Risicomanagement kan ingedeeld worden in de volgende onderdelen: Inventarisatie, Analyse, Behandeling, Evaluatie en Rapportage (Er zijn verschillende termen en interpretaties, maar het lijkt allemaal redelijk op elkaar). Logischerwijs starten we met de inventarisatie (en voorbereiding).

Voorbereiding

Het doel van de voorbereiding is om een goede methode te hebben voordat je begint en een lijst met risico-omschrijvingen om de risicoanalyse mee uit te voeren. Het uitvoeren van een analyse kan namelijk op allerlei verschillende manieren. De methode is niet goed of fout, zo lang het doel maar wordt bereikt: Inzicht in welke risico’s het hoogst zijn. ISO27001 voegt hieraan toe dat het consistente, valide en vergelijkbare resultaten op moet leveren.

Dat is meteen het eerste struikelblok, want als je iets voor het eerst doet, is het lastig om gelijk een consistente en valide methode te definiëren. Een goede risicoanalyse voer je niet zomaar uit. Het helpt als je er ervaring mee hebt, want er komt behoorlijk wat bij kijken qua organisatie en voorbereiding.

Struikelblok 1: Te complexe methode

Nogmaals: Theorie is echt anders dan de praktijk. Risico’s zijn abstract en hele strikte theoretische kaders zorgen dat je in een moeras loopt. Zoals bij elk proces geldt: Begin simpel en houd het simpel. Het is namelijk ook een risico dat je enorm veel tijd spendeert aan vruchteloze discussies die afleiden van het doel: zorgen dat je de juiste maatregelen treft.

Struikelblok 2: Onduidelijkheid over verantwoordelijkheden
(governance)

Als er voor het eerst een risicoanalyse wordt uitgevoerd, is de risico-eigenaar nog niet echt op de hoogte van haar rol. Er zijn weinig risico-eigenaren die direct staan te springen om expliciet de verantwoordelijkheid te nemen voor risico’s. Er zal worden gekeken naar het security-team als eigenaar voor de risico’s, maar dat is meestal niet ideaal. Om een risico te kunnen beheersen is het namelijk nodig dat deze onder verantwoordelijkheid ligt van degene die er iets aan kan veranderen. Soms is dat heel helder en op andere momenten heel lastig. Met name als het een gedeeld risico is, kan er naar elkaar worden gewezen. Daarom is het benoemen van een eigenaar belangrijk. Evaluatie en rapportage zijn vervolgens de tools om de risico-eigenaar betrokken en bewust te houden.  

Struikelblok 3: Onduidelijkheid over definitie
van een risico

Een risico is vaag. Er is geen eenduidige omschrijving van een risico en dat zorgt voor een lastig begin. Blijf niet te lang hangen bij een theoretische definitie, maar gebruik voorbeelden om het duidelijk te maken voor jezelf en anderen. En besef daarbij dat ‘een risico’ eigenlijk als term zorgt voor semantische discussies. Gebruik daarom liever een risico-omschrijving, die bestaat uit:   

• Een dreiging
• Een kwetsbaarheid.
• Informatie of iets anders van waarde voor informatie
• Een gevolg (Meestal verlies van Beschikbaarheid, integriteit of vertrouwelijkheid).

Struikelblok 4: Niet weten waar te beginnen.  

Als je vanaf nul begint met het bedenken van een lijst met risico-omschrijvingen, vergeet je altijd wel iets. Het is fijn om een begin te hebben om je aan vast te houden en van daaruit te verder te werken. Er zijn twee solide manieren om tot een lijst met risico-omschrijvingen te komen: vanuit BIV geredeneerd of vanuit risico-eigenaren/domeinen. Deze laatste is makkelijker om de verschillende risico-eigenaren betrokken te houden én kan je makkelijker opdelen in kleinere sessies. Er zijn bronnen om inspiratie uit te halen, zoals RAVIB en MAPGOOD. MAPGOOD is wel een beetje ouderwets (nadruk op de fysieke wereld) en RAVIB gebruikt niet altijd een consequente opbouw voor de risico-omschrijving.    

