Risicobeoordeling
Dit artikel is opgebouwd uit twee onderdelen. Allereerst, zal onderstaande visual toegelicht worden: de begrippen binnen risicobeoordeling worden geïntroduceerd. Daarmee legt het eerste hoofdstuk de basis. Het tweede onderdeel zal risicobeoordeling van verdere diepgang voorzien. De uitgebreide variant van de routekaart wordt gepresenteerd. Deze detaillering houdt in dat de volledige fase van risicobeoordeling doorgenomen zal worden.
De routekaart dient gelezen te worden als referentiekader. Het helpt organisaties om bestaande activiteiten en plannen op het gebied van cybersecurity en risicomanagement in het grotere geheel te plaatsen. Daarmee zijn de componenten van de routekaart context-afhankelijk en is het aan organisaties om weloverwogen keuzes te maken. Lees hier meer over de achtergrond van de routekaart risicomanagement.
Kennismaken met risicobeoordeling
Het doel van risicobeoordeling is het komen tot een rangschikking van de belangrijkste risico’s voor de organisatie. Een risico is de kans op schade of verlies in een computersysteem, gecombineerd met de gevolgen die deze schade heeft voor de organisatie. Deze belangrijkste risico’s zijn vervolgens het uitgangspunt voor de risicobehandelingsfase.
Om risico’s te beoordelen moet er eerst zicht zijn op mogelijke risico’s. Om zicht te krijgen op risico’s is informatie nodig over dreigingen die schade of gevaar op kunnen leveren aan de te beschermen belangen van een organisatie met inachtneming van de huidige weerbaarheid. Hiervoor moet dus data worden verzameld. Met deze data wordt een risicoanalyse uitgevoerd waarbij zicht ontstaat op mogelijke risico’s en de kans van manifestatie. Er bestaan verschillende kwalitatieve en kwantitatieve methoden om risico’s te identificeren.
Na de risicoanalyse wordt voor de geïdentificeerde risico’s de impact bepaald. Daarbij wordt per risico gekeken naar de mate van impact op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en hoe dit de te beschermen belangen van de organisatie raakt. Daarna kunnen de risico’s worden verwerkt tot risicoprofielen. Ten slotte wordt beoordeeld wat de belangrijkste risico’s voor de organisatie zijn door de risico’s te rangschikken.
Na het doorlopen van de risicobeoordelingsfase is duidelijk wat de belangrijkste risico’s voor de organisatie zijn. Dit biedt meteen een prioritering voor het behandelen van risico’s in de volgende fase van het risicomanagementproces, de risicobehandelingsfase.
In het volgende deel van dit artikel volgt een uitgebreidere beschrijving van de stappen binnen de risicobeoordelingsfase.
Verdieping risicobeoordeling
Nu het doel en de basisstructuur van de risicobeoordelingsfase is toegelicht, volgt hieronder een verdiepingsslag op de vier onderwerpen binnen deze fase. Ten eerste wordt data verzameld om zicht te krijgen op dreigingen, te beschermen belangen en weerbaarheid. Met deze data kunnen middels een kwalitatieve of kwantitatieve risicoanalyse de risico’s worden geïdentificeerd en geanalyseerd. Voor elk van deze geïdentificeerde risico’s wordt daarna bepaald hoe groot de impact is op de beschikbaarheid, integriteit en vertrouwelijkheid van de te beschermen belangen. Tenslotte wordt bepaald wat de belangrijkste risico’s zijn voor de organisatie door risicoprofielen op te stellen en deze te rangschikken.
Verdieping Risicobeoordeling
1. Dataverzameling
Het doel van data verzamelen is het bij elkaar brengen van informatie voor de risicoanalyse. Dat worden ook wel de risicocomponenten genoemd.
Daarmee komt het netto-risico in beeld: een beveiligingsrisico waarbij men ook de beveiligingsmaatregelen meeneemt. Om zicht te krijgen op het netto-risico van een organisatie is informatie nodig over de dreigingen ten opzichte van de te beschermen belangen van de organisatie, waarbij de huidige weerbaarheid (beheersmaatregelen) in acht worden genomen. Het verzamelen van data richt zich daarom op het identificeren van deze componenten.
