Een controle is een maatregel die u opzet om een risico te verlagen. Het is wat een theoretische analyse omzet in werkelijke beveiliging. Zonder gedocumenteerde controles is uw risicoregister slechts een lijst van vrezen.
Elke controle speelt een andere rol in de verdedigingsketen. Een solide programma combineert alle vier.
Voorkomt dat het risico zich voordoet. Eerste verdedigingslijn.
Voorbeelden: MFA, schijfencryptie, netwerksegmentatie, code review, phishing-bewustzijn.
Signaleert dat een verdachte of abnormale gebeurtenis plaatsvond.
Voorbeelden: EDR/AV, SIEM, uptime-monitoring, log-audits, e-mail DLP.
Herstelt de normale werking na een incident.
Voorbeelden: backups, incident response plan, business continuity plan, meldingsprocedure.
Beperkt financiële of reputationele impact wanneer preventie onmogelijk is.
Voorbeelden: cyberverzekering, 24/7 supportcontracten, uitbestede crisiscommunicatie.
Een controle wordt op twee aparte assen beoordeeld. Een kritieke nuance die auditors altijd controleren.
Is de controle goed ontworpen op papier? Dekt ze het risico goed af?
Een wachtwoordbeleid van 4 tekens heeft een slecht ontwerp, ongeacht of het wordt afgedwongen.
Werkt de controle echt dagelijks? Wordt ze toegepast, opgevolgd, actueel gehouden?
MFA geconfigureerd maar uitgeschakeld op de helft van de accounts heeft lage operationele effectiviteit, ook al is het ontwerp perfect.
- Koppel elke controle aan de risico's die ze dekt — één controle kan meerdere risico's dienen.
- Documenteer de controles die u AL heeft voor u nieuwe bedenkt.
- Voor ISO 27001, plan een jaarlijkse herbeoordeling van de effectiviteit van elke controle (veld "Volgende evaluatie").
- Koppel elke controle aan de compliance-vereisten (NIS2 art. X.Y, ISO clausule 8.3...) die ze dekt.