.svg)
Informatiebeveiligingsrisicobeheer is een essentieel onderdeel van het opbouwen van effectieve beveiliging, maar in de praktijk schiet het vaak tekort. We weten dat dit niet komt doordat organisaties risico's volledig negeren. Vaker is het zo dat risicobeheer weliswaar in de processen is opgenomen, maar niet als leidraad dient voor daadwerkelijke beslissingen.
Om te begrijpen waar teams moeite mee hebben, is het nuttig om eerst te begrijpen wat informatiebeveiligingsrisico's zijn en waarom informatiebeveiligingsrisicobeheer zo belangrijk is. Nadat we de basisprincipes hebben begrepen, is het tijd om te kijken naar de meest voorkomende manieren waarop risicobeheer in de praktijk faalt, hoe u de signalen kunt herkennen en hoe teams hun koers kunnen wijzigen om tot beter risicobeheer te komen.
1. Risicobeheer behandelen als een eenmalige exercitie
Risicobeheer wordt vaak behandeld als een eenmalige exercitie, die doorgaans één keer per jaar vlak voor een audit wordt uitgevoerd . Er wordt een formele risicobeoordeling uitgevoerd, gedocumenteerd en vervolgens onaangeroerd gelaten tot de volgende auditcyclus. Ondertussen evolueert het bedrijf, worden nieuwe tools geïntroduceerd en veranderen de werkwijzen, maar de risico's blijven hetzelfde.
Je merkt dit zelfs aan de al te bekende gedachte: "We zullen dit volgend jaar bijwerken."
Om van koers te veranderen, moet risicobeheer continu en gebeurtenisgestuurd zijn. Risico's moeten opnieuw worden bekeken wanneer er iets verandert in de organisatie, niet alleen wanneer de kalender aangeeft dat het tijd is. Zo blijven risicobeoordelingen relevant en worden veiligheidsbeslissingen gebaseerd op de realiteit van vandaag, niet op aannames van vorig jaar.
2. Te veel aandacht voor documentatie, te weinig voor beslissingen
Risicomanagement legt vaak meer nadruk op documentatie dan op besluitvorming. Teams stellen verzorgde risicoregisters en gedetailleerde beschrijvingen op, maar het is onduidelijk wat er daadwerkelijk anders moet worden gedaan als gevolg daarvan. Er ontstaan problemen wanneer acties niet duidelijk zijn gedefinieerd, er geen keuzes worden gemaakt en er geen follow-up plaatsvindt. Het bekende teken is dat risicomanagement documenten oplevert, geen resultaten.
Risicobeheer moet bestaan om beslissingen te ondersteunen. Documentatie moet teams helpen bij het maken en bijhouden van keuzes, in plaats van deze te vervangen.
3. Alle risico's zijn uiteindelijk 'hoog'.
Het gebeurt gewoon te vaak dat elk geïdentificeerd risico uiteindelijk als hoog wordt geclassificeerd. Er is geen echte prioritering mogelijk en risicoscores verliezen hun betekenis, waardoor het management uiteindelijk geen duidelijke basis heeft voor besluitvorming, wat ons weer terugbrengt bij het probleem uit het vorige punt. Als alles urgent is, is niets echt urgent.
Dit is een teken dat het risicomodel niet echt helpt. Prioritering moet afwegingen mogelijk maken, waarbij duidelijk wordt aangegeven welke risico's onmiddellijke aandacht vereisen en welke later kunnen worden aangepakt.
4. Geen duidelijke risicotoewijzing
Een ander veelvoorkomend probleem is onduidelijkheid over wie verantwoordelijk is voor risico's. Risico's worden vaag toegewezen aan 'IT' of 'beveiliging', zonder dat er één persoon verantwoordelijk is voor beslissingen. Risicoacceptatie gebeurt informeel, als het al gebeurt, en niemand kan met zekerheid zeggen wie verantwoordelijk is voor een bepaald risico.
Om hiermee verder te gaan, moet elk risico een echte eigenaar hebben, iemand die de context begrijpt en de bevoegdheid heeft om de nodige beslissingen te nemen.
5. Beslissingen over risicobeheer zijn niet expliciet
Soms is het onduidelijk welke beslissing er daadwerkelijk is genomen over een risico. Er worden controles ingesteld, maar niemand heeft duidelijk aangegeven waarom daarvoor is gekozen. Risicoacceptatie wordt niet gedocumenteerd en het restrisico wordt niet geëvalueerd. Er wordt gewerkt aan beveiliging, maar het risico blijft bestaan.
