BIO 11.01.01 ISO A.5.1

Risicoappetijt Ontwikkeling Voor Microsoft 365 Governance

📅 2025-01-27
⏱️ 30 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Risicoappetijt ontwikkeling is een fundamenteel onderdeel van effectieve Microsoft 365 governance en risicobeheer voor Nederlandse overheidsorganisaties. Een goed gedefinieerd risicoappetijt stelt organisaties in staat om consistente beslissingen te nemen over welke risico's acceptabel zijn en welke maatregelen nodig zijn om risico's binnen aanvaardbare grenzen te houden. Zonder een duidelijk risicoappetijt lopen organisaties het risico om inconsistente beslissingen te nemen, onvoldoende prioriteit te geven aan kritieke beveiligingsmaatregelen, of juist overmatige beveiliging te implementeren die efficiëntie en gebruiksvriendelijkheid onnodig beperkt.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
160u (tech: 40u)
Van toepassing op:
M365
Publieke Sector
Overheidsorganisaties
Azure AD / Entra ID
Exchange Online
SharePoint Online
Teams
Security Teams

Risicoappetijt ontwikkeling is essentieel omdat het organisaties helpt om balans te vinden tussen beveiliging, gebruiksvriendelijkheid en operationele efficiëntie. Zonder een duidelijk gedefinieerd risicoappetijt kunnen organisaties niet consistent bepalen welke risico's acceptabel zijn en welke maatregelen prioriteit moeten krijgen. Dit leidt tot situaties waarin sommige risico's worden onderschat terwijl andere worden overschat, waardoor middelen niet optimaal worden ingezet. Bovendien is risicoappetijt essentieel voor effectieve communicatie met bestuurders, toezichthouders en stakeholders over welke risico's de organisatie accepteert en welke maatregelen worden genomen om risico's te mitigeren. De Baseline Informatiebeveiliging Overheid (BIO) vereist dat organisaties risico's beoordelen en bepalen welke risico's acceptabel zijn, wat een expliciet risicoappetijtbeleid vereist. ISO 27001 vereist eveneens dat organisaties een risicomanagement beleid opstellen dat risicoappetijt definieert. Zonder een goed gedefinieerd risicoappetijt kunnen organisaties niet aantoonbaar compliance demonstreren aan deze frameworks.

PowerShell Modules Vereist
Primary API: Microsoft Graph, Microsoft 365 Admin Center, Compliance Manager, Security & Compliance Center
Connection: Connect-MgGraph, Connect-IPPSSession
Required Modules: Microsoft.Graph, ExchangeOnlineManagement

Implementatie

Dit artikel beschrijft hoe Nederlandse overheidsorganisaties een risicoappetijt kunnen ontwikkelen en implementeren voor Microsoft 365 governance en beveiliging. We bespreken wat risicoappetijt is en waarom het belangrijk is, welke factoren meewegen bij het bepalen van risicoappetijt, en hoe risicoappetijt kan worden vertaald naar concrete beveiligingsmaatregelen en governance-beslissingen. Het artikel behandelt het ontwikkelen van een risicoappetijt statement, het koppelen van risicoappetijt aan verschillende soorten risico's en bedrijfsprocessen, en het monitoren en bijwerken van risicoappetijt over tijd. Daarnaast beschrijven we hoe Microsoft 365-tools zoals Secure Score, Compliance Manager en risicobeoordelingen kunnen worden gebruikt om risicoappetijt te operationaliseren en te monitoren. Het bijbehorende PowerShell-script ondersteunt deze aanpak door risicometrics te verzamelen en te vergelijken met gedefinieerde risicoappetijt thresholds.

Begrijpen van Risicoappetijt en Context

Risicoappetijt is de hoeveelheid en het type risico dat een organisatie bereid is te accepteren in het nastreven van haar doelstellingen. Voor Microsoft 365 governance betekent dit dat organisaties expliciet moeten definiëren welke beveiligingsrisico's acceptabel zijn en welke maatregelen nodig zijn om risico's binnen aanvaardbare grenzen te houden. Risicoappetijt is niet hetzelfde als risicotolerantie: risicotolerantie is het vermogen van een organisatie om risico's te dragen zonder significante schade, terwijl risicoappetijt een strategische keuze is over hoeveel risico de organisatie wil nemen. Voor overheidsorganisaties is risicoappetijt vaak conservatiever dan voor commerciële organisaties omdat zij verantwoordelijk zijn voor publieke middelen, persoonsgegevens van burgers, en kritieke dienstverlening die niet mag falen.

Risicoappetijt voor Microsoft 365 moet worden bekeken vanuit verschillende perspectieven: operationeel risico zoals downtime of serviceonderbrekingen, beveiligingsrisico zoals datalekken of ongeautoriseerde toegang, compliance-risico zoals het niet voldoen aan wet- en regelgeving, en reputatierisico zoals publieke schade aan vertrouwen en imago. Voor elk type risico moet de organisatie bepalen wat acceptabel is. Bijvoorbeeld, voor persoonsgegevens is het risicoappetijt typisch zeer laag omdat datalekken kunnen leiden tot significante schade voor betrokkenen en kunnen resulteren in boetes onder de AVG. Voor operationele diensten kan het risicoappetijt iets hoger liggen, maar nog steeds beperkt omdat overheidsorganisaties verantwoordelijk zijn voor continuïteit van dienstverlening.

