Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Mitigerende maatregel

Verdediging

Een activiteit met als doel om de oorzaak of het gevolg van een ongewenste gebeurtenis weg te nemen, of te verkleinen.

Een mitigerende maatregel is een beveiligingsactie die het risico op een cyberdreiging verkleint door de waarschijnlijkheid of de impact van een incident te verminderen. Het begrip "mitigeren" komt van het Latijnse woord mitigare, dat verzachten of verminderen betekent. In de context van cybersecurity verwijst een mitigerende maatregel naar elke technische, organisatorische of procedurele actie die je neemt om een geidentificeerd risico terug te brengen tot een acceptabel niveau. Mitigerende maatregelen vormen de kern van elk cybersecurity-risicobeheerproces en zijn onlosmakelijk verbonden met frameworks zoals ISO 27001 en het NIST Cybersecurity Framework.

Het implementeren van mitigerende maatregelen is geen eenmalige activiteit maar een continu proces. Na het uitvoeren van een risicoanalyse identificeer je de dreigingen waarmee je organisatie te maken kan krijgen en beoordeel je de waarschijnlijkheid en impact van elk risico. Vervolgens selecteer je voor elk risico dat boven het acceptabele niveau uitkomt een of meer mitigerende maatregelen. Volgens het NCSC is risicobehandeling het proces waarbij je risico's beperkt tot een aanvaardbaar niveau door de juiste combinatie van maatregelen te treffen. Naast mitigatie bestaan er ook andere strategieen voor risicobeheer, zoals risicoaccepatie, risicovermijding en risico-overdracht.

Hoe werkt een mitigerende maatregel?

Een mitigerende maatregel werkt door in te grijpen op een of beide componenten van een risico: de waarschijnlijkheid dat het risico zich voordoet en de impact wanneer het risico zich materialiseert. Technische maatregelen zoals firewalls, encryptie en multi-factor authenticatie verkleinen de waarschijnlijkheid dat een aanvaller succesvol is. Organisatorische maatregelen zoals backupstrategieen, incidentresponsplannen en bedrijfscontinuiteitsplannen verkleinen de impact wanneer een incident plaatsvindt.

Mitigerende maatregelen worden vaak ingedeeld in drie categorieen. Preventieve maatregelen voorkomen dat een dreiging zich voordoet, zoals het toepassen van patch management om bekende kwetsbaarheden te dichten. Detectieve maatregelen detecteren dreigingen die door preventieve maatregelen zijn gekomen, zoals monitoring en logging via een SIEM-systeem. Correctieve maatregelen herstellen de schade na een incident, zoals het terugzetten van een backup na een ransomware-aanval.

De effectiviteit van een mitigerende maatregel wordt bepaald door hoe goed deze het risico verlaagt in verhouding tot de kosten en inspanning die ermee gemoeid zijn. Niet elk risico vereist een dure technische oplossing. Soms is een eenvoudige procedurele maatregel, zoals het instellen van een clean desk-beleid of het beperken van USB-toegang, voldoende om een risico tot een acceptabel niveau terug te brengen. Het gaat altijd om de juiste balans tussen risiconiveau, kosten en operationele haalbaarheid. Een goede mitigerende maatregel is bovendien meetbaar: je kunt vaststellen of de maatregel werkt en het risico daadwerkelijk verlaagt tot het gewenste niveau.

Hoe implementeer je mitigerende maatregelen?

De implementatie van mitigerende maatregelen volgt een gestructureerd proces dat begint bij de risicoanalyse. Start met het in kaart brengen van je assets, dreigingen en kwetsbaarheden. Beoordeel voor elk risico de waarschijnlijkheid en de potentiele impact op basis van een vastgestelde methodiek, zoals de NCSC-risicomatrix of ISO 27005. Prioriteer vervolgens de risico's die boven het door je bestuur vastgestelde acceptatieniveau uitkomen.

Voor elk geprioriteerd risico selecteer je een of meer maatregelen uit een erkend framework. De CIS Controls bieden een praktisch geordende lijst van beveiligingsmaatregelen, geprioriteerd op effectiviteit. ISO 27001 Annex A bevat een uitgebreide catalogus van beheersmaatregelen die je kunt gebruiken als referentiekader. Het is belangrijk om maatregelen te kiezen die passen bij de grootte, het risicoprofiel en het volwassenheidsniveau van je organisatie.

