Risicoanalyse (2)

Het op orde krijgen van uw informatiebeveiliging is een hele klus. U moet weten welke informatie zich in uw organisatie bevindt en hoe deze verspreid wordt, welke (potentiële) risico’s uw organisatie loopt, hoe u zich hier tegen kunt weren en ga zo maar door. Een hele klus waarvan het lastig kan zijn om iedereen in uw organisatie ‘mee’ te krijgen. Zeker als het gaat om de risicoanalyse, terwijl juist op dit vlak de input van meerdere mensen uit uw organisatie essentieel is. In dit blog geven we meer handvatten om medewerkers ‘aligned’ te krijgen en hoe u daarmee een succesvolle risicoanalyse opstelt.

Benoem de risico-eigenaren en creëer hun betrokkenheid 

De start van risicomanagement is wellicht meteen het moeilijkste deel; het benoemen van de risico eigenaren en hun betrokkenheid creëren. Vaak wordt immers nog gedacht dat informatiebeveiliging een ‘feestje van IT’ is. Alhoewel IT uiteraard een belangrijke rol speelt (voornamelijk als het gaat om technische beveiligingsoplossingen) zijn het juist andere personen in uw organisatie die het succes van uw informatiebeveiliging bepalen. Er is tenslotte niemand in de organisatie die een totaaloverzicht heeft over alle informatie. Het zijn juist de mensen die dagdagelijks informatie lezen, verwerken en versturen die samen tot een totaaloverzicht kunnen komen. En daarmee dus een belangrijke rol spelen in uw informatiebeveiliging.

Als de afspraak is dat de computer vergrendeld wordt wanneer iemand zijn werkplek verlaat kan dat onmogelijk een verantwoordelijkheid van de IT afdeling zijn. Dit is een taak die iedereen individueel moet uitvoeren, en dus is iedereen in uw organisatie risico eigenaar van dit risico. Informatiebeveiliging is dus van iedereen!

Hoe stelt u vast wat de risico’s zijn?

Nadat u een representatief team van risico-eigenaren heeft samengesteld gaat u gezamenlijk bepalen welke methode u gaat gebruiken in de risicoanalyse. Er zijn verschillende methodes die u kunt hanteren. Zo is er de ISO 27005 norm, waarin richtlijnen omtrent risicoanalyse en risicobehandeling zijn beschreven. U kunt er ook voor kiezen een eigen methode te hanteren. Of u kunt zich laten adviseren door een ervaren adviseur in het geval u zelf niet de expertise of capaciteit in huis heeft.

Zodra de risicoanalyse methode vast staat gaat u de acceptatiecriteria vast stellen. Met andere woorden welke risico’s bent u bereid te lopen, en welke gevolgen van een incident (informatie op straat, aangetaste integriteit van informatie, toegankelijkheid van informatie) kan uw organisatie dragen. Deze zijn belangrijk om te komen tot de juiste beheersmaatregelen. Immers, gevolgen die u niet wenst te dragen zullen voorkomen moeten worden.

Bruto vs. netto risico

De kans is zeer groot dat u, onbewust of niet, al een aantal maatregelen heeft getroffen in het kader van informatiebeveiliging. U heeft wellicht al firewalls en antivirus programma’s geïnstalleerd maar zorgt er waarschijnlijk ook voor dat na sluitingstijd er fysieke toegangsbeperking is (u draait de deur op slot). Zo zijn er meer maatregelen die al in werking zijn in uw huidige situatie.

In het kader van risico-analyse is het goed, met bovenstaande in het achterhoofd, om verschillende stadia van risico’s te benoemen:

  1. Greenfield: het 0-punt ofwel de situatie waarin geen enkele maatregel is getroffen;
  2. Huidige situatie: het risico nieveau van nu, inclusief de reeds genomen maatregelen;
  3. Gewenst risiconiveau voor de korte termijn: Waar wil mijn organisatie naartoe op korte termijn?
  4. Gewenst risiconiveau voor de lange(re) termijn: Welke doelstellingen willen we nastreven op langere termijn?

