Wil je ook aan de slag met een risicoanalyse voor cybersecurity en ben je op zoek naar de beste aanpak? Helaas bestaat er geen speciale methode die voor alle situaties passend is. Er zijn namelijk vele manieren om risico’s te identificeren en voor verschillende contexten kunnen andere methodes en technieken nuttig zijn. Enkele van die methodes komen uit het vakgebied van futurologen en worden daar ook gebruikt. In dit artikel beschrijven we drie cybersecurity-uitdagingen waarbij je voor de risicoanalyse kunt kiezen voor een methodiek uit het futuring domein. Met de uitkomsten kun je binnen je instelling het gesprek aangaan over het nemen van beheersmaatregelen.
Cybersecurity-uitdaging 1: “Verwacht het onverwachte” zeggen de experts, maar hoe kun je onverwachte gebeurtenissen voorstellen?
In het Cybersecuritybeeld Nederland 2023 waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) organisaties om het onverwachte te verwachten en hun beveiliging daarop in te richten. Maar hoe kun je het onverwachte verkennen??
Organisaties die aan de slag gaan met cybersecurity beginnen vaak met activiteiten die dicht bij de eigen ervaring liggen. De eerste stap is dan ook vaak het aanpakken van cybersecurity-risico’s vanuit de kennis van bekende problemen: door verhalen uit de eigen organisatie en verhalen van anderen weten we (deels) hoe cybercriminelen misbruik maken van zwakke plekken. Ook weten we (grotendeels) hoe we dat kunnen voorkomen, namelijk door het toepassen van maatregelen uit normenkaders als het SURFaudit toetsingskader informatiebeveiliging en de security baseline. Echter, risicomanagement gaat in essentie veel meer over het omgaan met onzekerheden. Bij een grote verandering in de organisatie of in het ict-landschap, of bij het starten van een nieuwe activiteit zijn er nog geen voorbeeldverhalen. Dan moet je manier vinden om die onzekerheden in kaart te brengen.
Futuring tip 1: Inzicht in onzekerheden met de Horizon Scanning-tool
De kracht van futuring is dat het - onder andere - helpt om onzekerheden aan het daglicht te brengen. Het helpt om aannames en bekende situaties op hun kop te zetten en te denken in mogelijke veranderingen. Het is heel verleidelijk om te denken binnen de kaders, maar meestal komen veranderingen (lees: dreigingen) uit onverwachte hoeken. Met behulp van bijvoorbeeld een tool als Horizon Scanning kun je duiding geven aan de veranderende omgeving en die begrijpen. Een bekend framework hiervoor is een PESTLE- of STEEP-analyse. Een andere manier om out-of-the-box te denken is door ook met experts buiten je vakgebied te praten over ontwikkelingen die zij zien.
Meer over Horizon Scanning (en andere tools): https://www.undp.org/asia-pacific/publications/undp-rbap-foresight-playbook
Cybersecurity-uitdaging 2: Hoe groei je van reageren naar antifragiliteit?
Cybersecurity gaat over het samenhangende geheel van organisatie, mensen en digitale systemen binnen instellingen en over de relaties met partners en leveranciers. We kunnen cybersecurity daarom niet meer los zien van het ecosysteem waarin we ons bevinden. Ons ecosysteem is continu in verandering door factoren als geopolitiek, wetgeving, innovatie, economie en demografie. Cybersecurity-activiteiten moeten zich daar ook continu op aanpassen en op anticiperen. We streven niet alleen naar weerbaarheid, maar ook naar antifragiliteit: het vermogen om wanorde – bijvoorbeeld in de vorm van fouten, tegenslag en mislukkingen - om te buigen in kansen, mogelijkheden en groei.
Futuring tip 2: Aanpassen en anticiperen met scenarioplanning
Scenarioplanning is een futuring-techniek die helpt om mogelijke situaties en hun gevolgen te beschrijven. Door voor te stellen wat er zou kunnen gebeuren, is het mogelijk om te anticiperen op gebeurtenissen in plaats van alleen kunnen reageren op incidenten. Een bekende techniek is het 2x2 scenario op basis van meest onzekere ontwikkelingen met grote impact. Het kan ook een klein gedachtenexperiment zijn door de vraag te stellen die begint met ‘wat als’. Het gaat bij futuring niet om een accurate voorspelling te doen van ‘de toekomst’ maar om het voorstellen van wat mogelijk is en het aannemen van een anticiperende houding.
Cybersecurity-uitdaging 3: We weten nog niet alles van cybersecurity
Veel instellingen houden een register bij van cybersecurity incidenten en risico’s, maar daar wordt nog niet altijd optimaal kennis uit gehaald. Analyses over registers kunnen inzicht geven in veel voorkomende oorzaken en gevolgen van incidenten en risico’s, waardoor gerichtere preventie mogelijk is. In de praktijk zien we helaas nog niet veel informatiedeling vanuit die registers op sectoraal niveau zodat trendanalyses nog niet worden uitgevoerd. Dergelijke analyses zouden ons veel kunnen leren over cybersecurity in de sector.
Futuring tip 3: Trendanalyse
Trendanalyse is een veel gebruikte methode bij forecasting. Het doel is prestaties van een bepaalde factor uit het verleden te observeren en te registreren en deze naar de toekomst te projecteren, dan wel te extrapoleren. Belangrijk is om te beseffen is dat dit soort voorspellingen niet altijd werken. Er is vaak een grote hoeveelheid data nodig zoals met weersvoorspellingen, maar ook daar houden ze rekening met een foutmarge. Een recent model om verleden en toekomst in perspectief te brengen is het ‘alternative futures cone’ ontwikkeld bij Universiteit Utrecht.
Wil je meer weten?
Het beschrijven van cybersecurity-risico’s en het gesprek daarover voeren is hartstikke lastig. Er zijn diverse methoden en technieken die je kunt inzetten om dat proces te faciliteren. In dit artikel introduceerden wij drie van de vele mogelijke methodes die kunnen helpen om gesprekken over risico’s aan te gaan.
Met methoden uit de futuring discipline krijg je handvatten waarmee jouw instelling op strategisch niveau kan anticiperen, identificeren en voorbereiden op toekomstige cybersecurity problemen en technologische ontwikkelingen.
Wil je meer weten over futuring? Ga naar: https://www.surf.nl/en/themes/futuring
Meer weten over cybersecurity? Ga naar: https://sec.surf.nl
Meer weten over IT risicobeoordeling? Volg de training op 27 september 2024.
Auteurs:
Nicole van Deursen, Security Expertise Centrum
Gül Akcaova, lead futurist
0 Praat mee