Of u het nou wil of niet, uw organisatie heeft te maken met risico’s. Grofweg zijn die voor de meeste organisaties met betrekking tot informatie in te delen in 4 categorieën:
- Continuiteit
- Veiligheid
- Kwaliteit
- Informatie/(persoons)gegevens
Het managen van deze risico’s kunt u onder andere doen door het implementeren van een managementsysteem gericht op een van deze categorieën. Sinds de introductie van de HLS-structuur is de hoofdstukindeling en basistekst uniform geworden voor veel ISO managementsystemen. Hiermee wordt de integratie van verschillende managementsystemen bevorderd. Maar hoe zet u deze HLS in voor uw informatiebeveiliging? En waar moet u op letten? In dit blog geven we een kijk op risicomanagement in informatiebeveiliging en hoe u dit effectief voor uw organisatie inzet.
Beleid & doelstellingen
Om uw informatiebeveiliging goed op orde te krijgen, zal deze zo moeten worden ingericht dat het faciliteert aan uw organisatiedoelstellingen. De informatiebeveiliging doelstellingen en het daaruit volgend beleid zullen dus in lijn moeten zijn met uw organisatiedoelstellingen, al kan het zeker zo zijn dat er wrijving tussen beiden ontstaat. Stel uzelf daarom vragen zoals:
- Wie zijn wij?
- Waar staan we voor?
- Wat vindt onze organisatie belangrijk?
Daarbij is het belangrijk om input en commitment van de directie te krijgen. Zij zijn immers de belangrijkste stakeholder als het gaat om het uitdragen van het beleid en het goede voorbeeld geven.
Waar zitten de kroonjuwelen?
Risico’s zijn pas te managen als u weet waar ze zitten, en hoe groot ze zijn. In dat kader is het van belang om de kroonjuwelen in uw organisatie te bepalen. Deze informatie assets (en de kanalen waardoor ze verspreid worden) dienen als eerste tegen het licht gehouden te worden. Immers, informatie die van vitaal belang is voor uw organisatie dient eerder en beter beveiligd te worden dan informatie die bijvoorbeeld publiek toegankelijk is.
Hoe erg zijn de risico's?
Nadat u heeft bepaald waar de risico’s zitten, is het mogelijk vast te stellen hoe zwaar deze wegen voor uw organisatie. Daarvoor kunt u een risicobeoordeling uitvoeren. Deze risicobeoordeling geeft antwoord op de vraag “Hoe erg vind ik de risico’s?”. Om dit te bepalen kunt bijvoorbeeld u een veel gebruikte formule gebruiken:
(beoordeling van) Risico = Kans x Impact
Kans: Hoe vaak komt de bedreiging voor? 1 x per jaar, 1 x per maand of misschien zelfs wel dagelijks?
Impact: Indien de bedreiging daadwerkelijk gebeurt, wat is daar dan het gevolg van? Hoe groot is de schade? Denk hierbij aan financiële schade (zowel directe als indirecte kosten) maar zeker ook aan reputatieschade.
(beoordeling van) Risico: Door kans en impact met elkaar te vermenigvuldigen heeft u een methode om risico’s te vergelijken. Probeer dit altijd zo rationeel en feiten-gedreven mogelijk te doen. Zijn er geen feiten of data beschikbaar, doet u dan een (gefundeerde) aanname. Dit helpt bij het realistisch beoordelen van een risico.
Een veel gebruikte visualisatie om de risico’s na de risicobeoordeling te prioriteren is het gebruiken van de stoplicht methode. Hierbij geeft u alle risico’s een kleur (rood, oranje of groen) om voor alle betrokkenen duidelijk te maken hoe groot een risico is. De rode risico’s weerspiegelen de ‘knoppen’ waar u als eerste aan kunt draaien.
Bepalen van de knoppen waar u aan kunt draaien
Nu u weet welke informatie componenten prioriteit hebben om te beveiligen is het van belang om te komen tot de werkelijke knoppen waar u aan kunt draaien om deze beveiliging voor elkaar te krijgen. Met andere woorden, waar moet u zich op richten in het kader van informatiebeveiliging in uw organisatie? Stel uzelf de vraag waar u tegen aan loopt of gaat lopen als u persoonsgegevens gaat verwerken. Of welke bedrijfsgevoeligheden mogelijk bereikbaar worden doordat apparaten in uw organisatie aan het Internet of Things gekoppeld worden?
Draaien een de knoppen: beheersmaatregelen
Als het stoplicht overzicht compleet is, weet u aan welke knoppen u als eerst moet gaan draaien. Dit doet u door beheersmaatregelen te implementeren die zich richten op (één van) de 2 richtingen:
1) Het verminderen van de impact indien een risico zich voordoet of;
2) Het reduceren van het aantal keer dat het risico voorkomt.
Waar u zich het beste op kunt richten is afhankelijk van de aard van het risico.
Nadat u voor de belangrijkste risico’s beheersmaatregelen geïmplementeerd heeft, blijven er een aantal “restrisico’s” over. U zult, samen met de directie, een besluit moeten nemen hoe u hier mee om wilt gaan waarbij er 3 opties zijn:
- Accepteren: Zoals het woord al zegt, accepteert u het risico zoals het is en de schade die ontstaat als de dreiging zich daadwerkelijk voordoet
- Verzekeren: ook hier neemt u het risico zoals het is maar legt u het risico buiten uw organisatie. Op het moment dat de dreiging zich voordoet zal de schade die dit berokkend door de verzekering worden vergoed. Let bij deze optie goed op welke schade exact vergoed wordt, en houdt er rekening mee dat niet alle schade vergoed kan worden (denk bijvoorbeeld aan schade aan uw reputatie)
- Vermijden: In veel gevallen geen realistische optie, maar desondanks niet te vergeten. U kunt een activiteit die risico met zich meeneemt in zijn geheel stoppen waarmee u ook het bijbehorende risico uitsluit.
Organiseer uw informatiebeveiliging effectief, download het ISO 27001 stappenplan
Bent u verantwoordelijk voor een optimale informatiebeveiliging, maar vind u het lastig om te bepalen wat u moet doen en in welke volgorde? En zoekt u naar de juiste balans tussen technische kennis, zorgen voor acceptatie en adoptie bij medewerkers en ook een managementsysteem op te zetten? Onze experts ontwikkelden een praktisch ISO 27001 stappenplan om uw stap voor stap te helpen uw doel te bereiken.
Download hier het ISO 27001 stappenplan.
Onderwerpen:
