Risicobehandeling
Dit artikel is opgebouwd uit twee onderdelen. Allereerst, zal onderstaande visual toegelicht worden: de begrippen binnen risicobehandeling worden geïntroduceerd. Het tweede onderdeel zal dieper ingaan op risicobehandeling met de uitgebreide variant van de routekaart.
De routekaart dient als referentiekader. Het helpt organisaties om bestaande activiteiten en plannen op het gebied van cybersecurity en risicomanagement in het grotere geheel te plaatsen. Daarmee zijn de componenten van de routekaart context-afhankelijk en is het aan organisaties om weloverwogen keuzes te maken. Lees hier meer over de achtergrond van de routekaart risicomanagement.
Kennismaken met risicobehandeling
Het doel van risicobehandeling is om keuzes te maken om het niveau van digitale weerbaarheid van een organisatie naar een passend niveau te tillen. Er moet worden afgewogen of een risico wel of niet acceptabel is. Dit gebeurt door de geïdentificeerde risico’s af te wegen ten opzichte van de risicobereidheid van de organisatie. In de governance-fase van risicomanagement, is de risicobereidheid van de organisatie vastgesteld. Het strategisch leiderschap van de organisatie heeft keuzes gemaakt. Deze keuzes richten zich op de beschikbaarheid, integriteit en vertrouwelijkheid van de te beschermen belangen van de organisatie. Als de gevonden risico’s deze te beschermen belangen op zo’n manier negatief kunnen beïnvloeden dat dit als niet acceptabel wordt gezien, dan wordt de risicobereidheid overschreden. In dat geval zal de organisatie over willen gaan tot risicomitigatie.
Risicobehandeling
Risicomitigatie
Het mitigeren van een risico betekent dat er beheersmaatregelen geïmplementeerd worden om het risico te beheersen. Het beheersen van een risico houdt in dat het binnen de acceptatiegrenzen van de organisatie past. De acceptatiegrenzen zijn gebaseerd op de risicobereidheid van de organisatie en geeft de hoeveelheid en het soort risico aan dat een organisatie bereid is na te streven, te behouden of te nemen.
Het mitigeren van een risico kan zich op twee onderdelen richten. Ten eerste, kan mitigatie de waarschijnlijkheid (kans) dat een risico plaatsvindt verkleinen. Ten tweede kan risicomitigatie zich richten op het verkleinen van de impact van manifestatie van een risico. In beide gevallen is het einddoel van risicomitigatie om de gevonden risico’s terug te brengen tot een acceptabel niveau.
Zodra de organisatie de stappen voor risicomitigatie doorlopen heeft, kan de conclusie zijn dat er van bepaalde mitigerende maatregelen verwacht wordt dat ze het risico naar een acceptabel niveau verlagen. Op dat moment is het zaak om de verwachte effecten van deze mitigerende maatregelen te modeleren. Dat houdt in dat vastgesteld wordt of de beheersmaatregelen de gewenste effecten op het risico zullen bereiken. Hiermee kan de organisatie met grotere zekerheid stellen dat de ingezette middelen op effectieve en efficiënte wijze effect zullen hebben.
Nadat deze stap gezet is, kan overgegaan worden tot implementatie van de beheersmaatregelen. Op dit punt in het risicomanagementproces heeft de organisatie zicht op risico’s, is de governance op orde en zijn dus de juiste personen betrokken en is er een afgewogen keuze gemaakt voor de meest doeltreffende beheersmaatregelen. Daarom kan er dan overgegaan worden tot implementatie van de voorgestelde beheersmaatregelen.
Verdieping risicobehandeling
Het doel van risicobehandeling is om risico’s, waar relevant, terug te brengen tot een voor de organisatie acceptabel niveau. Dat betekent dat er afgewogen wordt of er aanvullende maatregelen nodig zijn. Mocht dat het geval zijn, dan kunnen er keuzes worden gemaakt over de meest passende maatregelen die zich richten op het verhogen van de digitale weerbaarheid van de organisatie.
Daarom zal ten eerste in het artikel toegelicht worden welke opties ontstaan zodra beoordeeld is of een gevonden risico de risicobereidheid van de organisatie overschrijdt. Ten tweede, zal het modeleren van implementatie van risicobehandeling toegelicht worden. Tenslotte zal de implementatie van beheersmaatregelen geduid worden.
Verdieping risicobehandeling
Risicoacceptatie
Risicoacceptatie houdt in dat bewust gekozen wordt om geen aanvullende maatregelen te nemen om de weerbaarheid van de organisatie te verhogen. Na het afwegen van de gevonden risico’s ten opzichte van de risicobereidheid van de organisatie, zijn er twee mogelijkheden: risicomitigatie of risicoacceptatie.
Ten eerste, kan het zo zijn dat de conclusie getrokken worden dat het risico binnen de risicobereidheid valt. Op dat moment kan de keuze gemaakt worden om het risico te accepteren. Het NCSC raadt aan om helder te documenteren dat er overgegaan is tot acceptatie. Het is zaak om deze documentatie periodiek te herzien. Dat een risico op het moment van beoordeling gezien wordt als acceptabel, dat betekent niet dat dit in de toekomst ook zo zal zijn.
