Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

Beheer van beveiligingsrisico's [Informatie risico & beoordeling]

Startpagina Woordenlijst Beheer van beveiligingsrisico's [Informatie risico & beoordeling]

Beheer van beveiligingsrisico’s kan voorkomen dat zwakke plekken in uw bedrijf over het hoofd worden gezien en worden uitgebuit door externe aanvallers.

Wat is beheer van beveiligingsrisico’s? Risicobeheer is een proces dat een bedrijf doorloopt om risicogebieden te identificeren. Dit proces moet continu plaatsvinden, en zodra een risico is gevonden, moet het op de juiste manier worden aangepakt.

Beheer van beveiligingsrisico's [Informatie risico & beoordeling]

Wat is Security en Threat Management?

In moderne IT- en bedrijfsprocessen is cyberbeveiliging een topprioriteit. De realiteit van datagedreven handel is dat de meeste consumenten- en bedrijfsinformatie wordt opgeslagen in digitale omgevingen, waar beveiligingsdreigingen en kwetsbaarheden echte, blijvende schade kunnen veroorzaken aan mensen en bedrijven.

Daarom voeren veel bedrijven en externe beveiligingsbedrijven zogenaamde Threat Intelligence Assessments uit. Deze beoordelingen nemen de infrastructuur en mogelijkheden van een organisatie onder de loep, de data die zij opslaan, het soort communicatie en interacties met de buitenwereld, en vergelijken deze factoren met bestaande dreigingen.

Het InfoSec Institute definieert security management binnen het Certified Information Systems Security Professional (CISSP) framework met de volgende componenten:

Security Model

Dit omvat de basiscontroles en besluitvorming met betrekking tot beveiliging binnen een organisatie, gebaseerd op IT-infrastructuur, bedrijfsdoelstellingen en compliance vereiste vanuit regelgeving zoals HIPAA, GDPR of PCI DSS.

Confidentialiteit, Integriteit en Beschikbaarheid

Met betrekking tot data management verwijst confidentialiteit naar de privacy van gegevens, integriteit naar de blijvende stabiliteit van die gegevens, en beschikbaarheid naar gebruikers wanneer nodig.

Security Governance

De meeste organisaties van enige omvang zouden een bestuursorgaan moeten hebben om beveiligingsbeleid en procedures te beheren, geleid door een chief technology officer, een chief information security officer of een compliance officer.

Beleid en Procedures

Om problemen succesvol te beheren, kan en moet een organisatie uitgebreide gegevensbeheer- en cyberbeveiligingsbeleid hebben om plannen voor configuratiewijzigingen, upgrades, training van medewerkers, enzovoort te regelen.

Business Continuity

Beveiliging draait om het vermogen van een bedrijf om door te gaan met de bedrijfsvoering. Dit omvat het vermogen om na systeeminbreuken de activiteiten te hervatten, inbreuken te beperken terwijl ze plaatsvinden en probleemgebieden te herstellen zodra ze zich voordoen.

Risk Management

De basis van risicobeheer: risico is de meting van potentiële beveiligingsdreigingen in een IT-infrastructuur ten opzichte van bedrijfs- en technische doelstellingen. De hoeveelheid risico die een bedrijf accepteert, kan verschillen tussen organisaties, sectoren of zelfs periodes van het jaar.

Threat Modeling

Een concretere manier om beveiligingsvereiste en potentiële kwetsbaarheden te modelleren om die kwetsbaarheden te beperken. Dit omvat het meten, labelen en prioriteren van dreigingen waar nodig.

Wat is Cybersecurity Risk Management?

Als we dieper ingaan, is cybersecurity risk management het proces van het identificeren, beoordelen en prioriteren van risico’s en het ontwikkelen van strategieën om deze te beheren. Dit proces omvat doorgaans het inschatten van potentiële dreigingen, het identificeren van kritieke assets, het evalueren van de impact van risico’s op die assets, het selecteren en implementeren van strategieën om potentiële risico’s te beperken, en het regelmatig monitoren en rapporteren van de effectiviteit van die strategieën. Het is een essentieel onderdeel van het beveiligingsprogramma van elke organisatie.

