Context en uitleg
De routekaart risicomanagement is opgesteld om inzicht en overzicht te geven op het gebied van risicomanagement in het digitale domein. De routekaart wordt gebruikt als referentiekader en biedt perspectief aan organisaties die hun digitale weerbaarheid op een passend niveau willen krijgen. Het doel van dit artikel is om de routekaart verder toe te lichten.
Door de achtergrond, methodiek en toepassingen te beschrijven zijn organisaties in staat om gebruik te maken van de routekaart. Het helpt organisaties om bestaande activiteiten en plannen op het gebied van cybersecurity en risicomanagement in het grotere geheel te plaatsen. Daarmee zijn de componenten van de routekaart context-afhankelijk en is het aan organisaties om weloverwogen keuzes te maken.
LeeswijzerDit artikel is opgebouwd uit twee onderdelen. In het eerste onderdeel, wordt de routekaart geïntroduceerd. Daarna zal onderstaande visualisatie toegelicht worden en worden de vier fases van de risicomanagementcyclus toegelicht. Vervolgens volgt er een verdiepingshoofdstuk. Hierin zullen de toepassingen van routekaart risicomanagement besproken worden. In de rest van het artikel komt de context aan bod: de aanleiding voor het opstellen van de routekaart, methodiek en definities worden uiteengezet en tenslotte volgt er een vooruitblik. |
Achtergrond
Dit artikel is onderdeel van de NCSC-reeks rondom risicomanagement. Het NCSC adviseert organisaties om een passend niveau van digitale weerbaarheid na te streven. Risicomanagement is het fundamentele instrument om dit passend niveau te bepalen en behalen. De routekaart risicomanagement van het NCSC biedt overzicht over het risicomanagement landschap. Dat geeft organisaties inzicht in hoe hun activiteiten met betrekking tot risicomanagement zich verhouden tot de rest van het landschap. Dat inzicht stelt organisaties in staat om hun risicomanagementproces doorlopend te verbeteren.
De routekaart beschrijft een cyclus. Deze risicomanagementcyclus kent vier fases, welke hier kort geïntroduceerd zullen worden. Door structureel aandacht te schenken aan de “governance en randvoorwaarden” van risicomanagement en deze op orde te brengen kan een organisatie structureel risicomanagement in de organisatie integreren. Dit helpt een organisatie om daarna risico’s te identificeren en te beoordelen. Dit heet de zogenaamde “risicobeoordelingsfase”. Door risico’s in kaart te brengen en met elkaar te vergelijken, zijn organisaties in staat om hun schaarse middelen in te zetten op de risico’s welke de hoogste prioriteit hebben. Dat gericht inzetten van middelen om de weerbaarheid te verhogen, vindt plaats in de “risicobehandelingsfase”. Ten slotte is het in de fase van “doorlopende monitoring” van belang om zicht te blijven houden op zowel de effectiviteit van de mitigerende maatregelen als mogelijke veranderingen in de omgeving waar de organisatie zich in bevindt.
Inleiding
Risicomanagement is een continu proces waarbij bedrijfsrisico’s voortdurend worden bewaakt.1 Daarmee is het een cyclisch proces waarmee organisaties een passend niveau van digitale weerbaarheid willen bereiken en behouden.
De routekaart risicomanagement is opgesteld vanwege de behoefte aan overzicht en inzicht in het complexe speelveld van risicomanagement. Er is een groot aanbod aan verschillende raamwerken, methodieken en andere zienswijzen om invulling te geven aan (onderdelen van) risicomanagement in het digitale domein.
De routekaart brengt onderlinge verhoudingen van de kernbegrippen van veel verschillende raamwerken en methodes gevisualiseerd in beeld. Dit is gedaan op basis van een analyse van een groot aantal bestaande raamwerken en methodes,2 alsmede door verrijking op basis van de expertise van het NCSC. Daarmee is de routekaart methodiek-agnostisch. Dat betekent dat het de centrale, terugkerende begrippen van risicomanagement omvat. Daarmee zijn de bestaande kernpunten van de bestaande methodes en raamwerken terug te vinden in de routekaart. Het NCSC heeft daarna de uitkomsten verrijkt op basis van haar expertise.
Daarmee biedt de routekaart overzicht over het risicomanagementlandschap aangezien al deze centrale begrippen en hun onderlinge verhoudingen in kaart zijn gebracht. Een dergelijk overzicht geeft organisaties inzicht in hoe hun activiteiten met betrekking tot risicomanagement zich verhouden tot de rest van het landschap. Met dit inzicht zijn organisaties in staat om invulling te geven aan ontbrekende of suboptimaal ingerichte risicomanagementactiviteiten en zo hun risicomanagementproces doorlopend te verbeteren.
De hoofdcategorieën
Het doel van risicomanagement is om een passend niveau van digitale weerbaarheid te bereiken en te behouden. Om dit doel te bereiken, kunnen er vier hoofdcategorieën onderscheiden, zoals gevisualiseerd in dit artikel.
Toepassingen
Eerder zijn de vier categorieën van de routekaart geïntroduceerd: governance en randvoorwaarden, risicobeoordeling, risicobehandeling en doorlopende monitoring. In losse artikelen worden de details van deze categorieën besproken.
Vanaf dit punt, zullen de toepassingen van de routekaart toegelicht worden. Daarna komt er een voorbeeld aan bod om deze toepassingen tastbaar te maken. De rest van het artikel richt zich op de context van de routekaart: de aanleiding, definities en door het NCSC gehanteerde methodiek worden besproken. Ten slotte volgt er een vooruitblik op de volgende stappen.
De routekaart biedt op verschillende manieren toegevoegde waarde aan organisaties die aandacht willen besteden aan hun digitale weerbaarheid.
- Referentiekader
- De routekaart biedt overzicht en daarmee kaders rondom risicomanagement. Dat kan organisaties ondersteunen om focus aan te brengen.
- Op vele fysieke richtingskaarten staat een stip: “Je bent nu hier”. Dat zit logischerwijs niet in deze routekaart, maar door het referentiekader te begrijpen en de samenhang te zien, ondersteunt het organisaties in weloverwogen keuzes maken rondom risicomanagement.
- Perspectief
- De routekaart dient als handvat om inzichtelijk te krijgen aan welke risicomanagementonderdelen al invulling wordt gegeven.
- De routekaart maakt de volgorde binnen de risicomanagementcyclus verder inzichtelijk.
- Het biedt aanvullend zicht op de cyclische aard van risicomanagement.
- Stip op de horizon
- De routekaart is een stip op de horizon bij het steeds verder invullen van alle risicomanagementfuncties. De routekaart ondersteunt organisaties bij het bepalen van prioriteiten en het vinden van focus.
- Organisaties kunnen met behulp van de routekaart hun risicomanagementproces naar een steeds hoger volwassenheidsniveau brengen.
- Toegankelijker maken van bestaande methodes
- De routekaart werkt drempelverlagend om bestaande methodes en raamwerken methodes toe te passen. Bijvoorbeeld, de ISO- of NIST-standaarden.
- Bestaande methodes zijn daarmee complementair aan de routekaart aangezien ze (onderdelen van) de risicomanagement routekaart in de praktijk invullen.
- Als een organisatie op basis van de routekaart zicht heeft op missende of suboptimaal ingerichte componenten van risicomanagement dan kan de organisatie gericht de beste methode identificeren en implementeren.
