Doorlopende monitoring
Het doel van doorlopende monitoring is het zicht houden op beoordeelde risico’s en de gekozen risicobehandeling. Wijzigingen in risico’s of onvoorziene ineffectiviteit van mitigatiemaatregelen geven aanleiding om risico’s opnieuw te beoordelen of behandelen. In de doorlopende monitoring fase wordt er continue bijgehouden of de gekozen beheersmaatregelen daadwerkelijk het beoogde resultaat behalen. Tevens worden interne en externe veranderingen van de organisatie bijgehouden en geëvalueerd om te zien of dit effect heeft op de beoordeling van risico’s. Dit artikel beschrijft de structuur van de doorlopende monitoringsfase binnen het risicomanagementproces.
De routekaart dient gelezen te worden als referentiekader. Het helpt organisaties om bestaande activiteiten en plannen op het gebied van cybersecurity en risicomanagement in het grotere geheel te plaatsen. Daarmee zijn de componenten van de routekaart context-afhankelijk en is het aan organisaties om weloverwogen keuzes te maken. Lees hier meer over de achtergrond van de routekaart risicomanagement.
LeeswijzerDit artikel is opgebouwd uit twee onderdelen. Allereerst, zal onderstaande visual toegelicht worden: de begrippen binnen doorlopende monitoring worden geïntroduceerd. Daarmee legt het eerste hoofdstuk de basis. Het tweede onderdeel zal doorlopende monitoring van verdere diepgang voorzien. De uitgebreide variant van de routekaart wordt gepresenteerd. Deze detaillering houdt in dat de volledige fase van doorlopende monitoring doorgenomen zal worden. |
Kennismaken met doorlopende monitoring
Het doel van doorlopende monitoring is het voorkomen dat het restrisico1 van de organisatie ongemerkt de risicobereidheid1 overschrijdt. Risicobereidheid is de hoeveelheid en het soort risico dat een organisatie bereid is na te streven, te behouden of te nemen. Een restrisico is het risico dat blijft bestaan na het invoeren van beheersmaatregelen, ook wel het netto risico genoemd. Door factoren te monitoren die invloed kunnen hebben op het restrisico, kan actie ondernomen worden op het moment dat dit gebeurt.
Doorlopende monitoring bestaat uit twee verschillende onderwerpen:
- Evaluatie risicomitigatie
- Het monitoren van omgevingsvariabelen
Tijdens de risicobeheersingsfase zijn er beheersmaatregelen gekozen om de geïdentificeerde risico’s van de organisatie te beheersen. Tijdens de evaluatie van de risicomitigatie worden de beheersmaatregelen systematisch beoordeeld. Door het verzamelen en evalueren van informatie over de prestaties van de beheersmaatregelen wordt er gekeken of de maatregelen het beoogde effect hebben.
Tijdens het monitoren van omgevingsvariabelen worden de interne en externe veranderingen bijgehouden en geëvalueerd. Veranderingen binnen of buiten de organisatie kunnen er voor zorgen dat de gekozen beheersmaatregelen niet langer het beoogde effect hebben. Deze veranderingen kunnen er toe leiden dat risico’s opnieuw beoordeeld – en eventueel anders behandeld – moeten worden.
In het volgende deel van dit artikel volgt een uitgebreidere beschrijving van de onderwerpen binnen de doorlopende monitoring fase.
Verdieping doorlopende monitoring
Nu de basis van doorlopende monitoring is toegelicht, wordt in dit artikel een verdiepingsslag gemaakt op twee verschillende onderwerpen.
In de risicobehandelingsfase zijn er beheersmaatregelen gekozen om de geïdentificeerde risico’s tot een acceptabel niveau te brengen. Om te zorgen dat de gekozen beheersmaatregelen daadwerkelijk effect hebben moeten deze maatregelen continue geëvalueerd worden. Dit wordt gedaan door het bijhouden van de implementatie, het evalueren van de prestaties en het beoordelen van de effectiviteit van beheersmaatregelen. Vervolgens wordt er bepaald of de effectiviteit van de maatregelen de gewenste impact heeft op het restrisico. Als er zodanige impact ontstaat dat het restrisico de risicotolerantie van de organisatie overschrijdt, worden de relevante risico-, proces- en systeemeigenaren betrokken.
Evaluatie risicomitigatie
Risicomitigatie behelst alle dingen die een organisatie doet om risico's te verkleinen of helemaal te laten verdwijnen.1 Het doel van de evaluatie van de risicomitigatie is het systematisch evalueren van de werking van de gekozen beheersmaatregelen.
Een risico-eigenaar is een aangesteld persoon die verantwoordelijk is voor het beheersen van een aan hem of haar toegekend risico. Proceseigenaren, vaak (lijn)managers, zijn eindverantwoordelijk voor een proces. De proceseigenaar heeft dus globaal zicht op het gehele proces. De systeemeigenaar is verantwoordelijk voor de beschikbaarheid, beveiliging, onderhoud en support van een systeem. In deze stap worden de relevante risico-, proces- en systeemeigenaren geïnformeerd over de evaluatie van de beheersmaatregelen.
Monitoren omgevingsvariabelen
Monitoren van omgevingsvariabelen behelst het in de gaten houden van veranderingen binnen en buiten de organisatie. Bij de voorgaande fases van het risicomanagementproces wordt uitgegaan actuele context van de organisatie. Dit is altijd een momentopname. Organisaties en hun omgeving zijn echter dynamisch en dus onderhevig aan veranderingen.
Veranderingen kunnen invloed hebben op de voorgaande fases van risicomanagement, waardoor er onacceptabel restrisico ontstaat. Indien dit het geval is moeten de juiste rollen binnen de organisatie worden betrokken. Op die manier worden de risico’s opnieuw bekeken zodra dat nodig is.
Een risico-eigenaar is een aangesteld persoon die verantwoordelijk is voor het beheersen van een aan hem of haar toegekend risico. Proceseigenaren, vaak (lijn)managers, zijn eindverantwoordelijk voor een proces. De proceseigenaar heeft dus globaal zicht op het gehele proces. De systeemeigenaar is verantwoordelijk voor de beschikbaarheid, beveiliging, onderhoud en support van een systeem. In deze stap worden de relevante risico-, proces- en systeemeigenaren geïnformeerd over de evaluatie van de beheersmaatregelen.
Samenvatting
In dit artikel is aandacht besteed aan de onderwerpen die aanbevolen worden om te doorlopen als een organisatie overgaat tot doorlopende monitoring. De monitoringsfase kan worden gestructureerd aan de hand van twee onderwerpen:
- Evalueren van risicomitigatie. Hierbij wordt gekeken of de gekozen beheersmaatregelen voldoende presteren en effectief zijn om het beoogde restrisico te behalen.
- Monitoren van interne en externe veranderingen. Hierbij wordt gekeken of interne en/of externe veranderingen het beoogde restrisico verandert.
Bij beide onderwerpen worden factoren gemonitord die tot een onvoorzien restrisico kunnen leiden. Als dit leidt tot een restrisico dat de risicotolerantie van de organisatie overstijgt kunnen de juiste rollen binnen de organisatie worden betrokken. Dan kan worden bepaald of eerdere fases uit het risicomanagementproces opnieuw moeten worden uitgevoerd om het restrisico tot een acceptabel niveau te reduceren.
Op die manier vormt risicomanagement een cyclisch proces. Na afronding van de doorlopende monitoringsfase, raadt het NCSC aan om de governance waar relevant te herzien en op die manier de cyclus iteratief te doorlopen.
Bron: 1: https://cyberveilignederland.nl/woordenboek