Risicobeoordeling
- Artikel
- Leestijd:
- Risicomanagement
- Groeien
In de risicobeoordelingsfase brengen we de belangrijkste risico’s voor de organisatie in beeld. Een risico is de kans op schade in een computersysteem en de gevolgen daarvan voor de organisatie. Deze fase van de Routekaart Risicomanagement begint met het verzamelen van gegevens om dreigingen, kwetsbaarheden en te beschermen belangen te herkennen.
Dit artikel is opgebouwd uit twee onderdelen. Allereerst, zal onderstaande visual toegelicht worden: de begrippen binnen risicobeoordeling worden geïntroduceerd. Daarmee legt het eerste hoofdstuk de basis. Het tweede onderdeel zal risicobeoordeling van verdere diepgang voorzien. De uitgebreide variant van de routekaart wordt gepresenteerd. Deze detaillering houdt in dat de volledige fase van risicobeoordeling doorgenomen zal worden.
De routekaart dient gelezen te worden als referentiekader. Het helpt organisaties om bestaande activiteiten en plannen op het gebied van cybersecurity en risicomanagement in het grotere geheel te plaatsen. Daarmee zijn de componenten van de routekaart context-afhankelijk en is het aan organisaties om weloverwogen keuzes te maken. Lees meer over de achtergrond van de routekaart risicomanagement.
Kennismaken met risicobeoordeling
Het doel van risicobeoordeling is het komen tot een rangschikking van de belangrijkste risico’s voor de organisatie. Een risico is de kans op schade of verlies in een computersysteem, gecombineerd met de gevolgen die deze schade heeft voor de organisatie. Deze belangrijkste risico’s zijn vervolgens het uitgangspunt voor de risicobehandelingsfase.
Om risico’s te kunnen beoordelen, moet eerst duidelijk zijn welke risico’s een organisatie loopt. Daarom wordt informatie verzameld over mogelijke dreigingen, de belangen die beschermd moeten worden en de huidige weerbaarheid van de organisatie. Op basis van deze gegevens wordt een risicoanalyse uitgevoerd om risico’s te identificeren en de kans dat deze optreden in te schatten. Hiervoor kunnen verschillende kwalitatieve en kwantitatieve methoden worden gebruikt.
Vervolgens wordt per risico de impact bepaald. Daarbij wordt gekeken naar de gevolgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en naar de impact op de organisatie als geheel. De resultaten worden samengebracht in risicoprofielen, waarna de risico’s worden geprioriteerd op basis van hun kans en impact.
Na afloop van de risicobeoordelingsfase is helder welke risico’s de grootste aandacht vragen. Deze prioritering vormt de basis voor de volgende stap in de risicomanagementcyclus: de risicobehandelingsfase, waarin passende maatregelen worden gekozen en uitgevoerd.
In het volgende deel van dit artikel volgt een uitgebreidere beschrijving van de stappen binnen de risicobeoordelingsfase.
Verdieping risicobeoordeling
Nu het doel en de basisstructuur van de risicobeoordelingsfase is toegelicht, volgt hieronder een verdiepingsslag op de vier onderwerpen binnen deze fase. Ten eerste wordt data verzameld om zicht te krijgen op dreigingen, te beschermen belangen en weerbaarheid. Met deze data kunnen middels een kwalitatieve of kwantitatieve risicoanalyse de risico’s worden geïdentificeerd en geanalyseerd. Voor elk van deze geïdentificeerde risico’s wordt daarna bepaald hoe groot de impact is op de beschikbaarheid, integriteit en vertrouwelijkheid van de te beschermen belangen. Tenslotte wordt bepaald wat de belangrijkste risico’s zijn voor de organisatie door risicoprofielen op te stellen en deze te rangschikken.
1. Dataverzameling
Het doel van data verzamelen is het bij elkaar brengen van informatie voor de risicoanalyse. Dat worden ook wel de risicocomponenten genoemd.
Daarmee komt het netto-risico in beeld: een beveiligingsrisico waarbij men ook de beveiligingsmaatregelen meeneemt. Om zicht te krijgen op het netto-risico van een organisatie is informatie nodig over de dreigingen ten opzichte van de te beschermen belangen van de organisatie, waarbij de huidige weerbaarheid (beheersmaatregelen) in acht worden genomen. Het verzamelen van data richt zich daarom op het identificeren van deze componenten.
In deze stap identificeert een organisatie haar eigen te beschermen belangen. Te beschermen belangen zijn zaken die van belang zijn voor de organisatie waaraan schade kan ontstaan als gevolg van de materialisatie van een dreiging. Te beschermen belangen bestaan op verschillende abstractieniveaus, van strategisch-organisatorisch tot op operationeel systeemniveau. Een te beschermen belang kan daarmee informatie omvatten, maar ook de continuïteit van de primaire processen van de organisatie.
In deze stap wordt informatie verzameld om potentiële dreigingen te identificeren. Dreigingen zijn gebeurtenissen die kunnen leiden tot gevaar of schade voor een organisatie. Twee dreigingen kunnen zowel opzettelijk als onopzettelijk van aard zijn:
- Opzettelijke gebeurtenissen, zoals bijvoorbeeld een hack door een kwaadwillende actor.
- Onopzettelijke gebeurtenissen zoals bijvoorbeeld schade aan systemen door een natuurramp.
Weerbaarheid omvat het vermogen van een organisatie om bruto risico (schade aan te beschermen belangen als gevolg van materialisatie van dreigingen)1 te reduceren tot een aanvaardbaar (netto) risico door middel van maatregelen om incidenten te voorkomen, te ontdekken, schade ervan te beperken en ervan te herstellen. In deze stap worden deze maatregelen en daarmee de weerbaarheid van de organisatie geïdentificeerd.
