Veelgestelde IT Risk Management vragen (en antwoorden)

Het antwoord op je vragen over IT Risk Management. Verrijk je kennis.

Durf2Control

Stevige basis

IT Risk Assessment

IT Security Office

Monitoring & Rapportage

Hoe zet je een stevige basis neer voor IT Risk Management?

Een stevige basis voor IT risk management is de eerste stap van het Durf2Control programma. Alles wat je gaat doen heeft een stevige basis nodig, dus ook wanneer je risico's wilt beheersen. Dat begint met het uitwerken van het risk management systeem. Handig om dat vast te leggen in je (nieuw te schrijven) risk en compliance beleid. Daarin hoort ook een stuk governance in thuis: de rollen, verantwoordelijkheden en verwachtingen van elkaar in het risk management proces.

Naast het risk management proces is het ook belangrijk voor een stevige basis om duidelijk te krijgen (en te houden) wat de scope is, zodat iedereen weet van welke data en systemen de risico’s worden beheerst. Een architectuurplaatje helpt daar uiteraard bij. Voor ieder systeem en voor alle data is het fijn als de eigenaar bekend is en welke classificatie een systeem of stukje data heeft. Is het vertrouwelijk of zeer vertrouwelijk? Het kan natuurlijk ook gewoon openbaar zijn.

Hoe krijg je een overzicht van alle IT risico’s?

Een overzicht van alle it risico krijg je in de tweede stap van het Durf2Control programma. Op de stevige basis kan nu gewerkt worden met de risico’s. Maar welke risico’s zijn voor jou het belangrijkst om aan te pakken? Daarvoor moet je een overzicht krijgen van al jouw risico’s. Er zijn twee processen waarmee je jouw lijst van belangrijke risico’s bepaalt:

1) Door het houden van risk assessments ga je met de organisatie een lange lijst van mogelijke risico’s af en je zoekt samen naar nieuwe risico’s waardoor je samen tot een lijst van actuele onderkende risico’s komt;

2) Door gebruik te maken van best practices die een volledige lijst bevatten van veel voorkomende risico's (risico op ongeautoriseerde toegang, risico op onderscheppen van berichten etc).

De eerste methode, het houden van assessments, zijn het leukste natuurlijk want daarvoor mag je afspraken maken met allerlei afdelingen en ga je samen op zoek naar de juiste risico’s om te beheersen. Dat levert altijd hele interessante informatie op. De tweede methode is heerlijk rustgevend, want die geven het gevoel alles overzichtelijk bij elkaar te hebben. DIt klopt natuurlijk nooit precies want een best practice is verre van een maatpak. En dat is toch wel een van de 8 onderdelen die risk management effectief maakt.

Hoe bouw je een Risk Management systeem?

Een risk management systeem bouw je in de derde stap van het Durf2Control programma. Zodra de stevige basis is gelegd en de risico’s inzichtelijk zijn gemaakt, wordt het tijd om ze te gaan beheersen door een systeem in te richten waarbij je de volgende zaken op orde krijgt:
‍
1) Risico’s
2) Controls
3) Testen
4)Verbeterplannen
‍
Hierbij biedt een Information Security Office uitkomst. Deze kan al de bovengenoemde onderdelen bijhouden in het IT control framework.

Hoe kan ik IT Risk Management succesvol implementeren?

De vijf fases om het risk management proces in te richten: Integratie, Ontwerp, Implementatie, Evaluatie, Verbetering. Deze stappen doorloop je ieder jaar opnieuw. Dit zijn dus niet vijf fases om risico’s te beheersen. Hoe je de risico’s zelf beheerst in vier stappen lees je in het Gouden Handboek dat je hier kunt downloaden.
‍
1. Integratie
Iedereen in een organisatie is verantwoordelijk voor het beheersen van risico's. Maar iedereen is anders, geen enkele organisatie is hetzelfde. Om risicomanagement in te richten moet daarom vooraf helder zijn wat de bestaande organisatiestructuren zijn. Denk hierbij aan de governance inrichting, leiderschap en betrokkenheid, strategie, doelstellingen en activiteiten.

2. Ontwerp
Bij het ontwerpen van het risk management programma zijn er 4 essentiële elementen van belang:a. Goed begrijpen hoe de organisatie in elkaar steektb. Uitgesproken betrokkenheid van directie en toezichthoudersc. Toewijzen van rollen en verantwoordelijkheden van het risk management procesd. Goede communicatie naar en adviezen van de organisatie
‍
3. Implementatie
Risk management inrichten is een project, met een heus projectplan met alle acties die genomen moeten worden, beslissingen die genomen moeten worden en heel veel duidelijke communicatie.

