Risicobeoordeling in informatiebeveiliging

Risicobeheer speelt een cruciale rol in de informatiebeveiliging van elke organisatie. Een proactieve benadering bij het identificeren, evalueren en bepalen van de behandeling van potentiële risico's stelt u in staat risico's effectiever te beperken, de resultaten beter te beheren en de impact van informatiebeveiligingsincidenten op uw bedrijf te verminderen, mochten deze zich voordoen.

Goede risicobeoordeling en managementpraktijken zijn verplicht voor iedereen die wil voldoen aan de ISO 27001-norm. De norm vereist dat uw organisatie risicobeoordelingsprocessen voor informatiebeveiliging opzet en onderhoudt, inclusief risicoacceptatie- en beoordelingscriteria om de waarschijnlijkheid en impact van risico's te meten. 

Risicobeheer in ISO 27001 sluit rechtstreeks aan bij de informatiebeveiligingscontroles van de norm, die kunnen worden geïmplementeerd om de door u geïdentificeerde risico's te behandelen.

Effectieve risicobeoordeling in ISO 27001

Als onderdeel van de naleving van ISO 27001 moet uw organisatie een risicobeoordelings- en behandelingsproces ontwikkelen. Er moeten regelmatig risicobeoordelingen worden uitgevoerd om ervoor te zorgen dat u op consistente wijze nieuwe risico's identificeert en aanpakt, en risico's moeten worden toegewezen aan risico-eigenaren voor de duur van hun levensduur.

Er worden verschillende sleuteltermen gebruikt om risico’s te classificeren en te begrijpen:

  • Risico: de kans op vernietiging, beschadiging of verlies van gegevens of activa
  • Bedreiging: een persoon of actie die de kans op een incident vergroot, zoals een bedreigingsacteur die phishing-e-mails naar werknemers stuurt of een kwetsbaarheid uitbuit
  • Kwetsbaarheid: een zwakte in de applicaties, netwerken of infrastructuur van uw organisatie waardoor uw gegevens en activa bloot kunnen komen te liggen.

Risico-identificatie

Voordat u risico's identificeert, moet u bepalen welke informatiemiddelen uw organisatie moet beschermen door een activaregister aan te maken. Activa omvatten:

  • Informatie of gegevens
  • Intellectueel eigendom
  • Fysieke locaties en gebouwen
  • Systems
  • Hardware
  • Software.

Bij het identificeren van risico's voor deze activa moet u rekening houden met risico's die van invloed kunnen zijn op de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens (bekend als CIA), waaronder:

  • Eventuele externe of interne problemen (in overeenstemming met Artikel 4.1)
  • De behoeften en verwachtingen van geïnteresseerde partijen (in lijn met Artikel 4.2)
  • Toepasselijke wet- en regelgeving of contractuele vereisten
  • De reikwijdte van het systeem (in overeenstemming met Artikel 4.3)
  • Eventuele aanvullende complianceregimes binnen de organisatie, zoals Cyberbenodigdheden.

Risico analyse

Risicoanalyse is het proces waarbij elk risico wordt gescoord op basis van de waarschijnlijkheid en impact van het optreden.

Binnen het platform ISMS.online kunt u de kans op een risico scoren van zeer laag tot zeer hoog (1-5) en de impact van geen tot ernstig (0-5). Deze factoren scoren elk risico op een schaal van 25, waarbij de impact belangrijker wordt geacht dan de waarschijnlijkheid. Hierdoor kunt u de behandeling prioriteren op basis van de risicoscore.

ISO 27001 risicokaart
Een ISO 27001-risicoscorematrix

Uw organisatie kan bijvoorbeeld een e-mail die door een medewerker verkeerd naar de verkeerde ontvanger wordt gestuurd, als een risico beschouwen. Op basis van uw criteria kunt u tot de conclusie komen dat de waarschijnlijkheid gemiddeld is en de impact klein, omdat de mogelijkheid bestaat dat commerciële informatie per ongeluk naar veel ontvangers wordt verzonden in vergelijking met één enkele ontvanger, waardoor het risico relatief laag scoort. De volgende stap is om te beslissen hoe dat risico moet worden behandeld.

