1. Hoe maak je een beleidsplan Risicoanalyse?
Het maken van een risicoanalyse is de eerste stap in het verbeteren van de cyberweerbaarheid van je bedrijf of organisatie. Het is een essentiële eerste stap voor het verkrijgen van de nodige inzichten. Uit een risicoanalyse komt naar voren welke risico's het zwaarst wegen en waar beveiligingsmaatregelen het hardst nodig zijn. Vind hier uitleg hoe je een risicoanalyse maakt. Gebruik ook het stappenplan om opvolging te geven aan je risicoanalyse.
Hoe maak je beleid voor risicoanalyses?
Een beleidsplan voor risicoanalyses is een document dat weergeeft hoe je organisatie omgaat met het uitvoeren van risicoanalyses. Het helpt bij het gestructureerd en gericht versterken van je digitale beveiliging.
Elke organisatie zit anders in elkaar; andere processen met vaak andere risico's. Dat maakt een risicoanalyse per organisatie anders. Toch zijn er elementen die in een beleid voor risicoanalyses vaak terugkomen. Gebruik ze als houvast bij de het opstellen van het beleidsdocument voor jouw organisatie.
-
Doel en scope
In het beleidsplan moet worden opgenomen wat het doel en de scope is van je risicoanalyse. De scope van de risicoanalyse bepaalt welke interne stakeholders betrokken zijn bij het uitvoeren ervan. -
Frequentie
Het beleidsplan bevat ook de frequentie waarmee je risicoanalyses uitvoert. Het periodiek uitvoeren van een risicoanalyse kan een vereiste van een certificering of contractuele bepaling zijn. Mocht dit niet het geval zijn, dan is het gebruikelijk dat een risicoanalyse jaarlijks wordt uitgevoerd. -
Rollen
In het beleidsplan moet worden opgenomen bij wie de rollen en verantwoordelijkheden liggen bij het uitvoeren van een risicoanalyse. -
Besluitvorming uitkomsten
Uit de risicoanalyse komen uitkomsten, waaronder geïdentificeerde en geanalyseerde risico’s. Er zijn een vier opties voor de geanalyseerde risico’s: accepteren, oplossen, overdragen en stoppen.
In het beleidsplan stel je vooraf risicoacceptatiecriteria op. Wanneer een risico klein is, kan je besluiten het risico te accepteren. Het is verstandig om voorafgaand aan het uitvoeren van de risicoanalyse alvast deze criteria te bepalen. Zo voorkom je dat hier tijdens de risicoanalyse discussie over ontstaat. -
Effectiviteit en herziening
Het beleidsplan voor het uitvoeren van risicoanalyses moet je periodiek toetsten en herzien. Houd er rekening mee dat er veranderingen zijn opgetreden. Denk bijvoorbeeld aan nieuwe systemen, nieuwe processen, een ander dreigingsbeeld, actuele dreigingen en dus nieuwe risico's die je meeneemt in je herziening.
NIS2-zorgplicht
NIS2-organisaties moeten een beleid en procedures hebben voor het uitvoeren van risicoanalyses. Dat staat in artikel 21 lid 2 sub a.
Bereid je voor op de NIS2
Voor de voorbereiding op de Cyberbeveiligingswet die voortkomt uit de NIS2-richtlijn, vind je hier suggesties, handvatten en aandachtspunten. Omdat de zorgplichtmaatregelen nog niet zijn uitgewerkt in de regelgeving, baseren we de suggesties, tips en handreikingen op wat er gangbaar is in de cybersecuritypraktijk. Het uitvoeren of volgen ervan vergroot de cyberweerbaarheid van je organisatie, maar het is geen garantie dat je organisatie al voldoet aan komende wetgeving.
Relevante links en hulpmiddelen
Hightech bedrijf uit Schiedam is goed voorbereid
Met een geschiedenis van ruim 125 jaar heeft Boers & Co Precision Solutions al behoorlijk wat veranderingen meegemaakt. Het Schiedamse bedrijf ontwerpt en produceert hightech onderdelen en apparaten. Het is inmiddels zo afhankelijk geworden van computers en data, dat het geen enkel risico neemt op het gebied van cyber. Boers & Co heeft een geavanceerd back-upsysteem en doet veel aan bewustwording van medewerkers. Het kiest voor 'safety by design'.
