Effectief beheer van risico’s binnen de cybersecurity vormt de ruggengraat van een succesvol cyberbeveiligingsprogramma voor alle organisaties. Het gaat onder andere over strategieën om de kwetsbaarheid voor digitale dreigingen te verminderen, waarbij slim gekozen maatregelen de kans op een succesvol risicoprogramma verhogen. Dit artikel gaat specifiek in op de verschillende manieren om met risico’s om te gaan: accepteren, beëndigen, overdragen of beperken.
Voor organisaties is het belangrijk om zich bewust te zijn van de verschillende ‘smaken’ om specifieke risicobehandelingsstrategieën toe te passen. Idealiter zijn deze afgestemd op hun operationele context en digitale infrastructuur. Na het identificeren van risico’s en het uitvoeren van risico assessments, waarin dieper wordt ingegaan op een kennissessie georganiseerd vanuit CW Greenport, is het van belang dat deze organisaties beslissen hoe ze met deze risico’s willen omgaan. De keuze van de juiste strategieën hangt af van de specifieke risico’s waarmee een organisatie wordt geconfronteerd, samen met de kans en impact van deze risico’s.
De vier T’s
Het risicobeheerproces begint met het identificeren van mogelijke cybersecurityrisico’s waarmee een organisatie wordt geconfronteerd. Nadat de risico’s zijn geïdentificeerd, worden ze geanalyseerd en geëvalueerd om hun potentiële impact en waarschijnlijkheid te bepalen. Tijdens deze fase worden de vier risicobeheerstrategieën expliciet overwogen en toegepast op elk geïdentificeerd risico. Organisaties bepalen welke strategie het meest geschikt is voor elk risico, rekening houdend met factoren zoals de potentiële schade, de kosten van preventieve maatregelen en de tolerantie voor risico’s. Stappen daarna gaan onder andere over het daadwerkelijk behandelen van risico’s en het monitoren van de restrisico’s.
Door het toepassen van vier strategieën om risico’s te behandelen, kunnen organisaties hun verdediging versterken en hun weerbaarheid verhogen. Als ezelsbruggetje kunnen de vier T’s worden gebruikt: tolerate (accepteren), terminate (beëindigen), transfer (overdragen) en treat (behandelen). Deze vier fundamentele strategieën zijn hieronder toegelicht:
- Risico Accepteren / Tolerate: Deze strategie is passend wanneer de mogelijke schade relatief beperkt is en de kosten om het risico te voorkomen (te) hoog zouden zijn. Bij een lage kans en impact kan een organisatie kiezen om het risico te accepteren en geen verdere actie te ondernemen. Wel wordt dit periodiek beoordeeld om te bepalen of het risico nog steeds geaccepteerd kan worden.
- Risico Beëindigen / Terminate: Als de kans en impact hoog zijn, kan een organisatie besluiten om de activiteit of situatie die het risico veroorzaakt, te vermijden. Dit kan bijvoorbeeld inhouden dat bepaalde activiteiten worden gestopt of dat samenwerkingen met derden worden beëindigd als deze als onveilig worden beschouwd voor de bedrijfsgegevens.
- Risico Overdragen / Transfer: Organisaties kunnen ervoor kiezen om het risico over te dragen aan derde partijen, bijvoorbeeld door middel van verzekeringen. Dit verlegt de financiële consequenties van een eventueel incident naar andere partijen. Belangrijk: uitbesteding an sich is geen voorbeeld van deze strategie. Een bedrijf is nog steeds verantwoordelijk voor het risico.
- Risico Beperken / Treat: Hierbij worden maatregelen genomen om de kans en/of impact van het risico te verminderen. Dit is vaak de meest gekozen. Dit gaat over het implementeren van beheersmaatregelen, zoals het gebruik van antivirussoftware, het opstellen van beleidsdocumenten en het trainen van personeel in bewustwording van cyberdreigingen.
Risico’s behandelen in de praktijk
Om deze strategieën beter te begrijpen, zijn enkele praktijkvoorbeelden opgesteld:
- Risico Accepteren:
- Afvalbeheer: Een organisatie accepteert het lage risico van kleine hoeveelheden snijverlies wat naar voren komt tijdens de productie, omdat de impact minimaal is.
- Kortstondige machine-uitval: Een organisatie met reserveapparatuur accepteert het risico van een tijdelijke onderbreking van de productie als gevolg van stroomuitval, omdat de impact beperkt is doordat de reserveapparatuur ingezet kan worden door bijvoorbeeld het gebruik van een dieselgenerator.
- Risico Vermijden:
- Volledig isoleren van gevoelige systemen: Een organisatie isoleert computersystemen met gevoelige data volledig van externe netwerken om het risico van externe cyberaanvallen te vermijden.
- Het stopzetten van activiteiten: Een organisatie stopt met het geven van toegang op afstand voor medewerkers, waardoor personeel alleen in kan loggen in hun applicaties wanneer ze op kantoor zijn.
- Risico Overdragen:
- Cyberverzekering: Een organisatie sluit een cyberverzekering af om financiële verliezen als gevolg van cyberaanvallen te dekken, waardoor het risico wordt overgedragen aan de verzekeringsmaatschappij.
- Risico Beperken:
- Vulnerability management: Een organisatie implementeert een geautomatiseerd systeem voor kwetsbaarheidsbeheer om softwarekwetsbaarheden regelmatig te scannen en te patchen.
- Bewustwordingstraining: Een organisatiebeperkt het risico van phishing-aanvallen door regelmatige training voor werknemers over het herkennen van verdachte e-mails en links.