4. Evaluatie
Zodra je risk management hebt ingericht zul je periodiek, ieder jaar bijvoorbeeld, even terug moeten kijken om te zien of je risk management goed werkt. Ook vooruitkijken is belangrijk, levert de risk management jou op wat je nodig hebt om risico’s te beheersen zodat de organisatie haar doelen kan gaan bereiken?

5. Verbetering
Alles is aan verandering onderhevig, dus ook het framework. Na evaluatie zal het proces aangepast moeten worden om het te laten passen als een maatpak.

Hoe krijg je draagkracht en borging voor IT Risk Management?

Draagkracht en borging voor IT Risk Management krijg je door het tonen van leiderschap en betrokkenheid. Alleen zo integreer je risicobeheer in alle onderdelen van de organisatie. Waar moet je als leiding dan bij betrokken zijn?

1) Uitvoering van alle stappen van risk management;
2) Afgeven van een verklaring of beleid met daarin de risicobeheeraanpak of -plan;
3) Toewijzen van de nodige middelen om risico’s te beheersen;
4) Toewijzen van autoriteit, verantwoordelijkheid en verantwoording op passende niveaus binnen de organisatie.

Wat is een risk en compliance beleid?

Een risk en compliance beleid is een beleid waarin is vastgelegd welke methodiek je aanhoud voor het beheersen van risico’s en hoe je zorgt dat je voldoet aan de wet- en regelgeving. Hoe ingewikkeld je het kan maken laten we graag over aan dikke management boeken, uiteindelijk komt het neer op dezelfde stappen die we nemen in het gouden handboek: Plan Do Check and Act. Download het gouden handboek gerust als je wilt weten hoe je deze vier stappen zelf ook kunt zetten om IT risico’s te beheersen.

Hoe schrijf je een InformatieBeveiligingsBeleid (IBB)

Een InformatieBeveiligingsBeleid schrijf je door op hoofdlijnen de richting aan te geven hoe informatiebeveiliging ingericht moet zijn voor de organisatie. Het gevaar is hierbij dat er een beleid geschreven wordt met daarin alle details van security. Dat is niet de bedoeling, het beleidsstuk moet juist op het hoogste niveau van de organisatie worden vastgesteld. De uitwerking op specifieke onderwerpen kan dan op een lager niveau plaats vinden zoals in procedures of baselines. Het beleidsstuk moet juist inzicht geven hoe de security bijdraagt aan de doelstellingen van de organisatie. Daarom is het belangrijk om juist richtinggevende uitgangspunten te zijn in plaats van concrete instellingen. Zo is het slim om te borgen dat authenticatiemethoden worden gebruikt om ongeautoriseerde toegang tegen te gaan in plaats van dat een wachtwoord 8 karakters lang moet zijn.

Aansluiten bij al bestaande processen binnen de organisatie maakt het IBB efficiënt. Stel dat er al een kwaliteitsafdeling is om processen te borgen, dan is het verstandig om daar op aan te sluiten.

Welke IT Risk Management frameworks zijn er?

Wat is het ISO27001 framework?
Het ISO27001 framework bevat een basis van beveiligingsmaatregelen die toepasbaar is voor veel bedrijven. Het framework zelf staat in de bijlage, omdat het bij ISO juist gaat om het risk management systeem en niet om het framework zelf.

Wat is het ITIL framework?
ITIL is een framework bestaande uit een reeks best practices voor het leveren van efficiënte IT-ondersteuningsdiensten aan je klanten. ITIL is dan ook gericht op de verbetering van de klanttevredenheid en productiviteit en valt onder de bredere term change management. Deze bibliotheek van processen is daardoor minder geschikt om je informatiebeveiligingsraamwerk op te bouwen maar geeft tegelijkertijd wel een goed overzicht van betrokken processen zoals bijvoorbeeld change management.

Wat is het COBIT framework?
Het COBIT framework is een raamwerk wat gericht is op algemene beheersmaatregelen (Control Objectives, vandaar de eerste drie letters van de afkorting). Deze gaat dus niet specifiek in op security maar heeft een algemeen IT karakter.

Wat is een best practice control framework?
Een best practice control framework is een raamwerk met daarin een standaard set van risico’s en controls die voor een gemiddeld bedrijf van belang zjin. Als je kiest om zo een best practice te gebruiken heb je een basis zodat je weet dat je de meest belangrijke risico’s niet vergeet. Toch zul je deze altijd nog moeten aanpassen zodat ze ook echt beschrijven hoe jouw bedrijf of organisatie deze control heeft ingericht. Er zijn enorm veel best practice control frameworks, ieder met een eigen focus. De raamwerken die het meest gebruikt worden zijn de volgende vier: ISO27001 COBIT TIL Cloud Control Matrix

Wat is compliance?

Compliance is het treffen van de noodzakelijke organisatorische, procedurele en technische maatregelen die gebaseerd zijn op een een wettelijke verplichting. Denk hierbij aan de Algemene verordening gegevensbescherming (AVG), de Telecommunicatiewet in Nederland. Beursgenoteerde ondernemingen in de Verenigde Staten moet worden gedacht aan de Sarbanes-Oxley wetgeving en de Health Insurance Portability and Accountability Act (HIPAA).

Moeten leveranciers ook gecertificeerd zijn?

Als in het contract met de afnemers van de diensten of producten is afgesproken dat een bepaald niveau van risico beheersing wordt gewaarborgd zoals beschreven in het InformatieBeveiligingsBeleid, dan moet dat ook bij leveranciers geregeld zijn. Dat kun je doen door met hen af te spreken dat ze zich aan het IBB houden en dat regelmatig te toetsen. Wanneer het IBB van de leverancier uitgebreider is kun je hen ook daaraan houden (en toetsen). Ten slotte kun je steunen op certificering.

Wat is een Business Impact Analyse (BIA)?

Een BIA is een assessment die gebruikt wordt binnen bedrijven en organisaties om inzicht te krijgen in de bedrijfskritieke processen en om deze te onderscheiden van de niet kritieke processen. Neem als voorbeeld het HR systeem: wat is de impact als er geen beschikbaarheid is, als de integriteit van de gegevens in het HR systeem niet zeker is of als de vertrouwelijkheid van de gegevens in het HR systeem niet gewaarborgd kan worden?

Een BIA kun je uitvoeren voor een proces, maar ook voor een informatiesysteem. De uitkomst kun je heel gedetailleerd maken, bijvoorbeeld door precies te bepalen wat de beschikbaarheidseisen zijn zodat je kunt testen in je business continuity plan of deze eisen ook gehaald worden (theoretisch). Ben je ook benieuwd hoe een BIA er voor jou uit ziet? Boek een VIP dag en kom er achter!

Wat is een remediation plan?

Een remediation plan is een plan met acties om een it-control beter in te richten of toe te passen. Als een it control namelijk niet goed is op basis van de risk appetite [link naar subvraag risk appetite] dan zal er een actie uitgevoerd moeten worden om dat risico in lijn te brengen met de risk appetite.

Wat is de CIA Triad?

De de CIA Triad is de Engelse term die wordt gehanteerd voor BIV: Confidentiality, Integrity and Availability.

Wat is een IT control?

Een IT control is een specifieke activiteit die wordt uitgevoerd door een persoon of een systeem om ervoor te zorgen dat de bedrijfsdoelstellingen worden bereikt. Wat kan zo een bedrijfsdoelstelling zijn? Dat staat in je informatiebeveiligingsbeleid of kun je afleiden van je risico’s die je wilt beheersen.

Wat is je risk appetite?

Risk appetite is je risico bereidheid, oftewel je risicotolerantie. Met andere woorden is risk appetite het aangeven hoeveel risico je accepteert (en dus ook welk risico je niet accepteert). Bij financiële risico’s is dat heel precies uit te rekenen; is €5000 euro schade acceptabel als de kans dat het risico voorkomt maar 1,2% is? Voor it risico’s is dit lastiger vast te stellen want dan moet er bijvoorbeeld uitgerekend worden wat herstelkosten zijn en wat de imago schade is.

Hoe bouw je een security awareness jaarprogramma op?

Een security awareness programma bouw je op rondom een concreet doel, afgestemd op de cultuur van de organisatie en in verschillende vormen zodat alle medewerkers hun weerbaarheid kunnen vergroten. Denk hierbij aan hacker demo’s, serious games, vraag & antwoord modules en live bijeenkomsten. Fundamenteel is daarbij het meten van bewustzijn om na te gaan of het doel wel of niet behaald is.