2. Risicoanalyse
Een risicoanalyse heeft als doel het identificeren en analyseren van netto risico’s voor een organisatie. Door de geïndentificeerde risicocomponenten te analyseren ontstaat zicht op risico’s. Hierbij worden risico’s geïdentificeerd, maar nog niet beoordeeld op impact en kans. Dit gebeurt later in de risicobeoordelingsfase. Er bestaan verschillende methoden om risico’s te identificeren.
Het kwantificeren van risico’s omvat het kwantitatief analyseren van informatie. Hierbij worden risico’s geïdentificeerd en in de analyse uitgedrukt in numerieke waarden en maken gebruik van bijvoorbeeld een scoresysteem of het toewijzen van financiële waardes.
Het kwalificeren van risico’s omvat het kwalitatief analyseren van informatie. Hierbij worden risico’s geïdentificeerd en in de analyse uitgedrukt in kwalitatieve omschrijvingen. Een voorbeeld is het opstellen van risicoscenario’s.
3. Impactbepaling
Een risicoanalyse heeft als doel het identificeren en analyseren van netto risico’s voor een organisatie. Door de geïndentificeerde risicocomponenten te analyseren ontstaat zicht op risico’s. Hierbij worden risico’s geïdentificeerd, maar nog niet beoordeeld op impact en kans. Dit gebeurt later in de risicobeoordelingsfase. Er bestaan verschillende methoden om risico’s te identificeren.
Beschikbaarheid houdt in dat informatie toegankelijk is wanneer nodig. In deze stap wordt per risico beoordeeld in hoeverre er impact is op de beschikbaarheid van informatie en hoe dit de te beschermen belangen van de organisatie in bredere zin raakt. Het te beschermen belang kan bijvoorbeeld een proces zijn, welke afhankelijk is van de beschikbaarheid van bepaalde informatie.
Integriteit houdt in dat informatie en informatieverwerking juist en volledig is. In deze stap wordt per risico beoordeeld in hoeverre er impact is op de integriteit van informatie en hoe dit de te beschermen belangen van de organisatie in bredere zin raakt. Het te beschermen belang kan bijvoorbeeld een proces zijn, welke afhankelijk is van de mate van integriteit van de onderliggende informatie.
Vertrouwelijkheid houdt in dat informatie alleen gezien wordt door diegenen die de informatie mag zien. In deze stap wordt per risico beoordeeld in hoeverre er impact is op de vertrouwelijkheid van informatie en hoe dit de te beschermen belangen van de organisatie in bredere zin raakt. Het te beschermen belang kan bijvoorbeeld een proces zijn wat geijkt is op de vertrouwelijkheid van de informatie binnen het proces.
4. Risicobepaling
Het doel van risicobepaling is het komen tot een rangschikking van de belangrijkste risico’s voor de organisatie. Door risicoprofielen op te stellen kunnen risico’s ten opzichte van elkaar worden gerangschikt. Hiervan wordt vervolgens de betrouwbaarheid en validiteit toegelicht om zo te komen tot een heldere en transparante rapportage van de belangrijkste risico’s voor de organisatie.
Een risicoprofiel is een overzicht van risico’s, verrijkt met de factoren die de ernst van een risico bepalen voor een organisatie, project, proces of programma. Eerder is per risico zowel de kans als de impact en deze twee componenten maken daarom inherent onderdeel uit van het risicoprofiel. Afhankelijk van de methode voor het opstellen van risicoprofielen kunnen er nog andere factoren worden meegewogen, zoals geopolitieke context. Door deze extra variabelen mee te nemen in het risicoprofiel, wordt het risico verder geïntegreerd in de context van de organisatie en daarmee van extra waarde voorzien.
Prioriteren van risico’s is het onderling rangschikken risico’s om zo inzicht te krijgen in de belangrijkste risico’s. Door het opstellen van de risicoprofielen heeft elk risico een weging gekregen betreffende het belang voor de organisatie. Door deze gestructureerd tegen elkaar af te wegen, wordt bepaald welke risico’s belangrijker zijn voor de organisatie ten opzichte van andere. Een prioritering ondersteunt de organisatie om effectief en efficiënt actie te kunnen ondernemen.
Een risicobeoordelingsmethode is valide als deze risico’s beoordeeld op de manier welke vooraf is beoogd. Een methode is betrouwbaar als deze bij herhaling leidt tot dezelfde resultaten. Elke risicobeoordelingsmethode kent beperkingen. Een beoordeling en beschrijving van deze beperkingen op het vlak van validiteit en betrouwbaarheid biedt daarom belangrijke context bij de interpretatie van de uitkomsten van de risicobeoordeling.
De uitkomsten van de risicobeoordeling worden gerapporteerd op de wijze die tijdens de governance- en randvoorwaardefase is afgesproken. Deze rapportage biedt de basis om de risicobehandelingsfase te starten.
Samenvatting
De risicobeoordelingsfase helpt organisaties om inzicht te krijgen in hun belangrijkste risico’s. Door dreigingen, te beschermen belangen en de weerbaarheid van de organisatie in kaart te brengen, kunnen risico’s worden geïdentificeerd, geanalyseerd en geprioriteerd. Dit zorgt voor een helder overzicht van de risico’s die de meeste aandacht vragen en vormt de basis voor de volgende stap in de risicomanagementcyclus: risicobehandeling.
Volledig overzicht van de Routekaart
Benieuwd naar het totaalplaatje? Bekijk de volledige Routekaart Risicomanagement voor een overzicht van alle categorieën, onderwerpen en hun onderlinge samenhang.
Mogen we je wat vragen?
Resultaten laden...