Risicobehandeling

De eigenaar van elk risico is verantwoordelijk voor het identificeren van de juiste risicobehandeling. Ze moeten ook criteria overwegen om het risico te tolereren. De vijf behandelingsopties zijn:

  • Beëindigen – om het risico volledig weg te nemen
  • Traktatie – om de impact of waarschijnlijkheid van het risico te verkleinen
  • Overdracht – het risico overdragen of delen (bijvoorbeeld door een verzekering af te sluiten)
  • Tolereren – het restrisico aanvaarden
  • Een combinatie – het ondernemen van meer dan één van de bovenstaande acties.

Risicoacceptatie, ook wel risicotolerantie genoemd, moet gebaseerd zijn op de volgende criteria:

  • Het risiconiveau dat moet worden geaccepteerd
  • Het type en de hoeveelheid persoonlijk identificeerbare informatie (PII) die gevaar loopt
  • Wettelijke, regelgevende of contractuele verplichtingen
  • Bedrijfsdoelstellingen en nalevingsvereisten
  • Alle andere conflicterende risico's die kunnen worden geïntroduceerd of gewijzigd door de behandeling van het geïdentificeerde risico, zoals risico's voor de middelenniveaus.

U kunt besluiten het voorbeeldrisico te tolereren nadat u de verdere context heeft overwogen. Het kan bijvoorbeeld zijn dat uw organisatie bredere controles heeft geïmplementeerd die de impact verkleinen als een e-mail per ongeluk naar de verkeerde ontvanger wordt doorgestuurd, zoals Bijlage A.5.14 informatieoverdracht en A.6.4 tuchtproces.

Behandeling kan nodig zijn bij ernstigere risico's, zoals een inbreuk op persoonlijke gegevens. In dit voorbeeld kan de risico-eigenaar het risico aanpakken door regelmatig phishing-bewustzijnstrainingen te organiseren voor alle medewerkers en tools in te zetten om phishing-activiteiten te monitoren. Het risiconiveau geeft ook aan hoe vaak het moet worden herzien, bijvoorbeeld maandelijks, driemaandelijks, zesmaandelijks of jaarlijks.

Risico's aanpakken met ISO 27001-controles

Uw risicobeoordelingsproces zorgt voor een duidelijke reeks risico's, terwijl het risicobehandelingsproces vereist dat u de juiste risicobehandelingsopties selecteert en bepaalt welke controles u moet implementeren. ISO 27001:2022 bijlage A biedt een set van 93 controles in vier categorieën: organisatorische controles, fysieke controles, menselijke controles en technologische controles.

Deze controles omvatten processen, beleid, apparaten, praktijken en andere omstandigheden of acties die risico's in stand houden of wijzigen, zoals wachtwoordbeleid, antivirussoftware en cryptografie. Door deze te implementeren, kunnen de risico's worden beperkt en de impact van informatiebeveiligingsincidenten worden verminderd. Met behulp van de bedieningselementen die zijn beschreven in ISO 27001:2022 bijlage A zorgt ervoor dat u de risico's voor uw bedrijf op een alomvattende manier aanpakt.

Essentiële ISO 27001:2022 bijlage A-controles omvatten:

  • A.5.1 Beleid voor informatiebeveiliging, wat vereist dat uw organisatie beschikt over een informatiebeveiligingsbeleidsdocument ter bescherming tegen informatiebeveiligingsbedreigingen
  • A.5.34 Privacy en bescherming van PII, een preventieve controle met richtlijnen en procedures om uw organisatie te helpen voldoen aan de eisen met betrekking tot de opslag, privacy en beveiliging van persoonlijk identificeerbare informatie (PII)
  • A.6.8 Rapportage van informatiebeveiligingsgebeurtenissen, dat tot doel heeft de tijdige, consistente en effectieve rapportage van door personeel gedetecteerde informatiebeveiligingsgebeurtenissen te vergemakkelijken
  • A.7.9 Beveiliging van activa buiten terreinen, die vereist dat organisaties protocollen en voorschriften opstellen en implementeren die betrekking hebben op alle apparaten die eigendom zijn van of gebruikt worden namens het bedrijf
  • A.8.7 Bescherming tegen malware, dat richtlijnen biedt voor het uitvoeren van een malwareverdediging die gecontroleerde systemen en accounttoegang, wijzigingsbeheer, anti-malwaresoftware en bewustzijn van de beveiliging van organisatorische informatie omvat
  • A.8.24 Gebruik van cryptografie stelt zeven eisen waaraan organisaties moeten voldoen bij het gebruik van cryptografische methoden.

De risico- en controle-identificatieprocessen zijn vereenvoudigd binnen het ISMS.online-platform. Het platform identificeert standaard meer dan 100 veel voorkomende risico's en stelt relevante controles voor die kunnen worden toegepast om elk risico te behandelen, waardoor uw risicobeoordeling en beheerwerklast aanzienlijk worden verminderd.

Het belang van voortdurende risicomonitoring

Continue monitoring en evaluatie zijn een essentieel onderdeel van risicobeheer, omdat de waarschijnlijkheid of impact van een risico in de loop van de tijd kan veranderen, wat betekent dat een nieuwe behandelingsmethode vereist is. Voor risico's op laag niveau kunt u besluiten dat jaarlijkse evaluaties voldoende zijn, terwijl risico's op gemiddeld niveau mogelijk elke drie of zes maanden opnieuw moeten worden beoordeeld en risico's op hoog niveau elke maand.

Welke beoordelingsperiode u ook besluit dat geschikt is voor een geïdentificeerd risico, het is van essentieel belang dat u ervoor zorgt dat de risico-eigenaren deze leveren, zodat u een actueel beeld krijgt van de risicokaarten van uw organisatie. Het ISMS.online-platform informeert risico-eigenaren automatisch wanneer evenementen zoals jaarlijkse risicobeoordelingen aan de orde zijn, zodat uw risicobeheer robuust en consistent is met minimale inspanning van uw team.

Deze regelmatige beoordelingen kunnen worden gebruikt als bewijs dat uw organisatie een robuust informatiebeveiligingsbeheersysteem (ISMS) voor uw auditor onderhoudt en ontwikkelt.

Vereenvoudig risicobeheer met ISMS.online

Naast een kant-en-klare risicobank met meer dan 100 veelvoorkomende bedrijfsrisico's, bevat het platform ISMS.online ook een dynamische risicokaart. De kaart geeft u een actueel overzicht van het risicoprofiel van uw organisatie, zodat u eenvoudiger dan ooit uw risicobeheer kunt coördineren, potentiële bedreigingen en kansen kunt bekijken en belanghebbenden op de hoogte kunt houden.

Het platform wordt ook geleverd met een dynamische herinneringsfunctie, die risico-eigenaren er automatisch aan herinnert wanneer het tijd is om een ​​risico waarvoor zij verantwoordelijk zijn te beoordelen, of dit nu maandelijks, driemaandelijks, zesmaandelijks of jaarlijks moet worden beoordeeld. Met de risicogeschiedenisgrafiek kunt u risicobronnen identificeren en volgen en wordt aangegeven hoe uw risicoprofiel zich heeft ontwikkeld.

Beheer proactief uw informatiebeveiligingsrisico

Voor veel bedrijven biedt de ISO 27001-certificering een onmiskenbaar concurrentievoordeel: ze kunnen aan klanten en potentiële klanten bewijzen dat ze zich inzetten voor de veiligheid van hun gegevens.

Risicobeheer en controle-implementatie zijn essentiële aspecten van de ISO 27001-certificering en vormen de kern van een robuust informatiebeveiligingsbeleid en ISMS. Met proactief risicomanagement kunt u risico's monitoren, incidenten voorkomen en de impact van incidenten die zich toch voordoen verkleinen. Door prioriteit te geven aan risicobeoordeling als een continu proces, kunt u ervoor zorgen dat uw organisatie altijd voorbereid is om te reageren op de nieuwste bedreigingen.

Het ISMS.online-platform biedt een vereenvoudigde benadering van risicobeoordeling, met een risicobank, voorgestelde controles voor elk risico en automatisering die risico-eigenaren eraan herinnert wanneer het tijd is om de risico's waarvoor zij verantwoordelijk zijn te beoordelen. Als u er klaar voor bent om eenvoudig aan ISO 27001 te voldoen en tijd te besparen op uw risicobeheer, boek uw demo.