Key risk

Een key risk is een risico dat door zijn potentiele impact of waarschijnlijkheid van optreden een aanzienlijke bedreiging vormt voor de strategische doelstellingen, bedrijfscontinuiteit of informatiebeveiliging van een organisatie. Binnen cybersecurity verwijst een key risk naar de meest kritieke dreigingen die een organisatie heeft geidentificeerd en waarop het risicobeheerbeleid zich primair richt. Het identificeren en prioriteren van key risks is essentieel om beperkte beveiligingsbudgetten en -middelen effectief in te zetten waar ze het meeste verschil maken. Zonder een duidelijk beeld van je key risks loop je het risico dat middelen worden verspild aan minder kritieke bedreigingen terwijl de echte gevaren onvoldoende worden geadresseerd.

Key risks binnen cybersecurity

In de context van cybersecurity omvatten key risks de dreigingen die de grootste potentiele schade kunnen veroorzaken aan een organisatie. Dit zijn niet noodzakelijk de meest waarschijnlijke risico's, maar de risico's waarbij de combinatie van waarschijnlijkheid en impact het grootst is. Een ransomware-aanval heeft bijvoorbeeld mogelijk een lagere waarschijnlijkheid dan een phishingpoging, maar de potentiele impact op de bedrijfsvoering is vele malen groter.

De meest voorkomende key risks voor Nederlandse organisaties omvatten ransomware-aanvallen, supply chain compromittering, digitale spionage, insider threats en kwetsbaarheden in cloudinfrastructuur. Elk van deze risico's kan leiden tot aanzienlijke financiele schade, reputatieverlies en verstoring van bedrijfsprocessen. Het is daarom cruciaal dat je organisatie een duidelijk beeld heeft van welke risico's de grootste bedreiging vormen en welke maatregelen het meest effectief zijn.

De opkomst van AI-gedreven aanvallen voegt een nieuwe dimensie toe aan het dreigingslandschap. Aanvallers gebruiken kunstmatige intelligentie om phishingberichten overtuigender te maken, kwetsbaarheden sneller te ontdekken en aanvallen te automatiseren. Dit verhoogt zowel de waarschijnlijkheid als de effectiviteit van bestaande aanvalstechnieken en maakt ze daarmee potentiele key risks voor elke organisatie die digitaal opereert.

Het risicobeheerproces

Het identificeren van key risks begint met een systematische risicoanalyse. Dit proces omvat vier hoofdfasen: identificatie, beoordeling, behandeling en monitoring. Elk van deze fases draagt bij aan een compleet beeld van de risico's waarmee je organisatie te maken heeft en de maatregelen die nodig zijn om deze te beheersen. Een gedegen risicobeheerproces is niet eenmalig maar cyclisch en wordt continu bijgewerkt op basis van nieuwe inzichten.

Tijdens de identificatiefase breng je alle potentiele dreigingen in kaart. Dit doe je door middel van dreigingsanalyses, vulnerability scans, penetratietesten en het raadplegen van dreigingsinformatie. Het is belangrijk om breed te kijken en niet alleen technische risico's te inventariseren, maar ook organisatorische, juridische en menselijke factoren mee te nemen in de analyse.

De beoordelingsfase bepaalt welke risico's als key risks worden aangemerkt. Dit gebeurt door elk risico te evalueren op twee assen: de waarschijnlijkheid dat het risico zich voordoet en de impact als het zich daadwerkelijk voordoet. Risico's met een hoge score op beide assen zijn per definitie key risks die prioritaire aandacht verdienen. Een risicoregister of risicomatrix helpt bij het visueel maken van deze prioritering en biedt een overzichtelijk kader voor besluitvorming.

In de behandelingsfase kies je voor elke key risk een van vier strategieen: mitigeren (maatregelen nemen om het risico te verkleinen), vermijden (de activiteit die het risico veroorzaakt stoppen), overdragen (het risico verzekeren of uitbesteden) of accepteren (het risico bewust aanvaarden als de kosten van behandeling niet opwegen tegen de potentiele schade). Documenteer voor elke key risk welke strategie is gekozen, waarom en welke restrisico's resteren na behandeling.