Zodra deze 4 risicostadia vastgesteld zijn kunt u het bruto en netto risico bepalen. Het bruto risico bepaalt u door het verschil tussen de gewenste situatie en de greenfield situatie vast te stellen. Hiermee heeft u een totaalbeeld van de risico’s waar uw organisatie mogelijk mee geconfronteerd wordt. Het netto risico  is het verschil tussen de huidige situatie en de gewenste situatie en geeft u een beeld van de gebieden waar u nog aan moet werken.

Het lijkt voor de hand te liggen om te focussen op het netto risico, dat is immers het gebied waar u nog actie moet ondernemen. Toch is het belangrijk om ook stil te staan bij het bruto risico. Dat geeft namelijk een indicatie van wat ooit de grootste risico’s waren en welke beheersmaatregelen daarvoor genomen zijn. Deze beheersmaatregelen kunnen echter zelf weer nieuwe risico’s met zich meebrengen. Een (hypothetisch) voorbeeld: Om de informatie uit personeelsdossiers te beschermen heeft een bedrijf een kluis aangeschaft waar deze dossiers in worden bewaard. De sleutel van de kluis hangt in een sleutelkastje met een cijferslot. De verantwoordelijke medewerker haalt ’s ochtends bij binnenkomst de sleutel uit het kastje en draagt die de hele dag op haar lichaam. Tot zover een prima werkende oplossing. Maar als het sleutelkastje de hele dag van het slot af is (zonder de zichtbaarheid van de code actief te veranderen), kan iedereen de code aflezen en zich dus zo toegang tot de kluis verschaffen.

Geef succesvol invulling aan ISO 27001 in uw organisatie - Download het  stappenplan

Bij het bepalen van het risico speelt ook mee voor wie informatie afgeschermd moet worden. Zijn dat in bovenstaand voorbeeld externen, dan werkt de genomen beheersmaatregel waarschijnlijk prima. Maar is het ook noodzakelijk om de informatie voor interne medewerkers af te schermen? Dan is deze maatregel een stuk minder effectief. Kortom, genomen beheersmaatregelen kunnen een voedingsbodem zijn voor nieuwe risico’s. Daarom is het belangrijk om het bruto risi

Risicomanagement is geen exacte wetenschap

Het doen van een risicoanalyse is geen exercitie met als uitkomst goed of fout. Vaak is het niet mogelijk om risico’s te kwantificeren en blijft de analyse subjectief. Om de risicoanalyse toch zo objectief mogelijk te maken dient u deze zo in te richten dat hij herhaalbaar blijft. Als uw bijvoorbeeld naar de financiële schade van een bepaald risico kijkt probeer dan een ‘meetlat’ te maken waarmee u de impact meet. Door dit goed in te richten beoordeeld u een risico wat niet is veranderd steeds gelijk, waarmee u de herhaalbaarheid bevestigt en de objectiviteit verhoogd.

Daarnaast is het belangrijk om een goede balans te vinden tussen te veel en te weinig risico’s. De risicoanalyse moet zo compact zijn dat u de belangrijkste risico’s boven water krijgt, zonder hierbij belangrijke risico’s te missen. Aan de andere kant komt ook hier weer terug dat een risicoanalyse geen exacte wetenschap is, want het ‘afwerken’ van een standaardlijstje kan ervoor zorgen dat u door de bomen het bos niet meer ziet omdat er bijvoorbeeld meer dan 200 risico’s benoemd worden. Zorg er altijd voor dat u de risicoanalyse specifiek maakt voor uw organisatie.

Zorg voor een goede risicoanalyse met behulp van het ISO 27001 stappenplan

Bent u verantwoordelijk voor, of betrokken bij, het opstellen van de informatiebeveiliging risicoanalyse? En vindt u het lastig om vast te stellen wat de risico's in uw organisatie zijn, en wie de risico-eigenaren zijn? Met het ISO 27001 stappenplan dat door onze experts is ontwikkeld wordt u stap voor stap geholpen om uw doel te bereiken.

Download hier het ISO 27001 stappenplan. 

New Call-to-action

Onderwerpen:

Alle onderwerpen ISO 27001 informatiebeveiliging

mail icons 2

Stel uw vraag over

Certificering van managementsystemen, keurmerken en andere schema's

Planning en service voor certificering

Customer Service Center Certificatie

TÜV Nederland