Elke organisatie ervaart bij het behalen van haar doelstellingen onzekerheden. Hierbij kan het gaan om zowel kansen als risico’s. Wanneer een risico’s bewaarheid wordt heeft dit een negatieve uitwerking op de organisatie. Daarom is het belangrijk om adequaat met risico’s om te gaan. Hiervoor moet in kaart gebracht worden welke risico’s een organisatie loopt, wat de impact van een risico’s is en welke maatregelen er (vooraf) genomen kunnen worden. Om dit te bewerkstelligen kan er gebruik gemaakt worden van risico management voor de onderneming (Enterprise Risk Management). Op het gebied van informatiebeveiliging wordt er ook over risico’s gesproken.
Risico’s
Een risico wordt vaak gekarakteriseerd als een referentie naar potentiele gebeurtenissen en gevolgen of een combinatie daarvan. Om een risico te kunnen identificeren moet eerst begrepenworden wat een risico precies is. Vaak wordt een risico gezien als een combinatie van de waarschijnlijkheid van een gebeurtenis en de mogelijk gevolgen die het kan hebben. Om dit te beschrijven kan gebruik gemaakt worden van de formule (risico = kans x impact), meestal uitgedrukt in financiële schade.
Risicocriteria
Risicocriteria worden gebruikt om definities van begrippen binnen de risicobeoordeling vast te stellen en te bepalen hoe de risico’s worden gemeten. Een belangrijk onderdeel van de risicocriteria is het bepalen wanneer een risico aanvaardbaar is. Dat wil zeggen, wanneer de omvang van het risico (kans x impact) zodanig is dat het acceptabel is. Dit is de basis waaraan elk gevonden risico getoetst moet worden. Dit is voor iedere organisatie verschillend.
Definitie van een risicobeoordeling
Een effectief informatie risicomanagement proces bevat een risicobeoordeling. Een risicobeoordeling is een proces dat risico’s identificeert, analyseert en evalueert. Deze drie elementen vormen de kern van een risicobeoordeling. De uitkomst van een risicobeoordeling is een overzicht van relevante risico’s die zijn geprioriteerd op basis van criteria die tijdens de beoordeling zijn bepaald:
Scope
Aan het begin van een risicobeoordeling moeten de doelstellingen van de organisatie vastgesteld worden. Hieronder vallen niet alleen de strategische doelstellingen (missie, visie, strategie) maar ook tactische en operationele doelstellingen. Aan de hand van de doelstellingen kan vervolgens de scope en afbakening van de risicobeoordeling bepaald worden.
Elementen die onderdeel kunnen zijn van de scope:
- Informatie
- Bedrijfsprocessen
- Organisatie functies- en structuur
- Wet & regelgeving
- (Informatiebeveiligings)beleid
- Verwachtingen van belanghebbende
- Sociaal-culturele omgeving
- Informatie- en communicatietechnologie
- Geografische eigenschappen van de organisatie
Er moet verantwoord worden waarom bepaalde onderdelen wel of niet binnen de scope vallen. Vaak heeft de scope van een risicobeoordeling overeenkomsten met de scope van het informatiebeveiligingsmanagementsysteem (ISMS).
Als de scope is bepaald, kan de eerste stap van de risico beoordeling gezet worden, namelijk het identificeren van risico’s. Hierin worden de risico’s binnen de gestelde scope geïdentificeerd.
Risico-identificatie
Het identificeren van risico’s is een belangrijke stap van een risicobeoordeling. Het is een proces waarin risico’s gevonden en beschreven worden en identificeert binnen de scope (in deze volgorde):
- Relevante objecten
- Bedreigingen
- Bestaande maatregelen
- Zwakheden
- Gevolgen
- Risicoanalyse
Tijdens de risicoanalyse worden de kans en impact van de gevonden risico’s gemeten. Samen vormen deze aspecten het risiconiveau. De kans staat hierbij voor de waarschijnlijkheid van het uitkomen van het risico en impact voor de gevolgschade. Bij gevolgschade is het goed om te realiseren dat het per risico om meerdere soorten schade kan gaan. Denk bijvoorbeeld aan financiële- maar ook imagoschade.
Risico-evaluatie
Nu duidelijk is welke risico’s de organisatie loopt en de grootte bepaald is kan beoordeeld worden hoe er met de risico’s moet worden omgegaan. Dit betekent dat het niveau van de gevonden risico’s wordt vergeleken met wat aanvaardbaar is voor de organisatie. Deze vergelijking dient als ondersteuning bij de risico-behandeling en het nemen van de juiste maatregelen. Mogelijke gevolgen van de risico-evaluatie kunnen zijn dat er meer analyse op een bepaald risico uitgevoerd moet worden of dat er helemaal geen maatregelen nodig zijn. In dit laatste geval spreekt men van het accepteren van een risico’s.
Samenvattend
Uiteindelijk vormt de risicobeoordeling een onderdeel van gedegen risicomanagement. Waarin het de organisatie kan voorzien van een waardevol inzicht in haar risicolandschap. Een risicobeoordeling is daarom het meest effectief als vast onderdeel van een integrale informatiebeveiligingsaanpak.
Deze bijdrage is geschreven door Bas Slingerland, Business Information Security Consultant bij DPA B-Able. Bas blogt over onderwerpen met betrekking tot informatieveiligheid. Deze bijdrage verscheen ook op de website van MBIS.