De context van Nederlandse overheidsorganisaties bepaalt in belangrijke mate het risicoappetijt. Organisaties die werken met zeer gevoelige informatie zoals justitiële gegevens, medische gegevens, of financiële gegevens van burgers hebben typisch een zeer laag risicoappetijt. Organisaties die werken met minder gevoelige informatie maar wel verantwoordelijk zijn voor kritieke infrastructuur of dienstverlening hebben eveneens een laag tot matig risicoappetijt. De sector waarin de organisatie actief is, de omvang van de organisatie, en de complexiteit van de IT-omgeving zijn allemaal factoren die meewegen bij het bepalen van risicoappetijt. Bovendien moeten organisaties rekening houden met wettelijke en compliance-vereisten: de BIO, NIS2-richtlijn, AVG, en andere relevante kaders stellen specifieke eisen aan beveiliging en risicobeheer die het risicoappetijt beperken.

Risicoappetijt is niet statisch maar moet regelmatig worden geëvalueerd en bijgewerkt op basis van veranderende omstandigheden, nieuwe bedreigingen, nieuwe technologieën, en veranderende organisatiedoelstellingen. Organisaties moeten daarom processen inrichten voor periodieke evaluatie van risicoappetijt, waarbij bestuurders en risicomanagement teams gezamenlijk bepalen of het huidige risicoappetijt nog passend is of dat aanpassingen nodig zijn. Microsoft 365 evolueert continu met nieuwe functies, nieuwe bedreigingen, en nieuwe compliance-vereisten, wat betekent dat risicoappetijt ook moet evolueren om relevant te blijven.

Ontwikkelen van een Risicoappetijt Statement

Het ontwikkelen van een risicoappetijt statement is een gestructureerd proces dat begint bij de bestuurders en doordringt tot operationele teams. Een risicoappetijt statement moet duidelijk, meetbaar en actiegericht zijn: het moet niet alleen beschrijven wat het risicoappetijt is, maar ook hoe het wordt geoperationaliseerd en geïmplementeerd. Het statement moet verschillende categorieën van risico's onderscheiden, omdat niet alle risico's hetzelfde zijn: beveiligingsrisico's zoals datalekken hebben andere gevolgen dan operationele risico's zoals serviceonderbrekingen, en moeten daarom anders worden behandeld.

Een goed risicoappetijt statement bevat ten minste de volgende elementen: een overzicht van het algemene risicoappetijt van de organisatie op hoog niveau, specifieke risicoappetijt niveaus voor verschillende categorieën van risico's zoals beveiligingsrisico's, operationele risico's, compliance-risico's en reputatierisico's, duidelijke criteria voor wanneer risico's acceptabel zijn en wanneer aanvullende maatregelen nodig zijn, koppeling aan bedrijfsdoelstellingen en strategische prioriteiten, en procedures voor het evalueren en bijwerken van risicoappetijt. Het statement moet worden opgesteld door bestuurders in samenwerking met risicomanagement teams, security officers, en compliance officers, zodat alle perspectieven worden meegenomen.

Risicoappetijt kan worden uitgedrukt in verschillende niveaus: zeer laag (conservatief, minimale risicoacceptatie, maximale beveiliging), laag (voorzichtig, beperkte risicoacceptatie, sterke beveiliging), matig (gebalanceerd, redelijke risicoacceptatie, passende beveiliging), hoog (agressief, significante risicoacceptatie, minimale beveiliging), of zeer hoog (zeer agressief, maximale risicoacceptatie, minimale beveiliging). Voor Nederlandse overheidsorganisaties is het risicoappetijt typisch zeer laag tot laag voor beveiligingsrisico's en compliance-risico's, omdat deze organisaties verantwoordelijk zijn voor publieke middelen en persoonsgegevens en moeten voldoen aan strikte wettelijke vereisten. Voor operationele risico's kan het risicoappetijt iets hoger liggen, maar nog steeds beperkt omdat continuïteit van dienstverlening essentieel is.

Het risicoappetijt statement moet ook duidelijk maken hoe het wordt vertaald naar concrete maatregelen en beslissingen. Dit betekent dat het statement moet specificeren welke beveiligingsmaatregelen minimaal vereist zijn voor verschillende risiconiveaus, welke risico's automatisch escaleren naar bestuurders, en hoe beslissingen worden genomen wanneer nieuwe risico's worden geïdentificeerd. Het statement moet bovendien koppelen aan Microsoft 365 specifieke maatregelen: welke Secure Score niveaus zijn acceptabel, welke compliance-vereisten zijn minimaal vereist, welke beveiligingsfuncties moeten worden ingeschakeld, en welke monitoring en rapportage is nodig om risicoappetijt te waarborgen.

Operationaliseren van Risicoappetijt in Microsoft 365

Gebruik PowerShell-script risk-appetite-development.ps1 (functie Invoke-RiskAppetiteAssessment) – Evalueert de huidige risicopostuur van Microsoft 365 en vergelijkt deze met gedefinieerde risicoappetijt thresholds.