Daarom hebben wij ook een lijst gemaakt om mee te starten zie: https://pasquil.nl/wat-doen-we/template-standaard-risicoset/  

Door naar de analyse en de behandeling. De analyse wordt meestal gedaan in een sessie met verschillende stakeholders. De aanwezigen zijn vaak: een risico-eigenaar, inhoudelijke experts en iemand die het coördineert en registreert. Het is fijn als iedereen erbij kan zijn, omdat dit zorgt voor verschillende invalshoeken en een gezonde discussie met de belanghebbenden. Dit werkt ook echt het beste offline, want met veel mensen tegelijk iets willen zeggen, is lastiger in een call. Als deze randvoorwaarden er zijn, is er nog steeds van alles waar je tegenaan kan lopen. Laten we de belangrijkste struikelblokken van de risicoanalyse en behandeling doornemen.

Struikelblok 1: Bruto- en netto risico

Soms zien we nog het gebruik van bruto en netto risico. Dit bestaat alleen theoretisch, want een bruto risico (zonder maatregelen) is eigenlijk niet meer denkbaar, omdat veel maatregelen standaard geregeld zijn. Plus: Wat heb je eraan? Beter is om gebruik te maken van:

• Initieel risico’, De score de je hebt als je de eerste analyse doet.
  
• ‘Huidig risico’, De actuele score van het risico, die lager is dan initieel, zodra je enkele maatregelen hebt genomen (Is gelijk aan ‘initieel’ op het moment dat je voor het eerst de risicoscore uitvoert).
• ‘Verwacht restrisico’,  De risicoscore waar je naartoe wil gaan met de voorgestelde maatregelen.

Hier kan je ook gelijk schitterend over rapporteren en de voortgang laten zien naar het management.

Struikelblok 2: Verkeerd detailniveau van de risico-omschrijving

In de vorige post gaven we al aan wat een goede opbouw is voor een risico-omschrijving. Het is nu goed om in te zoomen op wat semantiek. Er worden vaak termen verkeerd gebruikt, wat verwarrend werkt. Er is niet één definitie van een risico. Daarom maken wij ook liever gebruik van wat extra duiding om duidelijk te maken waar we het over hebben, zoals: “risico-omschrijving”, “risico-score” en “risico-behandeling”. Maar goed, die risico-omschrijving, wat kan daar fout gaan? Het detailniveau is meestal hetgeen waarover je struikelt. Het kan namelijk te hoog of te laag zijn. Misschien klinkt dat wat vaag, daarom geven we even wat voorbeelden.

Een te laag detailniveau is:

“Datalek”

 Een te hoog detailniveau is:

 “Doordat Jan vorige week vrijdag op een phishingmail had geklikt en op dat moment zijn HP Probook niet opnieuw had opgestart waardoor de update van Windows 11 business nog niet was uitgevoerd en de 16-jarige Finse hacker Jari toegang kreeg tot zijn OneDrive, wat had opgemerkt kunnen worden als het SOC-team niet net een team-uitje had en waardoor dus de sollicitatiebrief en het cv van Annie nu op straat ligt.”

 Ergens daartussenin ligt een optimum. Eigenlijk is het beste om zo abstract mogelijk te houden, maar net genoeg detail dat het mogelijk is voor de deelnemers van de sessie om in te schatten wat de kans is dat het scenario zich voordoet en wat de impact is als het optreedt.

 Maar eerlijk gezegd, dit blijft altijd enorm lastig!

