In januari publiceerde de Rijksoverheid nieuwe richtlijnen voor risicomanagement in digitale ketens. Die helpen organisaties om beter om te gaan met risico’s zoals cyberaanvallen, menselijke fouten en systeemkwetsbaarheden. Hoewel bedoeld voor rijksketens, bieden ze ook waardevolle inzichten voor gemeenten. Wat betekenen deze richtlijnen in de praktijk? In dit drieluik verken ik de documenten en hun samenhang. In dit derde en laatste deel laat ik zien hoe je het beleid vertaalt naar de praktijk.
Risico’s, kwetsbaarheden en incidenten
Eerst een gedeelde betekenis van de basisbegrippen
Een goed begin van risicomanagement is het hanteren van duidelijke basisbegrippen. Door termen goed te begrijpen, kun je risico’s namelijk beter herkennen en aanpakken. Want wat bedoelen we precies met risico’s, kwetsbaarheden en incidenten?
- Een kwetsbaarheid is een zwakke plek: een ontbrekende of slecht werkende maatregel die normaal gesproken je informatie zou beschermen. Bijvoorbeeld een verouderd systeem zonder updates, of onduidelijke autorisatiestructuren. Let op: er wordt hier dus een bredere definitie gehanteerd dan (alleen) een kwetsbaarheid in software.
- Een risico ontstaat wanneer er sprake is van een dreiging én een kwetsbaarheid, in combinatie met een kans dat er iets misgaat. Bedreigingen zonder reële kans vormen geen risico en hoef je ook niet als risico mee te nemen in je analyse.
- Een incident is wat er gebeurt als het risico werkelijkheid wordt. Denk aan een ransomware-aanval, een datalek of een storing in een kritiek systeem.
Dit onderscheid helpt om gericht te werken: niet alles wat spannend klinkt, is per definitie een risico dat aandacht nodig heeft. En niet elk risico leidt direct tot een incident, maar je wilt er wel op voorbereid zijn. Je kunt ook de uitleg hanteren van het Cyberwoordenboek.
"Een goed begin van risicomanagement is het hanteren van duidelijke basisbegrippen. Door termen goed te begrijpen, kun je risico’s namelijk beter herkennen en aanpakken."
Handreiking risicomanagement
Begin deze maand publiceerde de Informatiebeveiligingsdienst een nieuwe handreiking op het gebied van risicomanagement, als onderdeel van het BIO2 ondersteuningsprogramma. Ik raad je aan deze handreiking aandachtig te lezen. Zo wordt er ingegaan op de rollen en verantwoordelijkheden in relatie tot risicomanagement en wordt er een nieuwe methode voor de risicoanalyse uitgediept: de Business Model Canvas. Uiteraard kan je er ook voor kiezen je bestaande methode te blijven hanteren, zoals MAPGOOD.
De handreiking legt ook nadrukkelijk de link met het Information Security Management Systeem, waarover ik al eerder een blog schreef. Er zit ook een aantal bijlagen bij deze handreiking, maar die zijn wel echt gericht op gemeenten. De andere overheidslagen zullen hier niet zoveel aan hebben. Maar werk je voor een gemeente? Dan zal je blij zijn dat de eerder geïdentificeerde 11 kritieke gemeentelijke processen zijn uitgewerkt in voorbeeld risicolijsten. Ook vind je in de bijlagen uitgebreide informatie over de (nieuwe) methode.
De handreiking van de Informatiebeveiligingsdienst kwam beschikbaar na het schrijven van dit drieluik over risicomanagement.
Informatiemanagement en eigenaarschap
De veelgehoorde en noodzakelijke randvoorwaarde(n)
Om risico’s goed te kunnen analyseren, moet je weten met welke informatie je te maken hebt:
- Welke informatie speelt een rol?
- Hoe gevoelig is die informatie? (Beschikbaarheid, Integriteit, Vertrouwelijkheid)
- In welke systemen staat deze informatie?
- Wie werkt ermee en wie bepaalt wat ermee mag gebeuren?
Goed informatiemanagement begint bij overzicht én eigenaarschap. De handreiking stelt dat eigenaarschap het beste belegd kan worden bij lijnmanagers, omdat zij het mandaat hebben om keuzes te maken. Zij moeten weten wie toegang heeft tot informatie, waarom, en wat de risico’s zijn bij verlies of misbruik. Eigenaarschap is overigens niet alleen formeel, het gaat er ook om dat de eigenaar verantwoordelijkheid pakt en actief betrokken is bij het beheer van risico’s rond zijn of haar informatie. Als deze betrokkenheid (nog) niet vanzelfsprekend is, kan dit alleen effectief worden gestimuleerd wanneer er vanuit hoger management actief op wordt gestuurd. Een CISO of risicomanager kan hier in zijn eentje weinig in betekenen.
Actoren en dreigingen
Je hoeft gelukkig niet alles zelf te bedenken
Vervolgens kijk je naar wie of wat het risico kan veroorzaken, ook wel de actoren genoemd. Dat kunnen medewerkers zijn, leveranciers, hackers, ketenpartners of zelfs fysieke gebeurtenissen zoals stormschade of brand. Het is slim om tijdens een risicoanalyse te werken met een lijst van mogelijke dreigingen. Dit helpt om gestructureerd te werken en niets over het hoofd te zien. Handige bronnen om zo’n lijst samen te stellen zijn onder andere:
- ENISA Threat Landscape – actueel overzicht van dreigingen in Europa.