Het operationaliseren van risicoappetijt betekent dat abstracte risicoappetijt niveaus worden vertaald naar concrete, meetbare criteria en maatregelen die kunnen worden geïmplementeerd en gemonitord in Microsoft 365. Dit vereist dat organisaties risicoappetijt koppelen aan specifieke metrics, thresholds en maatregelen die kunnen worden geautomatiseerd en gemonitord. Microsoft Secure Score is bijvoorbeeld een belangrijke metric die kan worden gebruikt om risicoappetijt te operationaliseren: organisaties met een zeer laag risicoappetijt kunnen vereisen dat Secure Score minimaal 85% is, terwijl organisaties met een matig risicoappetijt kunnen accepteren dat Secure Score minimaal 70% is.

Voor verschillende categorieën van risico's moeten verschillende metrics en thresholds worden gedefinieerd. Voor beveiligingsrisico's kunnen metrics zoals MFA-dekking, Conditional Access configuratie, DLP-implementatie, en threat detection rates worden gebruikt. Organisaties met een zeer laag risicoappetijt kunnen vereisen dat MFA 100% is geïmplementeerd voor alle gebruikers, dat Conditional Access policies alle toegang beschermen, en dat DLP volledig is geïmplementeerd voor alle gevoelige informatie. Organisaties met een matig risicoappetijt kunnen accepteren dat MFA minimaal 90% is, dat Conditional Access policies kritieke applicaties beschermen, en dat DLP is geïmplementeerd voor hoog-risico informatie.

Voor compliance-risico's kunnen metrics zoals Compliance Manager scores, audit logging dekking, en retention policy implementatie worden gebruikt. Organisaties met een zeer laag risicoappetijt kunnen vereisen dat Compliance Manager scores minimaal 90% zijn voor alle relevante frameworks, dat alle kritieke acties worden gelogd, en dat retention policies volledig zijn geïmplementeerd. Organisaties met een matig risicoappetijt kunnen accepteren dat Compliance Manager scores minimaal 75% zijn, dat kritieke acties worden gelogd, en dat retention policies zijn geïmplementeerd voor kritieke data.

Het PowerShell-script dat bij dit artikel hoort, ondersteunt het operationaliseren van risicoappetijt door risicometrics te verzamelen en te vergelijken met gedefinieerde thresholds. Het script haalt gegevens op uit verschillende bronnen: Secure Score via Microsoft Graph, compliance-status via Compliance Manager, beveiligingsmetrics via verschillende Microsoft 365 admin centers, en risicobeoordelingen via security dashboards. Door deze gegevens te combineren en te vergelijken met risicoappetijt thresholds, kan het script automatisch identificeren wanneer risico's buiten het gedefinieerde risicoappetijt vallen en wanneer aanvullende maatregelen nodig zijn. Het script ondersteunt ook een DebugMode waarin geen verbinding wordt gemaakt met Microsoft 365 en waarin voorbeelddata wordt teruggegeven, zodat het script lokaal kan worden getest en gedemonstreerd zonder toegang tot productie-omgevingen.

Risicoappetijt en Besluitvorming

Risicoappetijt moet een centrale rol spelen in alle besluitvorming rondom Microsoft 365 beveiliging en governance. Wanneer nieuwe functies worden geëvalueerd, wanneer nieuwe maatregelen worden overwogen, wanneer incidenten worden geëvalueerd, en wanneer budgettaire beslissingen worden genomen, moet risicoappetijt de leidraad zijn. Dit betekent dat organisaties processen moeten inrichten waarbij risicoappetijt expliciet wordt meegenomen in besluitvormingscriteria, en waarbij beslissingen worden gedocumenteerd met verwijzing naar risicoappetijt overwegingen.

Bij het evalueren van nieuwe Microsoft 365 functies of services moet risicoappetijt worden gebruikt om te bepalen of de functie of service acceptabel is gegeven het risicoappetijt van de organisatie. Functies met hoge beveiligingsrisico's maar lage operationele waarde kunnen worden afgewezen door organisaties met een zeer laag risicoappetijt, terwijl organisaties met een matig risicoappetijt deze functies kunnen accepteren met aanvullende beveiligingsmaatregelen. Functies met lage beveiligingsrisico's maar hoge operationele waarde kunnen worden geaccepteerd door alle organisaties, ongeacht risicoappetijt.

Bij het prioriteren van beveiligingsmaatregelen moet risicoappetijt worden gebruikt om te bepalen welke maatregelen prioriteit moeten krijgen. Organisaties met een zeer laag risicoappetijt moeten prioriteit geven aan alle maatregelen die kritieke risico's mitigeren, ongeacht kosten of complexiteit. Organisaties met een matig risicoappetijt kunnen prioriteit geven aan maatregelen die de grootste risicoreductie bieden tegen de laagste kosten of complexiteit. Risicoappetijt moet ook worden gebruikt om te bepalen wanneer aanvullende maatregelen nodig zijn bovenop standaard configuraties: organisaties met een zeer laag risicoappetijt kunnen aanvullende maatregelen vereisen die organisaties met een matig risicoappetijt niet nodig hebben.

Bij het reageren op incidenten moet risicoappetijt worden gebruikt om te bepalen welke responsniveaus nodig zijn en welke maatregelen moeten worden genomen. Organisaties met een zeer laag risicoappetijt kunnen vereisen dat alle incidenten, ongeacht ernst, worden geëscaleerd naar bestuurders en worden onderzocht met volledige forensische analyse. Organisaties met een matig risicoappetijt kunnen accepteren dat lage ernst incidenten worden afgehandeld door operationele teams zonder escalatie, terwijl hoge ernst incidenten worden geëscaleerd. Risicoappetijt bepaalt ook welke communicatie nodig is bij incidenten: organisaties met een zeer laag risicoappetijt kunnen vereisen dat alle significante incidenten worden gecommuniceerd naar bestuurders, toezichthouders en waar relevant naar het publiek, terwijl organisaties met een matig risicoappetijt alleen hoge ernst incidenten hoeven te communiceren.

