het portfolio in kaart te brengen ontstaat er een duidelijker beeld van de bedrijfsmiddelen die de essentiële processen binnen de organisatie ondersteunen.
Op basis van de risicobereidheid en organisatorische belangen wordt het portfolio geprioriteerd. Het is niet mogelijk om alle risico’s binnen de organisatie in één keer te beheersen. Daarom moeten er keuzes gemaakt worden in de prioritering. In de prioritering wordt er gekeken naar de onderdelen in de portfolio die de grootste invloed hebben op het behalen van de organisatiedoelen. Daardoor dienen deze onderdelen prioriteit te krijgen tijdens de risicobehandeling.
Risicobeoordeling omvat het identificeren en inschatten van de waarschijnlijkheid dat digitale dreigingen zich manifesteren, gecombineerd met een inschatting van de impact daarvan. Door het combineren van het portfolio met de vooraf verzamelde informatie, zoals de eerder geïdentificeerde organisatorische prioriteiten, wordt in deze stap begonnen met het voorbereiden op de risicobeoordelingsfase.
6. Governance formalisatie
Het doel van governance formalisatie is om het risicomanagementproces vast te leggen in beleid en/of procedures binnen de organisatie. Ook gaat het om het implementeren van het risicomanagementbeleid, het accepteren van dit beleid en het toezien op naleving en vaststelling van de manier waarop met afwijking van het beleid omgegaan moet worden
Aan de hand van de scope wordt geïdentificeerd welke rollen binnen de organisatie relevant zijn voor het vervolg van het risicomanagementproces. Voor een succesvolle risicobeoordeling is het belangrijk dat de juiste personen betrokken zijn, evenals dat de verantwoordelijkheden in beeld zijn.
De relevante risico-, proces- en systeemeigenaren worden betrokken met als doel om hun deelname aan het risicomanagementproces formeel geaccordeerd te krijgen. Een risico-eigenaar is een aangesteld persoon die verantwoordelijk is voor het beheersen van een aan hem of haar toegekend risico. Proceseigenaren, vaak (lijn)managers, zijn eindverantwoordelijk voor een proces. De proceseigenaar heeft dus globaal zicht op het gehele proces. De systeemeigenaar is verantwoordelijk voor de beschikbaarheid, beveiliging, onderhoud en support van een systeem. Deze rollen kunnen toegewezen zijn aan dezelfde medewerkers, die dus in dat geval zowel risico- als systeem-eigenaar is. Ook als de opdracht voor een risicobeoordeling afkomstig is vanuit een van deze rollen dan is het van belang om de gemaakte afspraken officieel vast te leggen.
Om het risicomanagementproces zo goed mogelijk te borgen binnen de organisatie worden in samenspraak met de strategische leiding afspraken gemaakt over de logging en rapportage.
Logging is een proces waarbij gegevens worden geregistreerd om bij te houden welke handelingen en gebeurtenissen er hebben plaatsgevonden. In de context van risicomanagement gaat het daarin bijvoorbeeld om het bijhouden van een risicoregister en andere manieren waarop risicogegevens bewaard zullen worden.
Met rapportage wordt een wijze bedoeld hoe er verslag wordt gelegd van het risicomanagementproces en uitkomsten worden gecommuniceerd. Aangezien risicomanagement een cyclisch proces is, kan het doormiddel van rapportage/logging mechanismes het proces continue verbeterd worden.
In deze stap wordt de beschrijving van de scope goedgekeurd door de strategische leiding van de organisatie. Waar tijdens de scope vaststelling de richting en het kader van de scope scherp zijn gesteld, wordt de scope hier formeel goedgekeurd door de strategische leiding van de organisatie. Zoals eerder gesteld, zal de scope normaliter gericht zijn op het ondersteunen van de organisatorische prioriteiten. In deze fase is deze focus geoperationaliseerd en zal dit dus officieel goed gekeurd moeten worden. In de goedkeuring wordt onder andere de gekozen methodes en de wijze waarop risico’s beoordeeld worden meegenomen. Dit is dus een verdere vertaling van de eerdere stappen. Daarmee vormt het akkoord de basis voor de vervolgfase van risicobeoordeling.
Op dit punt worden de rollen binnen de risicobeoordelingsfase toegewezen. Met de formele goedkeuring van de scope van de risicobeoordeling door de strategische leiding van de organisatie kan er begonnen worden met het toewijzen van rollen binnen de risicobeoordeling.
Samenvatting
Een goed risicomanagementproces begint met sterke governance en duidelijke randvoorwaarden. Door de context, verantwoordelijkheden, eisen, scope en besluitvorming vast te leggen, creëert een organisatie een stevige basis voor het beheersen van risico’s. Met deze randvoorwaarden op orde kan de volgende stap worden gezet: het identificeren, analyseren en prioriteren van risico’s in de risicobeoordelingsfase.
Volledig overzicht van de Routekaart
Benieuwd naar het totaalplaatje? Bekijk de volledige Routekaart Risicomanagement voor een overzicht van alle categorieën, onderwerpen en hun onderlinge samenhang.
Mogen we je wat vragen?
Resultaten laden...