- MITRE ATT&CK – bekende databank met aanvalstechnieken.
- VNG-risicoanalyse methode – speciaal toegespitst op gemeenten.
- Risicoanalyse voor informatiebeveiliging – koppeling tussen dreigingen en controls
- Dreigingsbeelden – zoals het Cybersecurity Beeld Nederland (CSBN)
Bedenk bij elke dreiging wat de mogelijke schade zou zijn voor de beschikbaarheid, integriteit of vertrouwelijkheid van informatie. Dat helpt bij het bepalen van prioriteiten.
Het inschatten van kans en impact
Goed nieuws, ook hier hoef je niet bij nul te beginnen
De risicomatrix is een veelgebruikt hulpmiddel bij het inschatten van risico’s. Daarmee beoordeel je risico’s op twee punten: hoe waarschijnlijk is het dat iets gebeurt (= kans), en wat is de impact als het gebeurt? De handreiking laat zien waarom een matrix niet altijd ‘symmetrisch’ hoeft te zijn. Dat betekent dat een risico met een kleine kans maar grote impact, niet per se hetzelfde gewicht krijgt als een risico met een grote kans maar kleine impact. Let wel op: verander de matrix niet zomaar, want dat kan eerdere risicoanalyses ondermijnen. De kans- en impactanalyse ziet er als volgt uit:
- Kans: Bij het bepalen van de kans kijk je onder andere naar: wie of wat het risico veroorzaakt, heeft deze actor de middelen, kennis en motivatie en is er sprake van spontane oorzaken, zoals natuurverschijnselen of technische defecten?
- Impact: Bij het bepalen van de impact is het belangrijk om per categorie (beschikbaarheid, integriteit, vertrouwelijkheid) duidelijke niveaus van schade af te spreken. Dit maakt het makkelijker om tijdens een analyse het juiste niveau te bepalen. Voor de impact bepaal je per BIV-component het mogelijke gevolg. Bijvoorbeeld: als een bepaalde applicatie uitvalt, geeft dit dan een paar uur problemen of ligt er dagenlang een ketenproces stil? Die inschatting is belangrijk om de juiste maatregelen te kiezen.
De Informatiebeveiligingsdienst heeft een volledige uitwerking van beide begrippen gemaakt en beschikbaar gesteld voor gemeenten. Het is natuurlijk ook buiten de lokale overheid te gebruiken.
Scenario’s, maatregelen en monitoring
Soms helpt het om meerdere kleine incidenten te combineren tot een scenario. Denk aan meerdere zwakke plekken in een keten die samen kunnen leiden tot een grote verstoring. Door zulke scenario’s op te stellen, krijg je een realistischer beeld van wat er écht kan gebeuren. De uitkomsten van je analyse leg je vervolgens vast in een risicoregister. Daarin houd je onder andere bij:
- Welke risico’s zijn er?
- Welke maatregelen zijn afgesproken?
- Wie is waarvoor verantwoordelijk?
- Wanneer moet iets geëvalueerd of herzien worden?
De maatregelen zelf kunnen technisch, organisatorisch of mensgericht zijn. Belangrijk is dat ze aansluiten bij de oorzaken en gevolgen die in de risicoanalyse zijn vastgesteld. Goede bronnen voor maatregelen zijn onder andere de ISO 27002, BIO, NIST SP 800-53 en de Critical Security Controls.
Tot slot is monitoring essentieel: worden ze daadwerkelijk uitgevoerd zoals bedoeld en hebben ze het gewenste effect? Hiervoor kun je toets-instructies opstellen afgestemd op je organisatie, eventueel per maatregel. Spreek ook af hoe je de resultaten met elkaar deelt. Zo houdt je overzicht en kun je continu blijven verbeteren. Vanuit de Cyberbeveiligingswet (Cbw) komt er immers ook een verplichting om de effectiviteit van maatregelen te meten.
"Eigenaarschap is overigens niet alleen formeel, het gaat er ook om dat de eigenaar verantwoordelijkheid pakt en actief betrokken is bij het beheer van risico’s rond zijn of haar informatie."
Conclusie
En een podcast tip
Wat deze handreiking waardevol maakt, is dat je er direct mee aan de slag kunt. Of je nu bij een ministerie werkt, een uitvoeringsorganisatie of een gemeente, het helpt je om risico’s gestructureerd aan te pakken. Door duidelijk te maken wat een risico precies is, wie waarvoor verantwoordelijk is en hoe je risico’s stap voor stap in kaart brengt, maak je jouw organisatie of keten weerbaarder. De sleutel tot succes zit in samenwerking, eigenaarschap en blijven monitoren. Risicomanagement is geen checklistje dat je één keer invult, maar een levend proces dat vraagt om aandacht en actie.
Ik hoop dat je met mijn eerdere blog over het ISMS en dit drieluik over risicomanagement voor jezelf helder hebt wat je volgende, te nemen stappen zijn. Eventueel kan je ook nog deze podcast aflevering over risicomanagement luisteren.