VoorbeeldcasusHet is belangrijk om te onderschrijven dat de routekaart een manier van denken weergeeft. Dat houdt in dat er weloverwogen keuzes gemaakt moeten worden in het risicomanagementproces: elk risico is uniek in de context van een specifieke organisatie. Primair door goede analyse en het volgen van een duidelijk iteratieve aanpak van risicomanagement kunnen er keuzes gemaakt worden die passend zijn bij de organisatie en haar doelstellingen. Dit valt te onderschrijven met een voorbeeldcasus, waarin een ingewikkeld proces geplot wordt op routekaart. Het oprichten van een Security Operations Center (SOC) is een complex operationeel proces. Daar zijn zeer specifieke methodes voor, die elk invulling geven aan (een deel van) de risicomanagementcyclus. De cyclus van de routekaart biedt hier de handvatten om weloverwogen alle relevante stappen in te kleuren. Zo is het cruciaal dat de juiste personen betrokken zijn en dat er heldere afspraken gemaakt zijn, om een goede risicobeoordeling uit te kunnen voeren. Zodra de risicobeoordeling plaatsgevonden heeft, komen er een aantal geprioriteerde risico’s in beeld. Vervolgens, in de risicobehandelingsfase, kan de organisatie de meest effectieve en efficiënte beheersmaatregelen bepalen en implementeren. Dit met het doel om grip op deze risico’s te krijgen en deze op een acceptabel niveau te brengen. In deze voorbeeldcasus, geeft het management er de voorkeur aan dat een SOC om daarmee de gewenste en passende vorm van risicobeheersing te implementeren. Doordat de stappen van de routekaart doorlopen zijn, is de keuze voor een SOC helder gemandateerd en gebaseerd op een scherp zicht op de te beheersen risico’s. Daarmee kan er gericht bepaald worden welke detectielogica nodig is en op welke wijze er gereageerd moet worden vanuit het SOC, mocht er een incident plaatsvinden. De monitoringsfase van het routekaart risicomanagement zorgt ervoor dat de beheersmaatregelen, waaronder de dekking vanuit het SOC, effectief en efficiënt blijven |
Aanleiding voor de constructie van de routekaart
Complexiteit van risicomanagement
Het NCSC herkent dat er een groot aanbod is aan verschillende raamwerken, methodieken en andere zienswijzen om invulling te geven aan (onderdelen van) risicomanagement in het digitale domein. Zo zijn er veel raamwerken welke zich specifiek richten op de losse fases van risicomanagement. Naast deze nauwe benaderingen van onderdelen van risicomanagement, zijn er ook allesomvattende raamwerken. Uit de praktijk werd duidelijk dat er behoefte is aan overzicht, waarbij de onderlinge verhoudingen van de kernbegrippen gevisualiseerd wordt.
Ad hoc en onhaalbaar
Risicomanagement in het digitale domein is in de praktijk vaak ad hoc ingericht en de stap naar structureel risicomanagement kan ervaren worden als onhaalbaar. Daaruit ontstaat de vraag om meer handvatten en overzicht in het gehele speelveld. Alle wegen leiden spreekwoordelijk naar Rome, maar een routekaart kan helpen om de meest efficiënte route te bepalen.
Cyberbeveiligingswet (NIS2)
De cyberbeveiligingswet (NIS2) benoemt risicomanagement expliciet. Daarbij is het onderdeel van de zorgplicht van organisaties. Een van de manieren waarop het NCSC haar doelgroepen wil ondersteunen, is met deze routekaart. De visie van het NCSC behelst een risico-gebaseerde aanpak van cybersecurity. Dat houdt in dat er geen one-size-fits-all benadering mogelijk is. De diversiteit van organisaties, hun digitale omgevingen en specifieke prioriteiten leidt ertoe dat risicomanagement de basis is van het behalen van een passend niveau van digitale weerbaarheid. Daarom biedt de routekaart een stip op de horizon ook in de context van de Cyberbeveiligingswet.
Methodiek
Vooruitblik
Het NCSC verwacht de routekaart verder uit te breiden op een aantal componenten.
- Zo is bekend dat er behoefte bestaat om inzichtelijk te maken welke methodiek op welk moment toegevoegde waarde biedt. In het eerdergenoemde voorbeeld van risicoanalyses, heeft elke methodiek voor en nadelen. Het NCSC zal handvatten ontwikkelen waarmee organisaties kunnen bepalen welke methodiek in hun specifieke situatie het beste kan worden gebruikt.
- Daarnaast zal het NCSC kennisproducten ontwikkelen om de verschillende risicomanagementfuncties op de routekaart te operationaliseren. Dit is het verder invullen van de “hoe”-vraag.
- Op die manier zal invulling gegeven worden aan de mogelijkheden om op basis van deze kennis de onderdelen van de routekaart te kunnen operationaliseren en in de praktijk toe te passen.
De prioritering en focus op deze onderdelen wordt gestuurd vanuit de behoefte van de doelgroepen van het NCSC.
Bronnen:
1. https://cyberveilignederland.nl/woordenboek
2. https://www.enisa.europa.eu/publications/compendium-of-risk-management-frameworks