De tweede optie is dat het risico de risicobereidheid overschrijdt. Ook in dit geval kan het risico alsnog geaccepteerd worden, mits de organisatie hier een expliciete keuze op maakt. Als dit niet het geval is, dan zal er overgegaan worden tot risicomitigatie.
Risicomitigatie
Risicomitigatie gaat om alle dingen die een organisatie doet om risico’s te verkleinen of helemaal te laten verdwijnen. Grijpt een organisatie in, dan kan dat twee doelen hebben:
- de kans op een incident verkleinen.
- de gevolgen verkleinen als dat incident toch plaatsvindt.
Daarmee gaat het om het ondernemen van actie om het risico te verminderen tot een acceptabel niveau. Risicomitigatie kan op een aantal manieren ingevuld worden.
Risicomodificatie houdt in dat de organisatie zelf beheersmaatregelen neemt om het risico terug te brengen tot een acceptabel niveau. Een voorbeeld hiervan is om als organisatie zelf technische maatregelen te implementeren of procedurele afspraken te maken, zoals het geven van security awareness trainingen.
Risico-overdracht houdt in dat het risico overgedragen wordt aan een derde partij. Dat kan bijvoorbeeld een verzekeraar zijn waarmee financiële schade bij een incident tot een acceptabel niveau beperkt kan worden. Het is goed om te overwegen dat niet alle potentiële impact van risico’s overgedragen kunnen worden zoals bijvoorbeeld imago-schade.
Risicodeling houdt in dat er gekozen wordt om het risico over meerdere organisaties te spreiden. Dat kan bijvoorbeeld delen van dreigingsinformatie ten behoeve van het inzicht verkrijgen in de risico’s. Een andere optie is om tezamen met meerdere organisaties af te spreken om als uitwijklocatie te fungeren, mocht één van de deelnemers door een calamiteit getroffen worden. Door kennis en kunde te bundelen en op het gebied van digitale veiligheid samen te werken, kan elke deelnemer profijt behalen van risicodeling.
Risicovermijding vindt plaats als een gevonden risico zo hoog is dat de organisatie besluit om (delen van) de activiteit te stoppen. Een voorbeeld hiervan is dat een organisatie ervoor kan kiezen om persoonlijke, niet door de organisatie beheerde apparaten van werknemers niet meer toe te staan op het bedrijfsnetwerk.
Er valt geen eenduidig advies te geven welk type risicomitigatie het beste is. Dit is afhankelijk van verschillende factoren waaronder de organisatorische context, financiële kosten-baten en de termijn waarop mogelijke beheersmaatregelen effect moet hebben.
Type beheersmaatregelen
Op het niveau van de risicomitigatie zelf zal ook bepaald moeten worden welke onderdelen van het risico het meest passend zijn om te beheersen.
Dit richt zich op categorisch op twee componenten.
1. De kans op een incident. Dat is de proactieve, voorkomende factor van beheersmaatregelen.
2. Bekijk de impact van een risico op de organisatie. Beheersmaatregelen kunnen dit verkleinen en omvat daarmee de reactieve component van beheersmaatregelen.
Het terugbrengen van de waarschijnlijkheid
Als er beheersmaatregelen genomen worden welke zich richten op het terugbrengen van de waarschijnlijkheid dat de risico materialiseert, dan vallen deze ofwel in de categorie van “beschermen” ofwel in “detecteren”. Hierbij is het doel om de kans te verkleinen dat een dreiging het te beschermen belang kan treffen.
Beschermen houdt in dat er maatregelen genomen worden waarmee er op proactieve wijze voorkomen wordt dat een risico zich manifesteert. Veiligheidstrainingen voor personeel is een voorbeeld van een beschermmaatregel in deze categorie. Het concept van beschermen omvat daarmee dus zowel technische als procedurele maatregelen om preventief te werk te gaan.
Detecteren heeft als focus het herkennen zodra een dreiging zich voordoet. Het is niet mogelijk om volledig te voorkomen dat digitale aanvallen plaatsvinden. Het is dan ook van belang dat organisaties in staat zijn om ongewenste activiteiten te detecteren en te duiden. Bijvoorbeeld door het monitoren van anomalieën kunnen verdachte activiteiten of kwetsbaarheden vroegtijdig worden opgespoord.
Het terugbrengen van de impact
Risico’s kunnen ook beheerst worden middels het terugbrengen van de impact op de organisatie als het zich voor zou doen. Het doel hierbij is daarmee om te voorkomen dat de gebeurtenis onacceptabele gevolgen heeft voor de organisatie. Ook hierin zijn twee primaire opties te onderscheiden.
Reageren op een materialiserend risico omvat de technieken en processen die worden gebruikt na het detecteren van een incident. Snel en effectief reageren is essentieel om impact op de organisatie te beperken. Dat houdt bijvoorbeeld in dat er naast processen ook technische oplossingen ingericht zijn om verdere verspreiding van het incident te voorkomen.
Herstellen gaat over het ontwikkelen en implementeren van passende procedures en maatregelen om in geval van een incident tijdig te kunnen herstellen. Een voorbeeld hiervan is het hebben, en regelmatig testen, van back-ups. Deze maatregelen ondersteunen tijdig herstel om de impact van een incident te beperken.
Net zoals bij het kiezen voor de wijze van risicomitigatie, is er geen specifieke voorkeur uit te spreken welk type beheersmaatregel het meest effectief is. Dit is afhankelijk van de voorkeuren van de organisatie en de wijze waarop het risico ingeschat is.
Het modeleren van implementatie van risicobehandeling betekent dat er ingeschat wordt of de beheersmaatregelen het gewenste effect hebben op het risico. Hiervoor zijn drie stappen te doorlopen.
- Het is van belang om te realiseren welke beperkingen mogelijke beheersmaatregelen hebben. Zodra deze inzichtelijk zijn, kunnen er categorische keuzes gemaakt betreffende de meest passende beheersmaatregelen.
- Daarna is het zaak om deze keuzes verder te operationaliseren.
- Om deze stap te zetten, raadt het NCSC aan om het gewenste effect van de verschillende beheersmaatregelen te modeleren.
Door deze stappen te doorlopen, is de organisatie in staat om uiteindelijk de meest effectieve en efficiënte beheersmaatregelen te implementeren.
Het doel van deze stap is om inzichtelijk te krijgen welke beperkingen de verschillende mogelijkheden van risicobehandeling hebben. Dit bestaat uit het type risicomitigatie en het type beheersmaatregel. Alle opties hebben hun eigen voor- en nadelen. Zo heeft “risicomodificatie” het voordeel dat de organisatie zelf veel controle heeft, aangezien de organisatie zelf de beheersmaatregelen implementeert. Een potentieel nadeel daarvan is dat de organisatie zelf in staat moet zijn om dit naar behoren te doen en dus deze kennis in huis moet hebben. Op het gebied van het type beheersmaatregel, geldt dezelfde logica. Daarom is het van belang om te identificeren welke beperkingen er zijn en hoe deze opwegen tegen de verwachte opbrengsten.
In deze stap is het doel om concrete beheersmaatregelen voor te stellen. Nadat er keuzes gemaakt zijn op het gebied van de type risicobehandelingen welke het meest toepasbaar zijn voor de organisatie, kunnen deze verder geoperationaliseerd worden. Dat betekent dat een organisatie kan gaan identificeren op welke wijze ze in staat zal zijn om back-ups zelf te beheren. Ook kan er bekeken worden aan welke specifieke eisen deze moeten gaan voldoen.
In deze stap wordt door middel van modelering in kaart gebracht op welke wijze de organisatie verwacht dat beheersmaatregelen het doel van het beheersen van het risico behalen. Hierdoor wordt het mogelijk om van de voorgestelde beheersmaatregelen, de meest passende te kiezen. De laatste stap is daarom om het mogelijk te maken om de juiste keuze te maken uit de geïdentificeerde beheersmaatregelen. Dit kan gezien worden als het toetsen van de voorgestelde beheersmaatregelen. Als de geïdentificeerde beheersmaatregelen deze toetsing doorstaan, dan kan er overgegaan worden tot implementatie.
Implementatie van beheersmaatregelen
Het implementeren van de beheersmaatregelen houdt in dat de voorgestelde beheersmaatregelen in de praktijk uitgevoerd gaan worden. Implementatie van beheersmaatregelen wordt buiten beschouwing gelaten in het risicomanagementraamwerk. Implementatie is volgens het NCSC namelijk een specifieke tak van sport, waarbij het aan te raden is om geldende standaarden te volgen. Zo worden technische implementaties uitgevoerd middels change-processen en de juiste volgorde van ontwikkelen-testen-accepteren. Daarmee is dat geen specifieke risicomanagementafweging, maar het volgen van de geldende processen.
Samenvatting
In dit artikel is aandacht besteed aan de stappen welke aangeraden worden om te doorlopen als een organisatie overgaat tot risicobehandeling. Dat houdt in dat er globaal drie stappen doorlopen zijn:
- Opties overwegen rondom risicomitigatie.
- Identificeren van de effecten van risicomitigatie en de meest passende keuze maken.
- Implementatie van beheersmaatregelen.
Door deze stappen structureel te doorlopen, is risicobehandeling haalbaar en herhaalbaar te maken. Risicobehandeling is context- en organisatieafhankelijk. Daarom is het van fundamenteel belang om gestructureerd keuzes te maken op basis van een zo compleet mogelijke informatiepositie. Door deze stappen gefaseerd te doorlopen, zijn de gemaakte keuzes inzichtelijk waardoor een organisatie in staat is om constante verbeteringen er aan toe te voegen. Daarmee kan de volwassenheid verhoogd worden zodat organisaties een passend niveau van digitale weerbaarheid kunnen bereiken. Hiermee kan de volgende fase gestart worden, waarbij er doorlopend gemonitord wordt of de risico’s nog steeds afdoende beheerst zijn.