Na het selecteren van maatregelen stel je een implementatieplan op met verantwoordelijkheden, tijdlijnen en benodigde middelen. Implementeer de maatregelen gefaseerd, te beginnen met de maatregelen die het hoogste risico het snelst verlagen. Test elke maatregel na implementatie om te verifieren dat deze werkt zoals bedoeld. Documenteer de getroffen maatregelen en het restrisico in een risicoregister en evalueer de effectiviteit van je maatregelen periodiek, minimaal jaarlijks of bij significante veranderingen in je organisatie of dreigingslandschap.

Best practices voor mitigerende maatregelen

Pas het principe van defense in depth toe door meerdere lagen van mitigerende maatregelen te implementeren. Vertrouw nooit op een enkele maatregel om een risico volledig af te dekken. Combineer technische maatregelen zoals firewalls en encryptie met organisatorische maatregelen zoals security awareness-training en toegangsbeheerbeleid. Als een laag faalt, vangen de andere lagen het op.

Zorg dat je mitigerende maatregelen proportioneel zijn aan het risico dat ze adresseren. Een kleine organisatie met beperkte middelen hoeft niet dezelfde maatregelen te treffen als een multinational. Focus je budget op de maatregelen die het meeste risico reduceren per geInvesteerde euro. De CIS Controls Implementation Groups bieden hiervoor een handige indeling in drie niveaus, van basismaatregelen voor elke organisatie tot geavanceerde maatregelen voor grote en complexe omgevingen.

Houd je maatregelen actueel door ze regelmatig te evalueren tegen het actuele dreigingslandschap. Wat vorig jaar een effectieve maatregel was, kan vandaag achterhaald zijn door nieuwe aanvalstechnieken. Gebruik bronnen zoals het ENISA Threat Landscape en de NCSC-dreigingsbeoordelingen om je maatregelen bij te stellen. Voer periodiek penetratietesten uit om te verifieren dat je maatregelen in de praktijk standhouden tegen realistische aanvalsscenario's. Betrek je medewerkers bij het proces: een geschikte technische maatregel faalt als medewerkers deze omzeilen of niet correct toepassen in hun dagelijkse werkzaamheden.

Veelgestelde vragen over mitigerende maatregelen

Wat is het verschil tussen mitigeren en elimineren van een risico?

Mitigeren betekent het risico verkleinen tot een acceptabel niveau. Elimineren betekent het risico volledig wegnemen, bijvoorbeeld door een risicovolle activiteit te stoppen. In de praktijk is volledige eliminatie van cyberrisico's zelden mogelijk of wenselijk, waardoor mitigatie de meest voorkomende strategie is.

Hoeveel mitigerende maatregelen heeft een organisatie nodig?

Dat hangt af van je risicoprofiel, sector en omvang. Een MKB-bedrijf kan beginnen met de 18 basismaatregelen van de CIS Controls Implementation Group 1. Grotere organisaties of organisaties in gereguleerde sectoren hebben doorgaans 50 tot 200 maatregelen nodig om alle geidentificeerde risico's adequaat af te dekken.

Zijn mitigerende maatregelen verplicht onder NIS2?

Ja. De NIS2-richtlijn verplicht organisaties die onder de richtlijn vallen om passende en evenredige technische, operationele en organisatorische maatregelen te treffen om de risico's voor de beveiliging van netwerk- en informatiesystemen te beheren. De specifieke maatregelen worden niet voorgeschreven, maar moeten aantoonbaar effectief zijn.

Hoe meet je de effectiviteit van mitigerende maatregelen?

Meet de effectiviteit door Key Risk Indicators (KRI's) en Key Performance Indicators (KPI's) te definiSren voor elke maatregel. Voer regelmatig audits en penetratietesten uit. Evalueer of incidenten afnemen na implementatie van maatregelen. Vergelijk je restrisico met het door het bestuur geaccepteerde risiconiveau.

Wat als een mitigerende maatregel te duur is?

Als een maatregel te duur is in verhouding tot het risico, overweeg dan alternatieve strategieen. Je kunt het risico accepteren als het onder het acceptatieniveau valt, het risico overdragen via een cyberverzekering, of zoeken naar een goedkopere alternatieve maatregel die hetzelfde risico adresseert.

Implementeer de juiste mitigerende maatregelen met een specialist. Vergelijk Governance, Risk & Compliance aanbieders op IBgidsNL.