Monitoring en Evaluatie van Risicoappetijt

Gebruik PowerShell-script risk-appetite-development.ps1 (functie Invoke-RiskAppetiteMonitoring) – Monitort continu de risicopostuur en rapporteert wanneer thresholds worden overschreden.

Risicoappetijt moet regelmatig worden gemonitord en geëvalueerd om te waarborgen dat het nog relevant en passend is. Monitoring betekent dat organisaties continu moeten meten of de daadwerkelijke risicopostuur binnen het gedefinieerde risicoappetijt blijft, en moeten rapporteren wanneer risico's buiten het risicoappetijt vallen. Evaluatie betekent dat organisaties periodiek moeten beoordelen of het risicoappetijt zelf nog passend is gegeven veranderende omstandigheden, nieuwe bedreigingen, nieuwe technologieën, en veranderende organisatiedoelstellingen.

Monitoring van risicoappetijt vereist dat organisaties metrics verzamelen en analyseren die aantonen of de risicopostuur binnen het gedefinieerde risicoappetijt blijft. Microsoft Secure Score, Compliance Manager scores, beveiligingsmetrics, en incidentstatistieken zijn allemaal belangrijke bronnen van informatie voor monitoring. Deze metrics moeten regelmatig worden verzameld, idealiter maandelijks of wekelijks, en moeten worden geanalyseerd om trends te identificeren en afwijkingen te detecteren. Wanneer metrics aangeven dat risico's buiten het risicoappetijt vallen, moeten organisaties direct actie ondernemen om de risicopostuur terug te brengen binnen acceptabele grenzen.

Evaluatie van risicoappetijt moet plaatsvinden op strategisch niveau, idealiter jaarlijks of wanneer significante veranderingen optreden zoals nieuwe wet- en regelgeving, nieuwe bedreigingen, nieuwe technologieën, of wijzigingen in organisatiedoelstellingen. Evaluatie vereist dat bestuurders, risicomanagement teams, security officers, en compliance officers gezamenlijk bepalen of het huidige risicoappetijt nog passend is of dat aanpassingen nodig zijn. Evaluatie moet rekening houden met veranderende externe omstandigheden zoals nieuwe cyberbedreigingen, nieuwe compliance-vereisten, of veranderende verwachtingen van stakeholders. Evaluatie moet ook rekening houden met interne veranderingen zoals nieuwe bedrijfsprocessen, nieuwe technologieën, of wijzigingen in organisatiestrategie.

Het PowerShell-script dat bij dit artikel hoort, ondersteunt monitoring door automatisch risicometrics te verzamelen en te vergelijken met gedefinieerde thresholds. Het script kan worden geconfigureerd om regelmatig te draaien, bijvoorbeeld via een scheduled task of via Azure Automation, en kan automatisch waarschuwingen genereren wanneer risico's buiten het risicoappetijt vallen. Het script genereert ook rapportages die kunnen worden gebruikt voor evaluatie, waarbij trends over tijd worden getoond en waarbij inzicht wordt gegeven in hoe de risicopostuur zich ontwikkelt ten opzichte van het gedefinieerde risicoappetijt.

Communicatie en Stakeholder Engagement

Effectieve risicoappetijt ontwikkeling vereist communicatie en engagement met alle relevante stakeholders, omdat risicoappetijt alleen effectief is wanneer het breed wordt begrepen en geaccepteerd. Bestuurders moeten het risicoappetijt begrijpen en onderschrijven omdat zij uiteindelijk verantwoordelijk zijn voor risicoacceptatie. IT- en security-teams moeten het risicoappetijt begrijpen omdat zij degenen zijn die risico's moeten monitoren en maatregelen moeten implementeren. Gebruikers moeten het risicoappetijt begrijpen in zoverre dat het invloed heeft op hun dagelijkse werk, bijvoorbeeld wanneer bepaalde functies niet beschikbaar zijn vanwege beveiligingsmaatregelen.

Communicatie over risicoappetijt moet aangepast worden aan de doelgroep. Bestuurders hebben behoefte aan strategische informatie over risicoappetijt niveaus, de rationale achter risicoappetijt keuzes, en de implicaties voor besluitvorming. IT- en security-teams hebben behoefte aan operationele informatie over hoe risicoappetijt wordt geoperationaliseerd, welke metrics en thresholds worden gebruikt, en welke maatregelen nodig zijn om binnen risicoappetijt te blijven. Gebruikers hebben behoefte aan praktische informatie over hoe risicoappetijt invloed heeft op hun dagelijkse werk en welke beveiligingsmaatregelen zij moeten volgen.