Organisaties moeten hun cyberrisico’s beheren om hun gevoelige gegevens en systemen te beschermen tegen kwaadwillende actoren. In het digitale tijdperk evolueren cyberdreigingen voortdurend, waardoor het essentieel is dat bedrijven op de hoogte blijven van opkomende dreigingen en proactieve stappen nemen om zich hiertegen te beschermen. Cybersecurity risk management helpt organisaties om eventuele zwakke plekken in hun cyberbeveiligingsstrategie te identificeren en aan te pakken voordat ze een probleem worden. Het helpt organisaties ook om hun investeringen in cyberbeveiliging te prioriteren en ervoor te zorgen dat hun beveiligingsprogramma voldoet aan de vereiste van hun sector. Daarnaast kunnen proactieve maatregelen om cyberrisico’s te beheren organisaties helpen om financiële verliezen te beperken en compliant te blijven met overheidsregelgeving. Door te investeren in robuuste cyberbeveiligingsprogramma’s kunnen bedrijven hun waardevolle gegevens en systemen beschermen tegen diefstal, fraude en andere kwaadwillende aanvallen.

Bedrijven profiteren van een cybersecurity risk management plan doordat ze hun risico-exposure verminderen, beveiligingslekken beperken en hun algehele beveiligingsstatus verbeteren. Een goed gestructureerd risicobeheerplan helpt organisaties om hun beveiligingsmaatregelen te identificeren en te prioriteren, potentiële dreigingen te anticiperen en een strategie voor risicobeperking op te stellen. Daarnaast helpt het organisaties om te investeren in de meest effectieve cyberbeveiligingsmaatregelen en ervoor te zorgen dat alle onderdelen van hun beveiligingsprogramma voldoende beschermd zijn. Met een uitgebreid risicobeheerplan kunnen organisaties hun risico’s verkleinen, hun beveiligingsstatus verbeteren en potentiële schade als gevolg van datalekken beperken.

Hoe werkt Security Risk Management?

Door deze beveiligingspraktijken en criteria te combineren, kunnen organisaties risicobeheerbeleid implementeren waarmee ze hun risico’s volledig en grondig begrijpen en weloverwogen beslissingen nemen over hoe ze deze moeten aanpakken.

Door risico’s te beoordelen, te catalogiseren en te meten, kunnen organisaties verdergaan met security management door de volgende vier aspecten van hun beveiligingsprofiel aan te pakken:

1. Assets

Over welke data-assets beschikt een organisatie? Waar worden deze assets opgeslagen? Hoe interacteren interne en externe gebruikers met deze assets, wijzigen ze of benaderen ze deze? In dit geval kan assets slaan op data in een database of datastore, cloud Software-as-a-Service (SaaS)-applicaties of interne gebruikersportalen.

2. Controls

Welke technologieën zijn aanwezig? Waar bevinden deze technologieën zich? Zijn ze up-to-date en correct geconfigureerd? Security controls kunnen encryptie-algoritmen, firewalls, anti-malwaretechnologie of identity & access management software omvatten.

3. Vulnerabilities

Waar zitten de zwakke plekken in het IT-systeem? Waar zijn assets niet beveiligd? Zijn er potentiële onveilige plekken waar data doorheen gaat? Kwetsbaarheden zijn lastig te vinden en het ontdekken ervan vraagt om regelmatige kwetsbaarheidsscans, jaarlijkse penetratietests of red team-oefeningen.

4. Threats

Hoe ziet het huidige cybersecurity-dreigingslandschap eruit? Zijn er nieuwe dreigingen in opkomst? Dit aspect is vaak dynamisch en dreigingen kunnen plotseling opduiken zonder waarschuwing. Zelfs al lang bekende dreigingen kunnen nog steeds uitdagingen vormen en vragen om specifieke beveiligingsmaatregelen.

Door concrete beveiligingsplannen te maken en de vier bovenstaande aspecten in kaart te brengen, kan elke organisatie een goed beeld krijgen van hun potentiële risico’s en dreigingen.

