CYRA (CYberRAting) is een hulpmiddel dat organisaties helpt om hun informatiebeveiliging in kaart te brengen en te verbeteren. De methode biedt een instap- en groeimodel dat aansluit op de behoeften van elke organisatie. Je kunt kiezen voor een niveau dat past bij de risico’s van jouw onderneming en de positie van jouw bedrijf in de leveranciersketen.
De methode is geschikt voor organisaties in alle sectoren en kan worden gebruikt als groeimodel richting een ISO 27001-certificering of als voorbereiding op de NIS2-richtlijn.
De methode-CYRA bestaat uit 4 stappen met elk 3 procesvolwassenheidslevels gebaseerd op de annex uit ISO-27001 en ISO-27701. Deze zijn ingegeven door de Capability Maturity Model Integration (CMMI) en voor CYRA vertaald naar de niveaus zoals aangegeven in het figuur boven.
Zoals in onderstaand figuur te zien is, en waar ook de assessments op gebaseerd zijn, is er voor elk niveau een toetsingskader dat te relateren is aan de respectievelijke ISO-normen. Zo is het voor organisaties duidelijk welk percentage (bron: documentatie CCV) van de totale set aan beheersmaatregelen wordt gehaald met het beoogde groeipad.
- Entry = 25%
- Basic = 55%
- Intermediate = 80%
Advanced = 100%
bijvoorbeeld GeldWijs bv heeft een Intermediate level gehaald, bleek uit de self-assessment. Dat betekent dat de organisatie 80% van de ISO-27001 (in combinatie met de ISO-27701) controls kan halen. Een organisatie die op een Entry level binnenkomt hoeft maar 25% van het totaal aantal controls te halen.
- Wij verzamelen hier uw informatieverzoeken:: Link bezoeken
- Privacy-check-nl: Bedankt dat u uw privacyopties hebt ingesteld.
Groeigerichte raamwerken vallen onder de risicomanagementraamwerken en richten zich op het stapsgewijs behalen van een (eind)doel. Het raamwerk kenmerkt zich door het bieden van verschillende niveaus. Hierdoor hebben organisaties de mogelijkheid om vanuit hun huidige situatie, afhankelijk van de verwachte toekomstperspectieven, markteisen, of organisatiedoelstellingen, een passend digitaal niveau voor zichzelf te selecteren.
- Wij verzamelen hier uw informatieverzoeken:: Link bezoeken
- Privacy-check-nl: Bedankt dat u uw privacyopties hebt ingesteld.
If medicine measured health the way many organizations measure cyber risk, we would call it malpractice.
We would never accept:
You are a 3 out of 5.
Your score improved by 5 points.
Your health is Yellow.
We would ask:
What is the probability?
What is the consequence?
What changes if we intervene?
Yet in cyber risk, we often report colors, maturity scores, and composite numbers and call it analysis.
If your model cannot translate a 5 point reduction into dollars and probability, it is not measuring risk. It is measuring comfort.
In this article, I walk through a simple thought experiment that may change how you think about reporting cyber risk.
Before your next risk readout, this is worth five minutes.
#CyberRisk #RiskManagement #CyberSecurity #RiskQuantification #BoardReporting
#womeninrisk #CISO #FAIR #ERM #Wicys
- Wij verzamelen hier uw informatieverzoeken:: Link bezoeken
- Privacy-check-nl: Bedankt dat u uw privacyopties hebt ingesteld.
The origin of New Year’s resolutions may well lie in the educational guidance parents provide to their children with regard to goal setting, the discipline required to achieve those goals, and the joy—or disappointment—that accompanies success or failure. Factors such as aiming too high or investing insufficient effort are just a few of the dimensions that shape the choices made along the way. This gradual hardening to the realities of society is, in fact, a gift from parents.
Organisations do not necessarily make New Year’s resolutions, but budgeting cycles often begin on January 1st. Goals are set—for example, achieving compliance with a specific regulation—in order to remain competitive in the economic landscape. Achieving compliance requires careful planning, as well as (e.g.) thorough documentation of blocking elements and their influence on outcomes. Identified elements are assessed for their potential negative impact on projected results, and where possible, measures are taken to mitigate these threats.
Standardising the definition of threats, maturity and/or risk assessment methods, incident frequency, and financial impact enables a clearer understanding of the risks involved. Thus easier to communicate to BoG. This, in turn, supports a more formalised and defensible decision-making process. Some refer to this as cyber risk management, others as cybersecurity investment decision-making, and still others as cybersecurity risk mitigation.
Regardless of terminology, a formalised cyber risk governance process is not merely a compliance exercise—it is a strategic asset that strengthens resilience, optimizes investment, and protects long-term business value.
#TrustMatters #NIS2 #DORA #TPRM #CyberRisk
- Wij verzamelen hier uw informatieverzoeken:: Link bezoeken
- Privacy-check-nl: Bedankt dat u uw privacyopties hebt ingesteld.
De oorsprong van nieuwjaarsvoornemens ligt wellicht in de opvoeding die ouders hun kinderen geven met betrekking tot het stellen van doelen, de discipline die nodig is om die doelen te bereiken, en de vreugde – of teleurstelling – die gepaard gaat met succes of falen. Factoren zoals te hoge doelen stellen of onvoldoende inspanning leveren zijn slechts enkele van de dimensies die de keuzes onderweg beïnvloeden. Deze geleidelijke gewenning aan de realiteit van de maatschappij is in feite een geschenk van ouders.
Organisaties maken niet per se nieuwjaarsvoornemens, maar budgetteringscycli beginnen vaak op 1 januari. Doelen worden gesteld – bijvoorbeeld het voldoen aan een specifieke regelgeving – om concurrerend te blijven in het economische landschap. Het voldoen aan regelgeving vereist zorgvuldige planning, evenals (bijvoorbeeld) grondige documentatie van belemmerende factoren en hun invloed op de resultaten. Geïdentificeerde factoren worden beoordeeld op hun potentiële negatieve impact op de verwachte resultaten en waar mogelijk worden maatregelen genomen om deze bedreigingen te beperken.
Het standaardiseren van de definitie van bedreigingen, de volwassenheidsgraad en/of risicobeoordelingsmethoden, de incidentfrequentie en de financiële impact maakt een duidelijker inzicht in de betrokken risico's mogelijk. Hierdoor is het gemakkelijker om met de Raad van Bestuur te communiceren. Dit ondersteunt op zijn beurt een meer geformaliseerd en verdedigbaar besluitvormingsproces. Sommigen noemen dit cyberrisicomanagement, anderen cybersecurity-investeringsbesluitvorming en weer anderen cybersecurity-risicobeperking.
Ongeacht de terminologie is een geformaliseerd cyberrisicobeheerproces niet slechts een compliance-oefening – het is een strategische troef die de weerbaarheid versterkt, investeringen optimaliseert en de bedrijfswaarde op lange termijn beschermt.
#TrustMatters #NIS2 #DORA #TPRM #CyberRisk
- Wij verzamelen hier uw informatieverzoeken:: Link bezoeken
- Privacy-check-nl: Bedankt dat u uw privacyopties hebt ingesteld.