Risicoappetijt moet ook worden gecommuniceerd naar externe stakeholders zoals toezichthouders, auditors, en partners wanneer relevant. Toezichthouders moeten kunnen begrijpen hoe de organisatie omgaat met risico's en welke maatregelen worden genomen om risico's binnen aanvaardbare grenzen te houden. Auditors moeten kunnen verifiëren dat risicoappetijt daadwerkelijk wordt geïmplementeerd en gemonitord. Partners moeten kunnen begrijpen welke risico's de organisatie accepteert wanneer zij samenwerken, zodat zij hun eigen risicoappetijt kunnen afstemmen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Risicoappetijt Ontwikkeling voor Microsoft 365 Governance. .DESCRIPTION Dit script ondersteunt de ontwikkeling en monitoring van risicoappetijt voor Microsoft 365 beveiligings- en governance-praktijken. Het script evalueert de huidige risicopostuur en vergelijkt deze met gedefinieerde risicoappetijt thresholds, en monitort continu of risico's binnen het gedefinieerde risicoappetijt blijven. In DebugMode worden geen cloudverbindingen gemaakt en wordt voorbeelddata teruggegeven zodat het script lokaal getest kan worden zonder toegang tot een tenant. .NOTES Filename: risk-appetite-development.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-27 Last Modified: 2025-01-27 Version: 1.0 Related JSON: content/m365/governance/risk-appetite-development.json Category: governance Workload: m365 .LINK https://github.com/m365-tenant-best-practise .EXAMPLE .\risk-appetite-development.ps1 -DebugMode Voert een lokale testrun uit met voorbeelddata zonder verbinding met Microsoft 365. .EXAMPLE .\risk-appetite-development.ps1 -Function Invoke-RiskAppetiteAssessment Evalueert de huidige risicopostuur en vergelijkt deze met gedefinieerde risicoappetijt thresholds. .EXAMPLE .\risk-appetite-development.ps1 -Function Invoke-RiskAppetiteMonitoring Monitort continu de risicopostuur en rapporteert wanneer thresholds worden overschreden. #> #Requires -Version 5.1 [CmdletBinding()] param( [Parameter(HelpMessage = "Voer een lokale debug-run uit met voorbeelddata, zonder cloudverbinding.")] [switch]$DebugMode, [Parameter(HelpMessage = "Specificeer welke functie moet worden uitgevoerd.")] [ValidateSet("Invoke-RiskAppetiteAssessment", "Invoke-RiskAppetiteMonitoring")] [string]$Function = "Invoke-RiskAppetiteAssessment", [Parameter(HelpMessage = "Specificeer het risicoappetijt niveau dat moet worden gebruikt voor evaluatie.")] [ValidateSet("ZeerLaag", "Laag", "Matig", "Hoog", "ZeerHoog")] [string]$RiskAppetiteLevel = "Laag" ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Risicoappetijt Ontwikkeling (M365)" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan # Risicoappetijt thresholds definities $RiskAppetiteThresholds = @{ "ZeerLaag" = @{ SecureScoreMinimum = 85 MfaCoverageMinimum = 100 ComplianceScoreMinimum = 90 ConditionalAccessMinimum = 95 DlpCoverageMinimum = 90 AuditLoggingMinimum = 100 } "Laag" = @{ SecureScoreMinimum = 75 MfaCoverageMinimum = 95 ComplianceScoreMinimum = 80 ConditionalAccessMinimum = 90 DlpCoverageMinimum = 80 AuditLoggingMinimum = 95 } "Matig" = @{ SecureScoreMinimum = 65 MfaCoverageMinimum = 90 ComplianceScoreMinimum = 70 ConditionalAccessMinimum = 80 DlpCoverageMinimum = 70 AuditLoggingMinimum = 90 } "Hoog" = @{ SecureScoreMinimum = 50 MfaCoverageMinimum = 75 ComplianceScoreMinimum = 60 ConditionalAccessMinimum = 70 DlpCoverageMinimum = 60 AuditLoggingMinimum = 80 } "ZeerHoog" = @{ SecureScoreMinimum = 40 MfaCoverageMinimum = 50 ComplianceScoreMinimum = 50 ConditionalAccessMinimum = 50 DlpCoverageMinimum = 50 AuditLoggingMinimum = 70 } } function Connect-M365RiskAppetiteContext { <# .SYNOPSIS Maakt verbinding met Microsoft Graph en Security & Compliance Center voor risicoappetijt evaluatie. .DESCRIPTION Gebruikt Connect-MgGraph en Connect-IPPSSession met benodigde scopes voor metrics verzameling. Deze functie maakt geen verbinding wanneer DebugMode is ingeschakeld. #> [CmdletBinding()] param() if ($DebugMode) { Write-Host "DebugMode: er wordt geen verbinding gemaakt met Microsoft 365." -ForegroundColor Yellow return } Write-Host "Verbinding maken met Microsoft Graph..." -ForegroundColor Gray Connect-MgGraph -Scopes "SecurityEvents.Read.All","Directory.Read.All","User.Read.All","Policy.Read.All","AuditLog.Read.All" -ErrorAction Stop | Out-Null Write-Host "Verbonden met Microsoft Graph" -ForegroundColor Green Write-Host "Verbinding maken met Security & Compliance Center..." -ForegroundColor Gray Connect-IPPSSession -ErrorAction Stop | Out-Null Write-Host "Verbonden met Security & Compliance Center" -ForegroundColor Green } function Get-SecureScoreForRiskAppetite { <# .SYNOPSIS Haalt Secure Score metrics op voor risicoappetijt evaluatie. .OUTPUTS PSCustomObject met Secure Score informatie. #> [CmdletBinding()] param() if ($DebugMode) { return [PSCustomObject]@{ CurrentScore = 720 MaxScore = 1000 Percentage = 72.0 ScoreCategory = "Goed" Trend = "Stabiel" LastUpdated = (Get-Date).AddDays(-1) } } Write-Verbose "Ophalen van Secure Score metrics..." try { $secureScore = Get-MgSecuritySecureScore -Top 1 -ErrorAction SilentlyContinue if ($secureScore) { $scoreValue = $secureScore.CurrentScore $maxScore = $secureScore.MaxScore $percentage = [Math]::Round(($scoreValue / $maxScore) * 100, 2) $scoreCategory = "Onvoldoende" if ($percentage -ge 80) { $scoreCategory = "Zeer goed" } elseif ($percentage -ge 65) { $scoreCategory = "Goed" } elseif ($percentage -ge 50) { $scoreCategory = "Voldoende" } return [PSCustomObject]@{ CurrentScore = $scoreValue MaxScore = $maxScore Percentage = $percentage ScoreCategory = $scoreCategory Trend = "Stabiel" LastUpdated = Get-Date } } } catch { Write-Host "Kon Secure Score niet ophalen: $_" -ForegroundColor Yellow } return [PSCustomObject]@{ CurrentScore = 0 MaxScore = 1000 Percentage = 0 ScoreCategory = "Onbekend" Trend = "Geen data" LastUpdated = Get-Date } } function Get-MfaCoverageForRiskAppetite { <# .SYNOPSIS Haalt MFA-dekking op voor risicoappetijt evaluatie. .OUTPUTS PSCustomObject met MFA-dekking informatie. #> [CmdletBinding()] param() if ($DebugMode) { return [PSCustomObject]@{ TotalUsers = 500 UsersWithMfa = 475 CoveragePercentage = 95.0 Status = "Binnen threshold" LastUpdated = (Get-Date).AddDays(-1) } } Write-Verbose "Ophalen van MFA-dekking metrics..." try { $users = Get-MgUser -All -Property Id,UserPrincipalName,StrongAuthenticationMethods -ErrorAction SilentlyContinue $totalUsers = ($users | Measure-Object).Count $usersWithMfa = ($users | Where-Object { $_.StrongAuthenticationMethods -and $_.StrongAuthenticationMethods.Count -gt 0 } | Measure-Object).Count $coverage = if ($totalUsers -gt 0) { [Math]::Round(($usersWithMfa / $totalUsers) * 100, 2) } else { 0 } return [PSCustomObject]@{ TotalUsers = $totalUsers UsersWithMfa = $usersWithMfa CoveragePercentage = $coverage Status = "Binnen threshold" LastUpdated = Get-Date } } catch { Write-Host "Kon MFA-dekking niet ophalen: $_" -ForegroundColor Yellow } return [PSCustomObject]@{ TotalUsers = 0 UsersWithMfa = 0 CoveragePercentage = 0 Status = "Onbekend" LastUpdated = Get-Date } } function Get-ComplianceStatusForRiskAppetite { <# .SYNOPSIS Haalt compliance-status op voor risicoappetijt evaluatie. .OUTPUTS PSCustomObject met compliance-status informatie. #> [CmdletBinding()] param() if ($DebugMode) { return [PSCustomObject]@{ BIOCompliance = 85 ISO27001Compliance = 78 NIS2Compliance = 82 AVGCompliance = 90 OverallCompliance = 84 ComplianceStatus = "Goed" LastAssessed = (Get-Date).AddDays(-7) } } Write-Verbose "Ophalen van compliance-status..." # In productie zou dit gegevens ophalen uit Compliance Manager of andere bronnen return [PSCustomObject]@{ BIOCompliance = 0 ISO27001Compliance = 0 NIS2Compliance = 0 AVGCompliance = 0 OverallCompliance = 0 ComplianceStatus = "Onbekend" LastAssessed = Get-Date } } function Get-ConditionalAccessCoverageForRiskAppetite { <# .SYNOPSIS Haalt Conditional Access dekking op voor risicoappetijt evaluatie. .OUTPUTS PSCustomObject met Conditional Access dekking informatie. #> [CmdletBinding()] param() if ($DebugMode) { return [PSCustomObject]@{ TotalPolicies = 12 EnabledPolicies = 12 CoveragePercentage = 92.0 Status = "Binnen threshold" LastUpdated = (Get-Date).AddDays(-1) } } Write-Verbose "Ophalen van Conditional Access dekking..." try { $caPolicies = Get-MgIdentityConditionalAccessPolicy -All -ErrorAction SilentlyContinue $totalPolicies = ($caPolicies | Measure-Object).Count $enabledPolicies = ($caPolicies | Where-Object { $_.State -eq "enabled" } | Measure-Object).Count $coverage = if ($totalPolicies -gt 0) { [Math]::Round(($enabledPolicies / $totalPolicies) * 100, 2) } else { 0 } return [PSCustomObject]@{ TotalPolicies = $totalPolicies EnabledPolicies = $enabledPolicies CoveragePercentage = $coverage Status = "Binnen threshold" LastUpdated = Get-Date } } catch { Write-Host "Kon Conditional Access dekking niet ophalen: $_" -ForegroundColor Yellow } return [PSCustomObject]@{ TotalPolicies = 0 EnabledPolicies = 0 CoveragePercentage = 0 Status = "Onbekend" LastUpdated = Get-Date } } function