Voor meer concrete richtlijnen over risicobeoordeling en geïntegreerde beveiliging wenden veel organisaties zich tot professionele groepen zoals de International Organization for Standardization of het National Institute of Standards and Technology. ISO 31000 en NIST Special Publications 800-39 en 800-53 bieden robuuste raamwerken voor risicobeheer.

Welke sectoren vereisen een Security Risk Assessment voor compliance?

Er zijn veel sectoren die risicobeoordelingen op het gebied van beveiliging vereisen voor compliance. Enkele van de meest voorkomende zijn:

Zorg

Ziekenhuizen, klinieken en andere zorginstellingen moeten voldoen aan de Health Insurance Portability and Accountability Act (HIPAA) en regelmatig risicobeoordelingen uitvoeren om de gevoelige gezondheidsinformatie van patiënten te beschermen.

Financiële sector

Banken, kredietunies en andere financiële instellingen moeten voldoen aan de Gramm-Leach-Bliley Act (GLBA) en hun beveiligingsrisico’s beoordelen om de financiële informatie van consumenten te beschermen.

Overheid

Federale, regionale en lokale overheidsinstanties moeten voldoen aan diverse regelgeving en richtlijnen, zoals FISMA (Federal Information Security Management Act), het NIST Cybersecurity Framework en andere, om gevoelige overheidsdata te beschermen.

Onderwijs

Scholen, hogescholen en universiteiten moeten voldoen aan FERPA (Family Educational Rights and Privacy Act) en hun beveiligingsrisico’s beoordelen om de academische gegevens van studenten te beschermen.

Retail

Bedrijven die creditcardtransacties verwerken, moeten voldoen aan de Payment Card Industry Data Security Standard (PCI DSS) en hun beveiligingsrisico’s beoordelen om de creditcardinformatie van consumenten te beschermen.

Juridisch

Advocatenkantoren en juridische dienstverleners moeten voldoen aan de American Bar Association (ABA) Model Rules of Professional Conduct en hun beveiligingsrisico’s beoordelen om de vertrouwelijke informatie van cliënten te beschermen.

Energie en nutsbedrijven

Energiebedrijven moeten voldoen aan de North American Electric Reliability Corporation (NERC) Critical Infrastructure Protection (CIP)-standaarden en hun beveiligingsrisico’s beoordelen om kritieke infrastructuur te beschermen.

Transport

Luchtvaartmaatschappijen, luchthavens en andere transportbedrijven moeten voldoen aan de regelgeving van de Transportation Security Administration (TSA) en hun beveiligingsrisico’s beoordelen om reizigers en vracht te beschermen.

Technologie

Technologiebedrijven die software en hardware ontwikkelen en verkopen, moeten voldoen aan diverse regelgeving en standaarden, zoals ISO 27001, en hun beveiligingsrisico’s beoordelen om klantgegevens en intellectueel eigendom te beschermen.

Elke sector die gevoelige gegevens, kritieke infrastructuur of publieke veiligheid beheert, zal waarschijnlijk een security risk assessment vereisen voor compliance met diverse regelgeving en standaarden. Het is belangrijk voor deze sectoren om hun beveiligingsrisico’s regelmatig te beoordelen en te beheren om de bescherming van individuen en organisaties te waarborgen.

Cyber Risk Management Frameworks

Cyber risk management frameworks zijn gestructureerde benaderingen die worden gebruikt om cyberrisico’s te identificeren, meten, beoordelen en prioriteren, evenals om ze effectief te beheren en te beperken. Deze frameworks bieden een systematische en geïntegreerde manier van cyberrisicobeheer door het proces op te delen in diverse fasen en activiteiten, meestal in een stapsgewijs proces. Enkele veelgebruikte frameworks zijn:

1. NIST Cybersecurity Framework

Dit framework is ontwikkeld door het National Institute of Standards and Technology (NIST) in de VS en biedt een reeks richtlijnen, standaarden en beste practices voor het beheren en beperken van cyberrisico’s.

