Risicobeoordeling
De risicobeoordelingsfase creëert zicht op de belangrijkste risico’s voor een organisatie. Risico’s zijn de kans op schade of verlies in een computersysteem, gecombineerd met de gevolgen die deze schade heeft voor de organisatie.1 Deze fase start met dataverzameling om de dreigingen, te beschermen belangen en weerbaarheid te identificeren. Het analyseren van deze zaken geeft vervolgens zicht op mogelijke risico’s. Het bepalen van impact per risico geeft daarna een eerste weging aan de gevonden risico’s. Tenslotte worden de risico’s beoordeeld en geprioriteerd. Na deze fase is er beoordeeld wat de belangrijkste risico’s zijn voor de organisatie. Dit biedt de basis voor de volgende fase in de risicomanagementcyclus: risicobehandeling.
De routekaart dient gelezen te worden als referentiekader. Het helpt organisaties om bestaande activiteiten en plannen op het gebied van cybersecurity en risicomanagement in het grotere geheel te plaatsen. Daarmee zijn de componenten van de routekaart context-afhankelijk en is het aan organisaties om weloverwogen keuzes te maken. Lees hier meer over de achtergrond van de routekaart risicomanagement.
LeeswijzerDit artikel is opgebouwd uit twee onderdelen. Allereerst, zal onderstaande visual toegelicht worden: de begrippen binnen risicobeoordeling worden geïntroduceerd. Daarmee legt het eerste hoofdstuk de basis. Het tweede onderdeel zal risicobeoordeling van verdere diepgang voorzien. De uitgebreide variant van de routekaart wordt gepresenteerd. Deze detaillering houdt in dat de volledige fase van risicobeoordeling doorgenomen zal worden. |
Kennismaken met risicobeoordeling
Het doel van risicobeoordeling is het komen tot een rangschikking van de belangrijkste risico’s voor de organisatie. Een risico is de kans op schade of verlies in een computersysteem, gecombineerd met de gevolgen die deze schade heeft voor de organisatie. Deze belangrijkste risico’s zijn vervolgens het uitgangspunt voor de risicobehandelingsfase.
Om risico’s te beoordelen moet er eerst zicht zijn op mogelijke risico’s. Om zicht te krijgen op risico’s is informatie nodig over dreigingen die schade of gevaar op kunnen leveren aan de te beschermen belangen van een organisatie met inachtneming van de huidige weerbaarheid. Hiervoor moet dus data worden verzameld. Met deze data wordt een risicoanalyse uitgevoerd waarbij zicht ontstaat op mogelijke risico’s en de kans van manifestatie. Er bestaan verschillende kwalitatieve en kwantitatieve methoden om risico’s te identificeren.
Na de risicoanalyse wordt voor de geïdentificeerde risico’s de impact bepaald. Daarbij wordt per risico gekeken naar de mate van impact op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en hoe dit de te beschermen belangen van de organisatie raakt. Daarna kunnen de risico’s worden verwerkt tot risicoprofielen. Ten slotte wordt beoordeeld wat de belangrijkste risico’s voor de organisatie zijn door de risico’s te rangschikken.
Na het doorlopen van de risicobeoordelingsfase is duidelijk wat de belangrijkste risico’s voor de organisatie zijn. Dit biedt meteen een prioritering voor het behandelen van risico’s in de volgende fase van het risicomanagementproces, de risicobehandelingsfase.
In het volgende deel van dit artikel volgt een uitgebreidere beschrijving van de stappen binnen de risicobeoordelingsfase.
Verdieping risicobeoordeling
Nu het doel en de basisstructuur van de risicobeoordelingsfase is toegelicht, volgt hieronder een verdiepingsslag op de vier onderwerpen binnen deze fase. Ten eerste wordt data verzameld om zicht te krijgen op dreigingen, te beschermen belangen en weerbaarheid. Met deze data kunnen middels een kwalitatieve of kwantitatieve risicoanalyse de risico’s worden geïdentificeerd en geanalyseerd. Voor elk van deze geïdentificeerde risico’s wordt daarna bepaald hoe groot de impact is op de beschikbaarheid, integriteit en vertrouwelijkheid van de te beschermen belangen. Tenslotte wordt bepaald wat de belangrijkste risico’s zijn voor de organisatie door risicoprofielen op te stellen en deze te rangschikken.
1: Dataverzameling
Het doel van data verzamelen is het bij elkaar brengen van informatie voor de risicoanalyse. Dat worden ook wel de risicocomponenten genoemd.
Daarmee komt het netto-risico in beeld: een beveiligingsrisico waarbij men ook de beveiligingsmaatregelen meeneemt. Om zicht te krijgen op het netto-risico1 van een organisatie is informatie nodig over de dreigingen ten opzichte van de te beschermen belangen van de organisatie, waarbij de huidige weerbaarheid (beheersmaatregelen) in acht worden genomen. Het verzamelen van data richt zich daarom op het identificeren van deze componenten.
2: Risicoanalyse
Een risicoanalyse heeft als doel het identificeren en analyseren van netto risico’s voor een organisatie. Door de geïndentificeerde risicocomponenten te analyseren ontstaat zicht op risico’s. Hierbij worden risico’s geïdentificeerd, maar nog niet beoordeeld op impact en kans. Dit gebeurt later in de risicobeoordelingsfase. Er bestaan verschillende methoden om risico’s te identificeren.
3: Impactbepaling
Het doel van impactbepaling is bepalen tot welk type impact elk risico kan leiden, en hoe groot deze impact is. Door per geïdentificeerd risico de impact te bepalen ontstaat beter zicht op de potentiële gevolgen voor de organisatie van elk risico. Hierbij wordt gekeken naar de impact op beschikbaarheid, integriteit en vertrouwelijkheid van informatie.
Impact kan op basis van gradaties uitgedrukt worden. Bijvoorbeeld, dat verminderde beschikbaarheid van informatie voor 1 uur acceptabel is, 3 uur problematisch en dat na 6 uur het een risico vormt voor het voortbestaan van de organisatie.
4: Risicobepaling
Het doel van risicobepaling is het komen tot een rangschikking van de belangrijkste risico’s voor de organisatie. Door risicoprofielen op te stellen kunnen risico’s ten opzichte van elkaar worden gerangschikt. Hiervan wordt vervolgens de betrouwbaarheid en validiteit toegelicht om zo te komen tot een heldere en transparante rapportage van de belangrijkste risico’s voor de organisatie.
Samenvatting
In dit artikel is aandacht besteed aan de aanbevolen stappen om risico’s te beoordelen. De risicobeoordelingsfase kan worden gestructureerd aan de hand van vier stappen:
- Data verzamelen om dreigingen, te beschermen belangen en weerbaarheid te identificeren.
- Een risicoanalyse uit te voeren over deze data om zo risico’s te identificeren.
- Impact te bepalen per geïdentificeerd risico’.
- Risico’s te bepalen door risicoprofielen op te stellen en deze te prioriteren.
Na het doorlopen van de risicobeoordelingsfase is er zicht op de belangrijkste risico’s van voor de organisatie. Dit biedt een belangrijke basis voor de risicobehandelingsfase, de volgende fase van de risicomanagementcyclus. Op basis van geprioriteerde risico’s is het makkelijker om te bepalen welke risico’s eerst behandeld moeten worden.
Bron: 1: https://cyberveilignederland.nl/woordenboek