De nieuwe ‘Routekaart risicomanagement’ van het NCSC geeft inzicht en overzicht op het gebied van risicomanagement in het digitale domein. Het inrichten van een robuust proces voor risicomanagement is niet langer een luxe, maar noodzakelijk voor het waarborgen van de digitale weerbaarheid. Dat bleek recent weer bij een Russische hack op de Nederlandse politie, waarbij een vrijwilliger op malware klikte.

In een serie blogs behandelt Pragmaat de vier hoofdcategorieën van de Routekaart: Governance en randvoorwaarden, Risicobeoordeling, Risicobehandeling, en Doorlopende monitoring. We starten deze reeks met een korte achtergrond en uitleg van de Routekaart.

Vier hoofdcategorieën

De Routekaart risicomanagement laat zien hoe verschillende onderdelen van risicomanagement met elkaar zijn verbonden, en hoe organisaties hun activiteiten hierbinnen kunnen positioneren. Hij beschrijft risicomanagement als een cyclisch proces dat bestaat uit vier hoofdcategorieën:

1. Governance en randvoorwaarden
   Hierin wordt de basis gelegd voor het risicomanagementproces. Het gaat om de vastlegging van beleidslijnen, verantwoordelijkheden en randvoorwaarden die nodig zijn om het risicomanagement goed te laten functioneren.
2. Risicobeoordeling
   In deze fase worden risico’s geïdentificeerd en beoordeeld op hun impact en waarschijnlijkheid. Het doel is om inzicht te krijgen in de grootste bedreigingen en kwetsbaarheden binnen de organisatie.
3. Risicobehandeling
   Nadat de risico’s in kaart zijn gebracht, moeten organisaties beslissen hoe ze deze risico’s willen behandelen. Dit kan door maatregelen te nemen voor het verminderen, overdragen, of accepteren van risico’s.
4. Doorlopende monitoring
   Risicomanagement stopt niet na de behandeling van risico’s. Het is een continu proces waarbij de effectiviteit van de genomen maatregelen en veranderingen in de digitale omgeving regelmatig moeten worden gemonitord.

Dankzij bovenstaand cyclisch proces kunnen organisaties niet alleen reageren op bedreigingen, maar ook proactief risico’s beheren. Bij Pragmaat zien we echter dat veel Nederlandse organisaties nog worstelen bij het opzetten van een effectief proces voor risicomanagement. Ze zien de stappen die hiervoor nodig zijn vaak als onoverzichtelijk of zelfs onhaalbaar.

Structuur aanbrengen

De Routekaart risicomanagement is wat Pragmaat betreft een uitstekend hulpmiddel om structuur aan te brengen, maar zonder de juiste expertise blijven veel bedrijven hangen in ad-hoc oplossingen. Er is dus nog veel werk te doen om de stappen uit de Routekaart in de praktijk te implementeren. Hij biedt een stevige basis, maar het is aan organisaties zelf om de regie te pakken en die structuur op te zetten.

Wil je weten hoe jouw organisatie de Routekaart risicomanagement van het NCSC kan gebruiken om het proces van risicomanagement naar een hoger niveau te tillen? Neem contact op met Pragmaat en samen zetten we de volgende stap naar meer digitale weerbaarheid voor jouw organisatie.