2. ISO/IEC 27001

Dit is een internationale standaard die een framework biedt voor information security management systems (ISMS). Het richt zich op de vertrouwelijkheid, integriteit en beschikbaarheid van informatie en biedt een systematische aanpak voor het beheren van informatiebeveiligingsrisico’s.

3. COBIT

Dit framework is ontwikkeld door de Information Systems Audit and Control Association (ISACA) en biedt een governance framework voor IT-management. Het combineert een set processen, controle-objectieven en meetwaarden om IT-gerelateerde risico’s, inclusief cyberrisico’s, te beheren en te beperken.

4. FAIR

Het Factor Analysis of Information Risk (FAIR) framework is een kwantitatieve benadering van risicobeheer die zich richt op het identificeren, analyseren en prioriteren van cyberrisico’s op basis van hun impact op de doelstellingen van een organisatie. Het gebruikt een reeks wiskundige modellen en algoritmen om de waarschijnlijkheid en impact van cyberrisico’s te schatten.

5. CIS Controls

De Center for Internet Security (CIS) Controls is een set beste practices die organisaties kunnen gebruiken om hun cyberverdediging te verbeteren. Het is een geprioriteerde lijst van beveiligingsmaatregelen die kunnen worden geïmplementeerd om te beschermen tegen de meest voorkomende cyberdreigingen.

Ongeacht welk framework wordt gebruikt, is het belangrijk dat organisaties een systematische en geïntegreerde aanpak hanteren voor het beheren van cyberrisico’s. Dit omvat het identificeren en beoordelen van cyberrisico’s, het ontwikkelen en implementeren van strategieën voor risicobeperking, en het continu monitoren en verbeteren van hun cyberbeveiligingsstatus.

Hoe gaan organisaties om met risico’s?

Hoe een organisatie risico’s aanpakt, hangt af van hun businessmodel. Verschillende sectoren vereisen of prioriteren vaak verschillende benaderingen om beveiligingsproblemen uiteindelijk aan te pakken. Over het algemeen zijn er vijf primaire manieren om met risico’s om te gaan:

1. Herstel van risico’s

Het implementeren van maatregelen om het risico te verwijderen, op te lossen of gedeeltelijk te elimineren.

2. Beperking van risico’s

Het verminderen van de impact van de potentiële kwetsbaarheid via organisatorische middelen, meestal door omliggende beveiligingsmaatregelen te implementeren in plaats van het directe risico op te lossen.

3. Acceptatie van risico’s

Bepalen dat het risico acceptabel is vanuit zakelijk of IT-perspectief en niets doen.

4. Overdracht van risico’s

Het verplaatsen van de verantwoordelijkheid of potentiële impact van de kwetsbaarheid. Bijvoorbeeld door data te verplaatsen of een verzekering tegen datalekken af te sluiten om financiële gevolgen op te vangen.

5. Vermijding van risico’s

Het isoleren van het risico om problemen volledig te voorkomen. Bijvoorbeeld door data te migreren naar nieuwe servers en risicovollere apparaten te gebruiken voor niet-gevoelige data.

Hoe vaak moet een bedrijf risicobeoordelingen uitvoeren?

Er zijn verschillende manieren om beveiligingsbeoordelingen uit te voeren. In grote lijnen zijn de volgende richtlijnen een goed startpunt voor het meten van risico en beveiliging:

Risicobeoordelingstests

Schema

Risicobeoordeling (IT-evaluaties op grote schaal)

Jaarlijks

Penetratietesten

Minimaal één keer per jaar

Kwetsbaarheidsscans

Maandelijks

Hoe beheert u Cybersecurity Risk vanaf één platform

De basis van security management in onze moderne economie is samenwerken met veilige leveranciers en partners. Deze leveranciers kunnen niet alleen veilige technologie leveren, maar nemen ook verplicht risicobeheer uit handen van een toch al drukke organisatie.

Het Kiteworks Private Content Network ondersteunt veilig data management en governancebeleid, evenals risicobeheer en analytics.

Wilt u zien hoe Kiteworks risico’s bij communicatie van gevoelige content minimaliseert? Vraag vandaag nog een persoonlijke demo aan.

 

Terug naar Risk & Compliance Glossary

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks