Het belang van governance in cybersecurity: risicobeheer

Het identificeren en beheren van risico’s is de eerste en meest essentiële stap, maar ook vaak een van de moeilijkste om effectief en doeltreffend uit te voeren binnen een organisatie. Risico’s moeten steeds goed in kaart gebracht worden voordat men ze kan analyseren en evalueren om de impact op de organisatie te kunnen bepalen. Risicobeheer (risk management) kan opgedeeld worden in 2 categorieën, namelijk Risicobeoordeling (risk assessment) en Risicobehandeling (risk treatment):

• Risicobeoordeling (Risk Assessment)
  Het proces van het identificeren, inschatten en prioriteren van risico's voor de activiteiten van een organisatie (inclusief missie, functies, imago en reputatie), bedrijfsmiddelen, individuen en zelfs andere organisaties. Het doel is om elk geïdentificeerd risico te koppelen aan de doelen, doelstellingen, bedrijfsmiddelen en processen van de organisatie, vooral die welke cruciaal zijn voor haar functioneren en succes. Deze afstemming zorgt ervoor dat de beheersmaatregelen die worden genomen om risico's te verminderen, direct bijdragen aan het bereiken van de organisatiedoelstellingen en het beschermen van haar belangen.
   
• Risicobehandeling (Risk Treatment)
  Het proces op het nemen van beslissingen over de meest geschikte acties om te ondernemen met betrekking tot de geïdentificeerde en geprioriteerde risico's. De keuzes die worden gemaakt, hangen af van het risicobeleid van het management en de beschikbaarheid en kosten van risicobeperking.

De opties voor risicoreactie zijn: Weigeren, Aanvaarden, Mitigeren (verminderen) en Transfereren (overdragen).

Risiciobeheer bestaat uit 4 stappen: identificatie, analyse, evaluatie, en aanpak.

Het begint met het identificeren van risico’s, bedreigingen en kwetsbaarheden, waarbij een grondige inventarisatie van alle relevante assets en resources binnen de organisatie wordt gemaakt. Dit omvat fysieke apparaten, softwareplatforms, belangrijke gegevens, processen, identiteiten en externe partijen waarmee de organisatie samenwerkt. Zo ontstaat een compleet beeld van de digitale footprint van de organisatie.

Vervolgens start de analyse van elke asset en resource. Hierbij wordt de impact van het risico op de organisatie bepaald, samen met de waarschijnlijkheid dat het risico zich zal voordoen. Een handige formule om hierbij te onthouden is: Impact + Waarschijnlijkheid = Risiconiveau. Het risiconiveau kan vervolgens worden beoordeeld aan de hand van een risicomatrix, waardoor risico's eenvoudig kunnen worden geëvalueerd.

Met het risiconiveau van alle assets en resources bekend, kunnen we overgaan tot evaluatie. Vergelijk nu elk risico met de vastgestelde risico-appetijt (Risk Appetite) van uw organisatie. Bepaal welke risico’s binnen het acceptabele niveau vallen en welke risico’s passende maatregelen vereisen. Dit proces helpt bij de voorbereiding op de volgende stap.

De eerste drie stappen gaan voornamelijk over risicobeoordeling. De laatste stap richt zich op risicobehandeling en de aanpak ervan. Voor elk risico moet worden bepaald hoe ermee om te gaan: weigeren, aanvaarden, mitigeren of transfereren. Als de organisatie ervoor kiest om een risico te mitigeren, moet het restrisico opnieuw worden bepaald door de eerste drie stappen opnieuw uit te voeren nadat de mitigerende maatregel is toegepast.