Wat moet je doen bij een risicoanalyse?
Bij het uitvoeren van een risicoanalyse is het aan te raden om te kiezen voor het volgen van een risicoanalyse-framework, zoals bijvoorbeeld ISO 31000, CRAMM of CIS-RAM.
Is dit niet mogelijk, dan staat hieronder een kort stappenplan dat je kunt volgen voor het uitvoeren van een risicoanalyse. Het stappenplan heeft vier stappen:
-
Bepaal wat je wil beschermen
Om je risico’s te identificeren, begin je met het in kaart brengen van je zogenaamde ‘kroonjuwelen’. Dit is wat waarde heeft voor jouw bedrijf. Dit kan van alles zijn. Bijvoorbeeld belangrijke (digitale of financiële) gegevens of systemen, maar ook medewerkers, of omzet. Door in kaart te brengen welke zaken cruciaal zijn voor jouw organisatie en dienstverlening, kun je afwegingen maken om de juiste maatregelen te nemen om deze belangen te beschermen.
-
Identificeer risico’s
Dreigingen kunnen zich richten op de Beschikbaarheid (is jouw organisatie toegankelijk wanneer dat nodig is?), Integriteit (is jouw informatie correct?) of Vertrouwelijkheid (hebben enkel geautoriseerden toegang tot de informatie?) Deze zogeheten BIV-classificatie kun je gebruiken om te bepalen waar de dreigingen zich op richten. Door de dreigingen per te beschermen belang in kaart te brengen, krijg je een duidelijk overzicht van de risico's.
-
Analyseer de risico’s
Dit kan zowel kwantitatief als kwalitatief gedaan worden of zelfs in een combinatie van beiden. Bij een kwalitatief beeld praat je niet direct in cijfers en bedragen. In het geval van een kwantitatief beeld doe je dat wel en kun je formules gebruiken om zowel de kans, als de gevolgschade te bepalen. De uitkomsten van de Bedrijfsimpactanalyse (BIA) kunnen helpen bij het inzichtelijk maken van de kans en schade.
-
Besluit wat je doet met de risico's
Er zijn vier opties:
- Accepteren: je weet dat je een risico loopt maar je accepteert het risico.
- Oplossen of mitigeren: je neemt maatregelen waardoor je het risico zoveel mogelijk beperkt en mogelijk zelfs kunt uitsluiten.
- Overdragen: je verschuift het risico naar een ander door bijvoorbeeld een verzekering af te sluiten.
- Stoppen: je voert de activiteiten waarop je een risico loopt, niet meer uit.
Tip: bewaar de uitkomsten van de risicoanalyse op een beveiligde locatie waar niet iedereen bij kan. Het bevat namelijk gevoelige informatie over je organisatie.
De NIS2-Quickscan
De NIS2-Quickscan is een tool voor organisaties die willen weten hoe zij zich kunnen voorbereiden. Deze scan is met name bedoeld voor IT- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties. De scan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de NIS2.
NIS2-organisaties hebben beleid en procedures om de toegang en rechten voor assets zoals apparaten, servers etc. te beschermen. Daarvoor is nodig dat het personeel bewust is van de veilige omgang met de assets. Ook vraagt het beleid op het verstrekken van toegang tot de assets.
Langdurige uitval van je primaire bedrijfsprocessen is onacceptabel. Een bedrijfscontinuïteitsplan (BCP) helpt om veerkrachtig te zijn bij onverwachte gebeurtenissen zoals stroomuitval, cyberincidenten en -aanvallen. Ook kun je met zo’n plan de impact van verstoringen op de bedrijfsvoering minimaliseren.
De gevolgen van een verstoring, uitval, datalek of cyberaanval kunnen ernstig zijn. Daarom wil je bij een incident adequaat reageren om negatieve gevolgen te beperken. Een Incident Response Plan (IRP) helpt je organisatie hierbij. Incident response is het proces van het beheer en mitigatie.