Struikelblok 3: Afhakende deelnemers

Tja, het vorige struikelblok maakte al wat duidelijk: het is niet hele concrete materie en ook gewoon moeilijk. Een risicoanalyse sessie is heel lastig voor mensen die houden van binariteit (bijvoorbeeld IT’ers). Maar eigenlijk wordt bijna niemand gelukkig om anderhalf uur over ‘wat als’ te praten, ook nog omdat het allemaal negatieve scenario’s zijn. Dat is dus het volgende struikelblok, het is niet eenvoudig om iedereen bij de les te houden en de sessie een beetje jeu te geven. Een goede voorbereiding helpt en ook de manier waarop de sessie wordt geleid. Houd het luchtig, gebruik wat humor, neem een pauze en laat een sessie niet langer duren dan 2 uur. Als je meer tijd nodig hebt, plan dan gewoon een vervolg in!

 
Struikelblok 4: Administratieve last

De analyse en het abstracte denken kost een hoop denkkracht (dus die max 2 uur is al heel veel). En weinig mensen zijn gezegend met zoveel extra RAM, dat er ook nog op hetzelfde moment soepele administratie kan worden gedaan van de sessie. Dat is ook meteen het nadeel van deze analyses in Excel, daar ben je veel heen en weer aan het scrollen, de juiste kolom of cel aan het zoeken en is niet echt gemaakt om tekst in te verwerken. Hierin kan de juiste tool, zoals Risqui, je ontlasten. Wat ook al helpt is om niet alleen de sessie te begeleiden en te schrijven/administreren.

Struikelblok 5: Te veel maatregelen

De risicoanalyse heeft alsdoel dat je identificeert welke maatregelen nog moeten worden getroffen. Het is goed om inzicht te hebben welke maatregelen er al zijn en er een motivatie voor te hebben. Maar maak het jezelf niet te moeilijk. Bij bijna alle risico’s kan je bijvoorbeeld ‘bewustwording’, ‘informatiebeveiligingsbeleid’ en ‘rollen en verantwoordelijkheden’ toevoegen als maatregel. Maar dan ben je alleen maar onnodig aan het typen. Houd dus de focus met name op aanvullende maatrelen. Dat is ook het belangrijkste bij het volgende struikelblok.

Struikelblok 6: Lage risico’s toch nog reduceren

Risicogebaseerd werken is keuzes maken. Dat betekent dat je lage risico’s met rust moet laten en echt eerst de focus moet leggen op de hogere. Accepteer in de eerste ronde alles wat laag genoeg is, en laat je niet afleiden door nog allerlei maatregelen te verzinnen voor deze risico’s. Die kan je vanzelf bij evaluaties een keer gaan oppakken.

Struikelblok 7: Koppeling behandelplan naar acties en verklaring van toepasselijkheid

Het laatste struikelblok is het leggen van een koppeling tussen de risicoanalyse, het behandelplan en de eventueel verklaring van toepasselijkheid. Het is allereerst veel handmatig, saai en foutgevoelig werk. Je wilt natuurlijk goed overzicht kunnen houden op de maatregelen die je nog getroffen moeten worden. Dus fouten kunnen echt heel kostbaar zijn. Daarnaast is het zonde van je kostbare tijd. Je kan dit automatiseren als je gebruik maakt van een tool die dit voor je doet. Risqui kan dit, geeft de prioriteit weer van de maatregelen en zorgt ook gelijk voor een automatische verklaring van
toepasselijkheid.

In dit hoofdstuk gaan we het hebben over de evaluatie en rapportage. De meeste organisaties komen nooit aan dit deel toe of hebben de grootste moeite om dit goed uit te voeren, terwijl dit deel juist de grootste meerwaarde oplevert van al het eerdere werk wat je erin hebt gestopt! Dat veel organisaties hier niet aan toe komen heeft verschillende oorzaken. Het komt meestal door eerder gemaakte fundamentele keuzes en vergelijkbare struikelblokken (zie daarvoor ook Hoofdstuk 1 & 2). We zullen de struikelblokken wederom één voor één aflopen.

Struikelblok 1: Geen zicht op de huidige risico-score en
geen inzicht in verbetering over tijd.