Invoke-RiskAppetiteAssessment { <# .SYNOPSIS Evalueert de huidige risicopostuur en vergelijkt deze met gedefinieerde risicoappetijt thresholds. .DESCRIPTION Verzamelt risicometrics uit Microsoft 365 en vergelijkt deze met de thresholds die horen bij het geselecteerde risicoappetijt niveau. Identificeert gebieden waar risico's buiten het risicoappetijt vallen en genereert aanbevelingen. .OUTPUTS PSCustomObject met risicoappetijt evaluatie resultaten. #> [CmdletBinding()] param() Connect-M365RiskAppetiteContext Write-Host "`nEvalueren van risicopostuur ten opzichte van risicoappetijt..." -ForegroundColor Yellow Write-Host "Risicoappetijt niveau: $RiskAppetiteLevel" -ForegroundColor Yellow Write-Host "========================================================" -ForegroundColor Yellow $thresholds = $RiskAppetiteThresholds[$RiskAppetiteLevel] $secureScore = Get-SecureScoreForRiskAppetite $mfaCoverage = Get-MfaCoverageForRiskAppetite $complianceStatus = Get-ComplianceStatusForRiskAppetite $caCoverage = Get-ConditionalAccessCoverageForRiskAppetite $findings = @() $warnings = @() # Evalueer Secure Score if ($secureScore.Percentage -lt $thresholds.SecureScoreMinimum) { $findings += [PSCustomObject]@{ Category = "Secure Score" CurrentValue = $secureScore.Percentage Threshold = $thresholds.SecureScoreMinimum Status = "Buiten risicoappetijt" Recommendation = "Verbeter Secure Score naar minimaal $($thresholds.SecureScoreMinimum)% door prioriteit te geven aan aanbevolen beveiligingsmaatregelen." } $warnings += "Secure Score ($($secureScore.Percentage)%) ligt onder de risicoappetijt threshold ($($thresholds.SecureScoreMinimum)%)." } # Evalueer MFA-dekking if ($mfaCoverage.CoveragePercentage -lt $thresholds.MfaCoverageMinimum) { $findings += [PSCustomObject]@{ Category = "MFA-dekking" CurrentValue = $mfaCoverage.CoveragePercentage Threshold = $thresholds.MfaCoverageMinimum Status = "Buiten risicoappetijt" Recommendation = "Verhoog MFA-dekking naar minimaal $($thresholds.MfaCoverageMinimum)% door MFA in te schakelen voor alle gebruikers." } $warnings += "MFA-dekking ($($mfaCoverage.CoveragePercentage)%) ligt onder de risicoappetijt threshold ($($thresholds.MfaCoverageMinimum)%)." } # Evalueer Compliance if ($complianceStatus.OverallCompliance -lt $thresholds.ComplianceScoreMinimum) { $findings += [PSCustomObject]@{ Category = "Compliance Score" CurrentValue = $complianceStatus.OverallCompliance Threshold = $thresholds.ComplianceScoreMinimum Status = "Buiten risicoappetijt" Recommendation = "Verbeter compliance-score naar minimaal $($thresholds.ComplianceScoreMinimum)% door ontbrekende maatregelen te implementeren." } $warnings += "Compliance-score ($($complianceStatus.OverallCompliance)%) ligt onder de risicoappetijt threshold ($($thresholds.ComplianceScoreMinimum)%)." } # Evalueer Conditional Access dekking if ($caCoverage.CoveragePercentage -lt $thresholds.ConditionalAccessMinimum) { $findings += [PSCustomObject]@{ Category = "Conditional Access dekking" CurrentValue = $caCoverage.CoveragePercentage Threshold = $thresholds.ConditionalAccessMinimum Status = "Buiten risicoappetijt" Recommendation = "Verhoog Conditional Access dekking naar minimaal $($thresholds.ConditionalAccessMinimum)% door CA policies in te schakelen voor alle kritieke applicaties." } $warnings += "Conditional Access dekking ($($caCoverage.CoveragePercentage)%) ligt onder de risicoappetijt threshold ($($thresholds.ConditionalAccessMinimum)%)." } $assessment = [PSCustomObject]@{ ScriptName = "risk-appetite-development.ps1" Function = "Invoke-RiskAppetiteAssessment" GeneratedAt = Get-Date DebugMode = [bool]$DebugMode RiskAppetiteLevel = $RiskAppetiteLevel Thresholds = $thresholds SecureScore = $secureScore MfaCoverage = $mfaCoverage ComplianceStatus = $complianceStatus ConditionalAccessCoverage = $caCoverage Findings = $findings Warnings = $warnings OverallStatus = if ($findings.Count -eq 0) { "Binnen risicoappetijt" } else { "Buiten risicoappetijt op $($findings.Count) gebied(en)" } Summary = if ($findings.Count -eq 0) { "Huidige risicopostuur valt binnen het gedefinieerde risicoappetijt ($RiskAppetiteLevel)." } else { "Huidige risicopostuur valt buiten het gedefinieerde risicoappetijt op $($findings.Count) gebied(en). Aanbevolen wordt om de geïdentificeerde risico's te mitigeren." } } Write-Host "`nRisicoappetijt evaluatie voltooid:" -ForegroundColor Green Write-Host " Status: $($assessment.OverallStatus)" -ForegroundColor $(if ($findings.Count -eq 0) { "Green" } else { "Yellow" }) Write-Host " Secure