Key Risk Indicators

Key Risk Indicators (KRI's) zijn meetbare waarden die vroegtijdig signaleren of een key risk zich aan het ontwikkelen is. Ze fungeren als waarschuwingssysteem waarmee je proactief kunt ingrijpen voordat een risico zich daadwerkelijk materialiseert. Effectieve KRI's zijn specifiek, meetbaar en gekoppeld aan een drempelwaarde die actie triggert wanneer deze wordt overschreden.

Voorbeelden van KRI's binnen cybersecurity zijn het aantal mislukte inlogpogingen per tijdseenheid, het percentage systemen met achterstallige patches, de gemiddelde tijd om een kwetsbaarheid te verhelpen, het aantal responsible disclosure meldingen en het percentage medewerkers dat phishingsimulaties niet herkent. Door deze indicatoren continu te monitoren, krijg je een vroegtijdig beeld van veranderende risicoprofielen en kun je tijdig bijsturen.

Het is belangrijk om KRI's regelmatig te herzien en aan te passen aan veranderende omstandigheden. Een KRI die een jaar geleden relevant was, hoeft dat vandaag niet meer te zijn. Nieuwe dreigingen, veranderingen in de IT-infrastructuur of wijzigingen in de organisatiestructuur kunnen allemaal invloed hebben op de relevantie van bestaande indicatoren. Stel een vast herzieningsritme in, bijvoorbeeld elk kwartaal.

Key risks en compliance

De aankomende Cyberbeveiligingswet, gebaseerd op de NIS2-richtlijn, verplicht organisaties in kritieke sectoren om een risicobeoordeling uit te voeren en passende maatregelen te nemen. Het identificeren en beheren van key risks is een kernonderdeel van deze verplichting. Organisaties moeten kunnen aantonen dat ze een systematische aanpak hanteren voor risicobeheer en dat ze hun key risks actief monitoren en behandelen.

De AVG vereist een Data Protection Impact Assessment (DPIA) voor verwerkingen die een hoog risico vormen voor de rechten van betrokkenen. De key risks die uit een DPIA naar voren komen, moeten worden geadresseerd voordat de verwerking mag plaatsvinden. Het niet uitvoeren van een DPIA of het niet adequaat behandelen van geidentificeerde key risks kan leiden tot boetes van de Autoriteit Persoonsgegevens.

ISO 27001 schrijft een systematische aanpak voor risicobeheersing voor als onderdeel van het Information Security Management System (ISMS). De standaard vereist dat organisaties hun key risks identificeren, beoordelen en behandelen, en dat ze dit proces continu verbeteren op basis van nieuwe inzichten en veranderende omstandigheden. Een security rating kan helpen bij het objectief beoordelen van het algehele risicoprofiel van je organisatie.

Veelgestelde vragen over key risks

Hoeveel key risks moet een organisatie identificeren?

Er is geen vast aantal. Het hangt af van de omvang, complexiteit en het dreigingslandschap van je organisatie. Het is beter om je te concentreren op de vijf tot tien meest kritieke risico's en die goed te beheersen, dan een lange lijst op te stellen waar niemand actie op onderneemt.

Hoe vaak moeten key risks worden herzien?

Minimaal jaarlijks, maar bij voorkeur elk kwartaal of na significante veranderingen in de organisatie, het dreigingslandschap of de IT-infrastructuur. Een key risk assessment is geen eenmalige exercitie maar een doorlopend proces dat meebeweegt met de organisatie.

Wat is het verschil tussen een key risk en een regulier risico?

Een key risk onderscheidt zich door de potentiele impact op strategische doelstellingen of bedrijfscontinuiteit. Reguliere risico's worden beheerst via standaard procedures, terwijl key risks specifieke aandacht van het management vereisen en vaak een aparte mitigatiestrategie hebben met bijbehorend budget.

Wie is verantwoordelijk voor key risk management?

Het bestuur of de directie is eindverantwoordelijk voor het risicobeheerbeleid. De operationele uitvoering ligt vaak bij een Chief Information Security Officer (CISO) of risicomanager, die rapporteert aan het bestuur over de status van key risks en de effectiviteit van mitigatiemaatregelen.

Hulp bij risicobeheer

Het effectief identificeren en beheren van key risks vraagt om specialistische expertise en een gestructureerde aanpak. Via het platform vind je GRC-specialisten die je helpen bij het opzetten van een risicobeheerproces dat past bij jouw organisatie en branche.

Krijg grip op je key risks met deskundige ondersteuning via IBgidsNL.