Academie thuis
Blogs
Risicobeheer voor informatiebeveiliging in Cyberday: Risico's identificeren, evalueren, behandelen en afsluiten
Onderdeel van ISO 27001-collectie
Onderdeel van NIS2-collectie

Risicobeheer voor informatiebeveiliging in Cyberday: Risico's identificeren, evalueren, behandelen en afsluiten

ISO 27001 collectie
Risicobeheer voor informatiebeveiliging in Cyberday: Risico's identificeren, evalueren, behandelen en afsluiten
NIS2-verzameling
Risicobeheer voor informatiebeveiliging in Cyberday: Risico's identificeren, evalueren, behandelen en afsluiten
Cyberday blog
Risicobeheer voor informatiebeveiliging in Cyberday: Risico's identificeren, evalueren, behandelen en afsluiten

Risicomanagement is een veelgebruikte uitdrukking in het moderne bedrijfsleven. Maar zonder duidelijke methoden om het te implementeren en te verbinden met het dagelijkse werk, bestaat het gevaar dat risicomanagement een afstandelijke, schijnbaar nutteloze entiteit voor het bedrijf blijft.

Risicobeheer van informatiebeveiliging is een onderdeel van risicobeheer dat steeds belangrijker wordt. Vooral bij zeer digitale organisaties moet het een vooraanstaande plaats innemen in het risicomanagement.

Het idee van dit artikel is om een duidelijk operationeel model te bieden voor het beheren van risico's op het gebied van informatiebeveiliging, dat zich uitstrekt van het identificeren van risico's tot het sluiten ervan, het betrekken van verschillende mensen in verschillende rollen en het monitoren van de maatregelen waartoe is besloten bij de behandeling van risico's.

We bekijken de zaak vooral vanuit het perspectief van de goede praktijken van de ISO 27001 informatiebeveiligingsnorm.

Vereisten voor risicobeheer van informatiebeveiliging

In het algemeen wordt in elke informatiebeveiligingsnorm of aanverwante wetgeving de nadruk gelegd op risicomanagement. ISO 27001 presenteert zijn eigen vereisten, maar soortgelijke items zijn te vinden in bijvoorbeeld het NIST CSF.

ISO 27001 bevat duidelijke vereisten voor risicobeheer van informatiebeveiliging:

  • 6.1.1: Er moet een gedocumenteerde procedure zijn volgens welke informatiebeveiligingsrisico's worden geïdentificeerd, geëvalueerd en behandeld
  • 6.1.3c: In de risicobehandelingsfase wordt rekening gehouden met alle controles die in de ISO 27002 worden genoemd.
  • 6.1.3d: Verklaring van Toepasselijkheid (SoA) wordt opgesteld om de implementatie van beveiligingscontroles samen te vatten.

De eerste vereiste leidt de organisatie om risicobeheer te implementeren volgens een reeks gemeenschappelijke basisregels. Het is al een groot risico als iedereen risico's op zijn eigen manier beoordeelt.

Het tweede punt vereist dat de organisatie de controles die in ISO 27002 worden genoemd, uitgebreid herziet. De norm biedt daarom meer concrete best practices voor het verminderen van de waarschijnlijkheid of impact van risico's.

Het derde punt vereist dat de organisatie het gebruik van controles duidelijk samenvat: Welke van de controls uit ISO 27002 hebben we geïmplementeerd en op welke gronden hebben we sommige niet geïmplementeerd? Door middel van de Verklaring van Toepasselijkheid is het mogelijk om een algemeen beeld te krijgen, ook al wordt het feitelijke risicobeoordelingsproces meestal uitgevoerd vanuit het oogpunt van een individueel risico.

Voordelen van een goed risicobeheerproces

Een goed geïmplementeerd risicobeheerproces voor informatiebeveiliging:

  • Verbetert de informatiebeveiliging wanneer eerst de kernzaken effectief worden gedaan en vervolgens de voortgang wordt geprioriteerd met behulp van risicomanagement.
  • Richt je aandacht effectief op de unieke aspecten van de eigen activiteiten van de organisatie in de context van informatiebeveiligingswerk.
  • Kan gemakkelijk zijn effectiviteit aantonen wanneer risicobehandeling leidt tot duidelijke acties met toegewezen verantwoordelijkheden, tijdlijnen en voortdurende controle van status en voortgang.

Het is echter belangrijk om te begrijpen dat het niet raadzaam is om meteen in risicomanagement te duiken als de basis van cyberbeveiliging niet aanwezig is binnen de organisatie. Het wordt een uitdaging om risico's te identificeren en te evalueren als de organisatie niet beschikt over systematische werkwijzen om de gegevensverwerkende omgeving te beschrijven, bedrijfsmiddelen te documenteren die moeten worden beschermd met beveiligingsmaatregelen en inzicht te krijgen in de bestaande beveiligingsmaatregelen. Daarom wil Cyberday gevestigde kaders bieden voor al deze gebieden en beveelt het aan om na het aanpakken van de basisaspecten verder te gaan met risicomanagement.

Fasen van het risicomanagementproces in Cyberday

De implementatie van risicomanagement in Cyberday wordt hieronder stap voor stap beschreven.

Verschillende stadia van cyberbeveiligingsrisico's.

1. Risico's identificeren

Nieuwe risico's kunnen in Cyberday op de volgende manieren worden geïdentificeerd:

Geautomatiseerde identificatie van cyberbeveiligingsrisico's door informatiebeveiligingstaken te activeren.

Cyberday bevat achtergrondinformatie over relevante risico's voor elke taak. Wanneer een taak wordt geactiveerd in Cyberday, worden de bijbehorende risico's automatisch toegevoegd aan het risicoregister.

Bij het activeren van een taak worden gekoppelde risico's automatisch geïdentificeerd.

Risico-identificatie door afhandeling van incidenten of wijzigingen. De processen van de organisatie voor het afhandelen van informatiebeveiligingsincidenten of belangrijke wijzigingen die gevolgen hebben voor de beveiliging, omvatten een risicoanalyse. Het doel is om de risico's te identificeren die samenhangen met de specifieke gebeurtenis, die vervolgens overgaan in de fase van risico-evaluatie. Deze risico's kunnen geheel nieuw zijn of opnieuw geëvalueerd moeten worden door het optreden van de gebeurtenis.

Identificeren van risico's verbonden aan kritieke bedrijfsmiddelen. Indien gewenst kunnen risico's worden geïdentificeerd wanneer informatiemiddelen (zoals een informatiesysteem, gegevensopslagplaats of partner) als "kritiek" worden geclassificeerd binnen het beheersysteem. Deze implementatie kan onder controle staan van de eigenaar van het bedrijfsmiddel. Alle geïdentificeerde risico's worden gekoppeld aan het bijbehorende bedrijfsmiddel door middel van een risicodocumentatiekaart.

Workshops aan de hand van voorbeeldrisico's uit Cyberday. Cyberday bevat een uitgebreide lijst met voorbeeldrisico's voor informatiebeveiliging. Deze lijst wordt gebruikt om over het hoofd geziene bedreigingen en nieuwe risico's te identificeren. We raden aan dergelijke workshops uit te voeren wanneer dat nodig is, bijvoorbeeld als andere methoden die hier zijn beschreven de afgelopen 6 maanden niet zijn gebruikt.

2. Risico's van voorbewerking

Zodra een risico is geïdentificeerd, is de eerste stap het selecteren van een risico-eigenaar. In Cyberday is de standaard automatische selectie voor nieuwe risico's de eigenaar van het thema Risicomanagement en Leiderschap. Deze persoon moet vervolgens het risico toewijzen aan de eigenaar van het corresponderende bedrijfsmiddel als het risico duidelijk gerelateerd is aan dat bedrijfsmiddel, of aan de eigenaar van een ander beveiligingsthema als het risico duidelijk gerelateerd is aan dat thema. Delegeren gebeurt door de juiste gebruiker als risico-eigenaar toe te wijzen op de documentatiekaart.

De initiële acties van een risico-eigenaar

  • Gerelateerde bedrijfsmiddelen identificeren. Dit is een methode die risico-evaluatie en -behandeling verbindt met andere onderdelen van het ISMS. Risico's kunnen in verband worden gebracht met andere middelen (zoals een gegevenssysteem of een partner) in het veld "Verbonden middelen in beheersysteem" op de documentatiekaart. Als het risico duidelijk verband houdt met andere middelen die geen eigen documentatiekaart in het beheersysteem hebben, wordt dit beschreven in het veld "Andere gekoppelde middelen".
  • De huidige taken identificeren die het risico beheren. Het idee achter dit punt is om te begrijpen hoeveel de organisatie al doet om dit risico te beheren. Hiermee rekening houden is belangrijk tijdens de risico-evaluatiefase. Het is van cruciaal belang dat de risico-evaluatie plaatsvindt in hetzelfde systeem waar de cyberbeveiligingsmaatregelen worden gecontroleerd.

3. Risico-evaluatie

In de risico-evaluatiefase wordt een numerieke waarde toegekend aan het risico op basis van de potentiële impact en waarschijnlijkheid. De organisatie kan ervoor kiezen om een engere (1-3) of bredere (1-5) beoordelingsschaal te gebruiken op basis van haar eigen voorkeuren.

Risico-evaluatie op de documentatiekaart.

Cyberday wil helpen bij de risico-evaluatie door snelle antwoorden te geven wanneer een risico niet is gekozen voor een hoge ernst of waarschijnlijkheid. Het risico kan minder ernstig zijn door de aard van de activiteiten van de organisatie of minder waarschijnlijk door de implementatie van effectieve risicomanagementpraktijken.

Op basis van de evaluatie wordt automatisch voor elk risico het risiconiveau berekend. De organisatie kan haar aanvaardbare risiconiveau bepalen en risico's die dit niveau overschrijden, moeten doorgaan naar de behandelingsfase, waar verschillende maatregelen worden geïmplementeerd om het risiconiveau te verlagen.

4. Risicobehandeling

Het risiconiveau dat in de evaluatie wordt bepaald, geeft aan of het risicobeheer moet worden voortgezet.

Als het risiconiveau binnen of onder een aanvaardbaar bereik ligt, kan het risico in dit stadium worden aanvaard.

Indien nodig gaat het risicobeheer verder naar de behandelingsfase, waar:

  • Met behulp van richtlijnen wordt de juiste risicobehandelingsoptie geselecteerd.
  • Er worden meer specifieke maatregelen bepaald om het risiconiveau te verlagen.

De meest gebruikelijke keuze is om het risico te verminderen door extra taken uit te voeren, waardoor de eigen cyberbeveiligingspraktijken van de organisatie worden verbeterd. In deze fase is het van cruciaal belang om de vastgestelde taken op te nemen in hetzelfde systeem waarin risicobeheer wordt uitgevoerd. Dit zorgt ervoor dat risicomanagement leidt tot daadwerkelijke resultaten, die automatisch worden opgenomen in hetzelfde monitoringproces.

Behandelplan van een individueel risico.

De samenvatting van de besloten behandeling op organisatieniveau wordt het risicobehandelingsplan genoemd. De eigenaar van elk individueel risico moet het opgestelde behandelingsplan voor het betreffende risico accepteren.

5. Risicobewaking en -afsluiting

Wanneer de geplande risicobehandeling is geïmplementeerd, wat betekent dat de toegewezen eigenaren hebben bevestigd dat de taken daadwerkelijk zijn voltooid, kan het risico worden afgesloten. Het risicobeheerproces eindigt dus met een duidelijk resultaat.

Een risico kan opnieuw worden geëvalueerd, bijvoorbeeld wanneer zich een beveiligingsincident voordoet of wanneer er een belangrijke wijziging in de activiteiten van de organisatie plaatsvindt die de impact of waarschijnlijkheid van het risico zou kunnen vergroten.

Tips voor het implementeren van risicobeheer in Cyberday

Hier zijn een paar hoogtepunten die kunnen helpen bij het implementeren van risicomanagement in uw organisatie.

  • Bekijk de rapportsjablonen met betrekking tot risicomanagement in Cyberday. Vooral de risicomanagementprocedure en resultaatvoorbeeld werken als nuttig instructiemateriaal voor iedereen die betrokken is bij het beheren van risico's voor informatiebeveiliging.
  • Het is mogelijk om een evaluatiecyclus voor de cyberbeveiligingsrisicolijst te maken. Hierdoor kan Cyberday Teams app de risico-eigenaren eraan herinneren om de cyber bijvoorbeeld elke 6 maanden te herzien. Dit helpt om risico's te identificeren die zijn veranderd en opnieuw moeten worden geëvalueerd.
  • Creëer aangepaste richtlijnen voor risico-eigenaren. In Cyberday is het mogelijk om richtlijnen te richten op specifieke eenheden. Een van deze eenheden is de eenheid van risico-eigenaren. U kunt belangrijke richtlijnen toevoegen aan de Guidebook en er met Cyberday voor zorgen dat risico-eigenaren deze regelmatig lezen.

Wil je meer horen over dit onderwerp?

Als je meer wilt weten over het beheren van cyberbeveiligingsrisico's, neem dan deel aan onze komende webinars of kies een geschikt moment voor een Teams-bijeenkomst, zodat we de discussie op een meer persoonlijke manier kunnen voortzetten.

Geschreven door
Matti Lindfors
13.6.2023
@
LinkedIn

Inhoud van het artikel

Andere artikelen over hetzelfde onderwerp

Bekijk de volledige ISO 27001-collectie
See full NIS2 collection

Artikel delen

Andere vergelijkbare content van Academy

Blogs

Most important documents in ISO 27001 certification audit

The ISO 27001 standard does specifically define some key documents, which need to be gathered together and be easily shareable e.g. for the auditor. In this blog, we'll present these most important documents for an ISO 27001 certification audit.
30.1.2025

NIS2 & nationale implementatie: welke lokale NIS2-wetten zijn beschikbaar in Cyberday?

De EU-lidstaten moeten NIS2 opnemen in hun nationale wetgeving. Belangrijke nationale beslissingen zijn onder andere het definiëren van lokale autoriteiten, controlemechanismen en het afstemmen van regelgeving op specifieke behoeften.
23.1.2025

ISO 27001 certificering: Wat gebeurt er tijdens de certificeringsaudit?

Deze blogpost geeft een algemene inleiding tot informatiebeveiligingsaudits en een gedetailleerde doorloop van het ISO 27001-certificeringsauditproces.
22.1.2025

Begin vandaag nog

Begin gratis, in je vertrouwde Teams omgeving.
Heb je eerst nog vragen, boek dan een afspraak met ons.

Start een gratis proefperiode van 14 dagen
Boek een vergadering
Hoe werkt het?
SamenvattingBeveiligingstaken en -zekerheidDocumentatie werkstromenWerknemer richtlijnenRapportage sjablonen
Gebruikte gevallen
Per kaderAlle kadersISO 27001NIS2-richtlijnNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Op methodeCyberrisicobeheerBewustzijn van werknemersRapportage nalevingControlebeheerBeheer van bedrijfsmiddelenDynamische beleidsdocumentenPrivacybeheer
Middelen
AcademieWebinarsBlogHulp artikelenVideo cursussenInhoud bibliotheekWekelijkse nieuwsverteertInschrijven voor AcademieLaat een beoordeling achterPartnerprogrammaTeamGebruiksvoorwaardenPrivacybeleid
Neem contact met ons op
+358 10 231 6010
team@cyberday.ai
App werkt in:
In Finland bekend als Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Verbeter en certificeer uw cyberveiligheid