Score: $($secureScore.Percentage)% (threshold: $($thresholds.SecureScoreMinimum)%)" -ForegroundColor Cyan Write-Host " MFA-dekking: $($mfaCoverage.CoveragePercentage)% (threshold: $($thresholds.MfaCoverageMinimum)%)" -ForegroundColor Cyan Write-Host " Compliance: $($complianceStatus.OverallCompliance)% (threshold: $($thresholds.ComplianceScoreMinimum)%)" -ForegroundColor Cyan Write-Host " Conditional Access: $($caCoverage.CoveragePercentage)% (threshold: $($thresholds.ConditionalAccessMinimum)%)" -ForegroundColor Cyan if ($warnings.Count -gt 0) { Write-Host "`nWaarschuwingen:" -ForegroundColor Yellow foreach ($warning in $warnings) { Write-Host " - $warning" -ForegroundColor Yellow } } return $assessment } function Invoke-RiskAppetiteMonitoring { <# .SYNOPSIS Monitort continu de risicopostuur en rapporteert wanneer thresholds worden overschreden. .DESCRIPTION Voert periodieke evaluaties uit en genereert rapportages wanneer risico's buiten het risicoappetijt vallen. Geschikt voor geautomatiseerde monitoring via scheduled tasks. .OUTPUTS PSCustomObject met monitoring resultaten. #> [CmdletBinding()] param() Connect-M365RiskAppetiteContext Write-Host "`nMonitoring van risicopostuur ten opzichte van risicoappetijt..." -ForegroundColor Yellow Write-Host "Risicoappetijt niveau: $RiskAppetiteLevel" -ForegroundColor Yellow Write-Host "========================================================" -ForegroundColor Yellow $assessment = Invoke-RiskAppetiteAssessment $monitoring = [PSCustomObject]@{ ScriptName = "risk-appetite-development.ps1" Function = "Invoke-RiskAppetiteMonitoring" GeneratedAt = Get-Date DebugMode = [bool]$DebugMode RiskAppetiteLevel = $RiskAppetiteLevel Assessment = $assessment RequiresAction = $assessment.Findings.Count -gt 0 ActionRequired = if ($assessment.Findings.Count -gt 0) { "Aanbevolen wordt om actie te ondernemen voor $($assessment.Findings.Count) gebied(en) waar risico's buiten het risicoappetijt vallen." } else { "Geen actie vereist - risicopostuur valt binnen risicoappetijt." } } Write-Host "`nMonitoring voltooid:" -ForegroundColor Green Write-Host " Actie vereist: $(if ($monitoring.RequiresAction) { "Ja" } else { "Nee" })" -ForegroundColor $(if ($monitoring.RequiresAction) { "Yellow" } else { "Green" }) Write-Host " $($monitoring.ActionRequired)" -ForegroundColor Cyan return $monitoring } # ============================================================================ # MAIN EXECUTION # ============================================================================ try { $result = switch ($Function) { "Invoke-RiskAppetiteAssessment" { Invoke-RiskAppetiteAssessment } "Invoke-RiskAppetiteMonitoring" { Invoke-RiskAppetiteMonitoring } default { Invoke-RiskAppetiteAssessment } } Write-Host "`n========================================" -ForegroundColor Cyan # Optioneel: exporteer naar JSON $exportPath = ".\risk-appetite-report-$(Get-Date -Format 'yyyyMMdd-HHmmss').json" $result | ConvertTo-Json -Depth 10 | Out-File -FilePath $exportPath -Encoding UTF8 Write-Host "`nRapportage geëxporteerd naar: $exportPath" -ForegroundColor Green $result | Format-List return $result exit 0 } catch { Write-Error "Fout tijdens uitvoering van $Function : $_" exit 1 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan } # Exitcodes: # 0 = Script succesvol uitgevoerd # 1 = Fout tijdens uitvoering

Risico zonder implementatie

Risico zonder implementatie
High: Zonder een duidelijk gedefinieerd risicoappetijt kunnen organisaties niet consistent bepalen welke risico's acceptabel zijn en welke maatregelen prioriteit moeten krijgen. Dit leidt tot inconsistente besluitvorming, suboptimale inzet van middelen, en mogelijk non-compliance aan BIO, ISO 27001 en andere relevante frameworks. Bovendien kunnen organisaties zonder expliciet risicoappetijt niet aantoonbaar communiceren naar bestuurders, toezichthouders en stakeholders over welke risico's zij accepteren en welke maatregelen zij nemen.

Management Samenvatting

Ontwikkel een expliciet risicoappetijt statement voor Microsoft 365 governance dat duidelijk definieert welke risico's acceptabel zijn en hoe risicoappetijt wordt geoperationaliseerd. Koppel risicoappetijt aan concrete metrics en thresholds die kunnen worden gemonitord, gebruik het PowerShell-script om risicopostuur te monitoren en te vergelijken met risicoappetijt, en evalueer en bij werk risicoappetijt regelmatig op basis van veranderende omstandigheden. Implementatie: 160 uur. Critical governance vereiste voor effectief risicomanagement en compliance.