Een risico is niet statisch, maar verandert (hopelijk!) gedurende de tijd. Dit kan bijvoorbeeld door externe factoren:

• Verandering in dreigingen.
• Nieuwe kwetsbaarheden.
• Nieuwe klanten.
• Verandering in wetgeving.

Of bijvoorbeeld door interne factoren:

• Het implementeren van een maatregel!
• Het wegvallen een maatregelen of als na controle blijkt dat een maatregel niet goed is geïmplementeerd.
• Een organisatieverandering.
• Evaluatie van kans of impact n.a.v. een incident.

Risico’s veranderen dus. Helaas gebruiken veel organisaties een statische Excel als risicolog en werken deze (vrijwel) niet meer bij. Dit zorgt ervoor dat je geen inzicht hebt in de actuele risico’s en waarschijnlijk niet bezig bent met het mitigeren van de hoogste risico’s. Als je goed risico’s wil managen, moet je een ‘actuele’ score van het risico hebben. Daarbij wil je ook de verandering over tijd meenemen, om zo inzichtelijk te maken (voor jezelf en voor het management) of het juiste gebeurt: hoogste risico’s verlagen.

Struikelblok 2: Geen duidelijke verantwoordelijkheid voor
risico’s

Hoe ga je risico’s evalueren als je geen helderheid hebt wie er verantwoordelijk is. De verantwoordelijke moet iets doen met het risico en daar dus ook het oncomfort van voelen. Expliciet maken van de verantwoordelijkheid en de eigenaar ook aanspreken op de voortgang en verantwoordelijkheid zorgt voor management commitment. Belangrijk is dat de eigenaar iemand moet zijn die de middelen heeft om het risico te managen. Hierbij moet je al snel denken aan het iemand uit het managementteam of directie. Uiteraard helpen inhoudelijke experts de risico-eigenaar bij het mitigeren van het risico, maar die kunnen nooit eigenaar zijn van het risico. Wel actiehouder van een actie om een maatregel te implementeren.

Struikelblok 3: Geen rapportageproces.

Om de risico-eigenaar betrokken te houden (lichtelijk oncomfortabel) is het noodzakelijk om blijvend te rapporteren op de risico. Een rapportage voor management moet simpel zijn. Niet te veel detail, maar inzoomen op hoge risico’s die aandacht behoeven. Door ook te rapporteren over het verloop van risico’s over tijd, wordt voortgang inzichtelijk gemaakt. Dat motiveert enorm en laat eenvoudig zien dat er de goede kant op wordt bewogen. Zo kom je in een positieve flow en loop je niet vast in een moeras van negativiteit.

Struikelblok 4: Evaluatie kost te veel tijd.

De evaluatie van de risico’s moet veel minder tijd kosten dan de initiële analyse. Als je elke keer de hele analyse gaat doorploegen, zullen de risico-eigenaren afhaken. Kijk in plaats daarvan naar het verschil in de context van het ISMS en welke incidenten er zijn geweest. Bereid de evaluatie voor met eventuele aanpassingen en mogelijke verbeteringen voor de risico’s. Tijdens de evaluatie moet je vooral focussen op de hogere risico’s, eventuele nieuwe risico’s en controleren of de huidige scoren van de hogere risico’s zijn veranderd. Veranderingen in lage risico’s komen alleen voort uit verandering in de context, zoals een ander dreigingsniveau ofinzicht door incidenten.

Struikelblok 5: Rapportage opstellen kost te veel tijd

Het laatste struikelblok is dat rapportage arbeidsintensief is. Het is zo’n taak voor een CISO/ISO die snel ondergesneeuwd raakt door andere urgente zaken. Terwijl juist de rapportage fundamenteel is voor management commitment. Hoe groter de organisatie, hoe lastiger het is om een goed overzicht te houden en eenvoudig te kunnen rapporteren. Tooling, zoals Risqui, kan je hierbij helpen.

En met risicorapportage als laatste stap in het proces, zijn we aan het eind gekomen van de tips en tricks.