Risicobeheer werkt beter wanneer risicobeheersing wordt behandeld als een duidelijke beslissing en als zodanig wordt vastgelegd, in plaats van als een veronderstelling te worden beschouwd.
6. Risicobeheer staat los van de dagelijkse bedrijfsvoering
Risicobeheer moet een integraal onderdeel zijn van het dagelijkse werk. Maar in de praktijk worden nieuwe systemen vaak gelanceerd zonder risicobeoordeling, worden leveranciers zonder beoordeling aan boord gehaald en worden veranderingen helemaal niet aan een risicobeoordeling onderworpen. Risico's komen uiteindelijk alleen in beveiligingsdocumenten naar voren.
Hoe kan dit worden veranderd? Risicobeheer moet worden geïntegreerd in de dagelijkse bedrijfsvoering, zodat risicodenken automatisch wordt geactiveerd wanneer er iets verandert.
7. Te veel risicobeheersingsmaatregelen
We hebben veel besloten, maar er is eigenlijk niets veranderd.
In risicoworkshops komen teams vaak meerdere maatregelen overeen. Op papier ziet alles er proactief uit, maar zodra het dagelijkse werk weer begint, worden de meeste maatregelen nooit uitgevoerd. De follow-up vervaagt en er verandert eigenlijk niets.
Dit betekent meestal dat er te veel acties zijn. Minder, goed gekozen risicobeheersmaatregelen zijn veel effectiever dan lange lijsten die nooit worden afgewerkt.
8. Risico's zijn te algemeen om er iets mee te kunnen doen
Sommige risico's worden zo algemeen beschreven dat het onmogelijk is om er iets aan te doen. Termen als 'datalek', 'systeemstoring' of 'cyberaanval' geven geen uitleg over wat er daadwerkelijk zou gebeuren, hoe dit zou kunnen gebeuren of wat de gevolgen zouden zijn. Goed risicobeheer richt zich op realistische scenario's die mensen kunnen begrijpen en waarop ze kunnen reageren, in plaats van op abstracte termen voor bedreigingen.
9. Naleving stimuleert risicobeheer in plaats van andersom
In sommige organisaties bepaalt compliance uiteindelijk de risicoprioriteiten. Framework-checklists sturen beslissingen, risico's worden reverse-engineered om aan controles te voldoen en opkomende bedreigingen worden over het hoofd gezien. De aanname wordt: "We voldoen aan de regels, dus we moeten wel veilig zijn."
Risicobeheer moet als leidraad dienen voor compliance, en mag er niet door worden beperkt.
10. Geen leercirkel uit ISMS-werkzaamheden
Ten slotte ontbreekt het bij veel organisaties aan een leercirkel in hun risicobeheer. Incidenten worden afzonderlijk behandeld, auditbevindingen leiden niet tot een actualisering van de risico's en feedback van medewerkers wordt niet meegenomen in beoordelingen. Als gevolg daarvan blijven dezelfde problemen zich in de loop van de tijd herhalen.
Dit zou andersom moeten werken: risicobeheer moet voortdurend leren van incidenten, audits en praktijkervaringen om relevant en effectief te blijven.
Waar moet je dus op letten?
De meeste mislukkingen op het gebied van informatiebeveiligingsrisicobeheer komen niet voort uit het volledig negeren van risico's. Ze komen voort uit risicobeheer dat te zwaar is, te ver afstaat van het dagelijkse werk of te veel gericht is op documentatie in plaats van op beslissingen.
Goed risicobeheer is praktisch. Het helpt mensen keuzes te maken, in plaats van alleen maar sjablonen in te vullen. Het is continu, gemakkelijk bij te werken en nauw verbonden met de manier waarop de organisatie daadwerkelijk functioneert. Wanneer risicobeheer goed wordt uitgevoerd, ondersteunt het prioritering, leren en duidelijke verantwoordelijkheid. Het maakt risico's op het juiste moment zichtbaar en helpt teams zich te concentreren op wat echt belangrijk is – niet alleen op wat er op papier goed uitziet.
Door deze principes in gedachten te houden, wordt het veel gemakkelijker om risicobeheer te veranderen van een formele vereiste naar een echte drijfveer voor betere informatiebeveiliging.