Hoe reageer je op een security incident?

De reactie op een security incident kun je het beste vooraf in grove lijnen bedenken met bijvoorbeeld scenario’s waarin niet alleen de reactie op IT technisch gebied staat uitgeschreven (zoals wat gaat het infrastructuur team doen) maar ook hoe de communicatie gaat verlopen en hoe de bedrijfsprocessen worden aangepast.

Wat is een security incident?

Een (informatie)beveiligingsincident is een of meerdere (ongewenste of onverwachte) gebeurtenissen die een grote kans hebben op het bedreigen van de bedrijfsprocessen en / of een bedreiging vormen voor de Beschikbaarheid, Integriteit en/of Vertrouwelijkheid (BIV).

Wat is het ISO jaarplan?

Het ISO jaarplan is het actuele plan, opgedeeld in tijd en periodieke activiteiten, zoals opgenomen in een InformatieBeveiligingsBeleid (IBB) of in het risk en compliance beleid. Hierin staan onderwerpen als het periodieke onderhoud aan het security awareness programma, de periodieke security testen en het toetsen van IT controls in het IT control framework.

Wat doet een security officer gedurende het jaar?

De security officer op de eerste lijn volgt een jaarprogramma met vaste onderdelen, dat idealiter is uitgeschreven in een IBB of in het risk en compliance beleid. Hierin staan onderwerpen als het periodieke onderhoud aan het security awareness programma, de periodieke security testen en het toetsen van IT controls in het IT control framework. Naast al dit geplande werk is het belangrijk dat de security officer klaar staat voor raad en daad op de werkvloer, zoals tijdens de besprekingen van nieuwe projecten, beantwoorden van security vragen en klaar staan voor security incidenten.

Wanneer laat je een SOC2 rapport opstellen?

Een SOC2 rapportage is een rapportage waarin is vastgelegd op welke wijze voldaan wordt aan de algemene beheersmaatregelen voor een service organisatie zoals vastgelegd door de AICPA . Daarnaast kun je hierin ook aantoonbaar maken dat je aan additionele controls-sets voldoet (bijvoorbeeld een Cloud Control Matrix).

Wat is een ISO27001 certificering?

EEen ISO27001 certificering is een certificering voor het Information Security Management Systeem met als best practice de controls die in de bijlage van deze standaad vermeld staan. Het gaat hier dus om het 'in control zijn' op het gebied van informatiebeveiliging, net zoals het 'in control statement'.

Wat is een control statement?

Een control statement is een verklaring waarin het bestuur verantwoording aflegt over de kwaliteit van de interne beheersing. Interne beheersing is het in control hebben (of niet) van processen, inclusief het toezicht daarop. Wanneer iets niet in control is, moet dit worden benoemd tezamen met het actieplan (remediation plan) om dit aan te pakken.

Wat doet een Security Operations Center (SOC)?

Een Security Operations Center (SOC) is het informatiebeveiligingsteam verantwoordelijk voorhet voortdurend bewaken en analyseren van de security van een organisatie. Hetdoel van het SOC-team is om cybersecurity-incidenten te detecteren, analyserenen erop te reageren met behulp van een combinatie van techniek en logica. Zo een team kan intern zijn maar ook extern bij een security bedrijf.

Security Operations Centers controleren en analyseren activiteiten op netwerken, servers, endpoints, databases, applications, websites en andere systemen, op zoek naar abnormale activiteiten die kunnen wijzen op een beveiligingsincident of -compromittering. Het SOC is heeft de verantwoordelijkheid te zorgen dat potentiële beveiligingsincidenten correct worden geïdentificeerd, geanalyseerd, verdedigd, onderzocht en gerapporteerd.

Hoe maak je een security dashboard?

Een security dashboard maak je door eerst de KPI’s vast te stellen, in de juiste context en met de juiste prioriteiten. Deze worden vervolgens in de juiste visuals en met de juiste alerts weergegeven. Zorg ervoor dat je deze blijft fine-tunen en evalueren in de loop van de tijd, het is niet in beton gegoten.

Durfipedia - FAQ

Direct en snel contact?

Openingstijden

IT Risk Management staat nooit stil. Jij wel?

Met ons Gouden Handboek leer je hoe je zelf in 4 stappen grip krijgt op IT risico's. We leggen je stap voor stap uit hoe je de regie (terug) pakt en overzicht krijgt - en behoudt!

Navigatie

Doelgroepen

IT Risk Inspiratie

Contact