Risico aanpak informatiebeveiliging | Berenschot blog

Natuurlijk ben je veiliger als je de maatregelen in de richtlijnen volgt en compliant bent dan wanneer je dat niet of deels doet. Maar organisaties moeten niet vergeten waar het echt om draait: het beheersen van de risico’s die je als organisatie loopt. 

Een risicogebaseerde aanpak is dan ook een van de kernaspecten van informatiebeveiliging, en wordt ook verplicht gesteld door wet- en regelgeving. Toch managen veel organisaties enkel op compliancerisico’s, in termen als ‘Ons wachtwoordbeleid voldoet niet aan de standaard’. Een identificatie van welk risico de organisatie hierdoor loopt, ontbreekt dan. Zo geformuleerd, is het enige risico voor de organisatie het niet behalen van het vinkje bij de volgende auditronde. Terwijl een groter risico kan zijn dat de organisatie slachtoffer wordt van een cyberaanval of datalek, omdat er nog geen multi-factor authenticatie is geïmplementeerd. 

Een goede aanpak is gebaseerd op een duidelijk inzicht in de risico’s die de organisatie loopt op het gebied van informatiebeveiliging. Hieronder een aantal tips om te starten met een risicogebaseerde aanpak.

Veel organisaties grijpen voor informatiebeveiliging snel naar normenkaders en gaan dan maatregel voor maatregel af wat ze wel en niet voor elkaar hebben. Laat dat normenkader in eerste instantie even links liggen en kijk naar de bedreigingen voor jouw organisatie. Welke kwetsbaarheden zijn er binnen de organisatie? Kunnen bijvoorbeeld alle medewerkers bij de klantdata? Dan hoeft er maar één iemand een zwak wachtwoord te hebben en opeens heb je een datalek. 

Als je dit soort kwetsbaarheden en bedreigingen in beeld hebt, kun je ook kijken welke maatregelen je moet nemen om ze te mitigeren. Bijvoorbeeld door multi-factor authenticatie in te stellen en een wachtwoordbeleid te maken. Een normenkader helpt hierbij als bron voor best practices en richtlijnen.

Helaas wordt informatiebeveiliging nog weleens gezien als een vervelende verplichting. Deels omdat niet altijd even duidelijk is waarom een organisatie bepaalde maatregelen moet nemen. Koppel daarom geïdentificeerde risico’s aan bedrijfsimpact en formuleer ze in termen die iedereen begrijpt. Bijvoorbeeld in een awareness-programma. Schets de gevolgen in plaats van te zeggen ‘het moet vanwege de norm’. Als medewerkers kwetsbaar zijn voor phishing of social engineering, kunnen aanvallers makkelijker doordringen tot de systemen. Dat vergroot de kans dat de organisatie het slachtoffer wordt van ransomeware of een datalek met financiële en reputatieschade als gevolg. 

Concreet de gevolgen van risico’s voor de organisatie benoemen, maakt ze tastbaar en duidelijk. Dan zal er ook meer begrip ontstaan voor mitigerende maatregelen. 

De business weet heel goed waar ze dagelijks mee bezig zijn en wat dus echt pijn zal doen als het misgaat. Maak van risicomanagement geen securityfeestje en betrek de business bij het risicomanagementproces. Organiseer bijvoorbeeld een aantal korte sessies waarin de ‘wat als?’-vraag centraal staat. Waar voelt jouw organisatie de grootste impact? Dit helpt ook bij het formuleren van de risico’s (tip 2). Gebruik de input van de business ook om scenario’s te bedenken, zoals een hack bij een leverancier, phishing-incident of datalek. 

Een effectieve aanpak van informatiebeveiliging begint bij het begrijpen van de risico’s die jouw organisatie loopt. Door eerst te kijken naar dreigingen, kwetsbaarheden en de mogelijke impact op bedrijfsprocessen, ontstaat een fundament dat veel sterker is dan een puur compliancegedreven aanpak. Het concreet formuleren van risico’s en het betrekken van de business maakt informatiebeveiliging begrijpelijker, relevanter en vooral effectiever.

Door klein te beginnen, de risico’s tastbaar te maken en samen met de organisatie scenario’s uit te werken, zet je als organisatie de eerste stappen naar een volwassen risicogebaseerde aanpak. Uiteindelijk leidt dit niet alleen tot meer veiligheid, maar ook tot betere besluitvorming en meer draagvlak voor de maatregelen die nodig zijn.