In deze stap identificeert een organisatie haar eigen te beschermen belangen. Te beschermen belangen zijn zaken die van belang zijn voor de organisatie waaraan schade kan ontstaan als gevolg van de materialisatie van een dreiging. Te beschermen belangen bestaan op verschillende abstractieniveaus, van strategisch-organisatorisch tot op operationeel systeemniveau. Een te beschermen belang kan daarmee informatie omvatten, maar ook de continuïteit van de primaire processen van de organisatie.
In deze stap wordt informatie verzameld om potentiële dreigingen te identificeren. Dreigingen zijn gebeurtenissen die kunnen leiden tot gevaar of schade voor een organisatie. Twee dreigingen kunnen zowel opzettelijk als onopzettelijk van aard zijn:
- Opzettelijke gebeurtenissen, zoals bijvoorbeeld een hack door een kwaadwillende actor.
- Onopzettelijke gebeurtenissen zoals bijvoorbeeld schade aan systemen door een natuurramp.
Weerbaarheid omvat het vermogen van een organisatie om bruto risico (schade aan te beschermen belangen als gevolg van materialisatie van dreigingen)1 te reduceren tot een aanvaardbaar (netto) risico door middel van maatregelen om incidenten te voorkomen, te ontdekken, schade ervan te beperken en ervan te herstellen. In deze stap worden deze maatregelen en daarmee de weerbaarheid van de organisatie geïdentificeerd.
2. Risicoanalyse
Een risicoanalyse heeft als doel het identificeren en analyseren van netto risico’s voor een organisatie. Door de geïndentificeerde risicocomponenten te analyseren ontstaat zicht op risico’s. Hierbij worden risico’s geïdentificeerd, maar nog niet beoordeeld op impact en kans. Dit gebeurt later in de risicobeoordelingsfase. Er bestaan verschillende methoden om risico’s te identificeren.
Het kwantificeren van risico’s omvat het kwantitatief analyseren van informatie. Hierbij worden risico’s geïdentificeerd en in de analyse uitgedrukt in numerieke waarden en maken gebruik van bijvoorbeeld een scoresysteem of het toewijzen van financiële waardes.
Het kwalificeren van risico’s omvat het kwalitatief analyseren van informatie. Hierbij worden risico’s geïdentificeerd en in de analyse uitgedrukt in kwalitatieve omschrijvingen. Een voorbeeld is het opstellen van risicoscenario’s.
3. Impactbepaling
Een risicoanalyse heeft als doel het identificeren en analyseren van netto risico’s voor een organisatie. Door de geïndentificeerde risicocomponenten te analyseren ontstaat zicht op risico’s. Hierbij worden risico’s geïdentificeerd, maar nog niet beoordeeld op impact en kans. Dit gebeurt later in de risicobeoordelingsfase. Er bestaan verschillende methoden om risico’s te identificeren.
Beschikbaarheid houdt in dat informatie toegankelijk is wanneer nodig. In deze stap wordt per risico beoordeeld in hoeverre er impact is op de beschikbaarheid van informatie en hoe dit de te beschermen belangen van de organisatie in bredere zin raakt. Het te beschermen belang kan bijvoorbeeld een proces zijn, welke afhankelijk is van de beschikbaarheid van bepaalde informatie.
Integriteit houdt in dat informatie en informatieverwerking juist en volledig is. In deze stap wordt per risico beoordeeld in hoeverre er impact is op de integriteit van informatie en hoe dit de te beschermen belangen van de organisatie in bredere zin raakt. Het te beschermen belang kan bijvoorbeeld een proces zijn, welke afhankelijk is van de mate van integriteit van de onderliggende informatie.
Vertrouwelijkheid houdt in dat informatie alleen gezien wordt door diegenen die de informatie mag zien. In deze stap wordt per risico beoordeeld in hoeverre er impact is op de vertrouwelijkheid van informatie en hoe dit de te beschermen belangen van de organisatie in bredere zin raakt. Het te beschermen belang kan bijvoorbeeld een proces zijn wat geijkt is op de vertrouwelijkheid van de informatie binnen het proces.
4. Risicobepaling
Het doel van risicobepaling is het komen tot een rangschikking van de belangrijkste risico’s voor de organisatie. Door risicoprofielen op te stellen kunnen risico’s ten opzichte van elkaar worden gerangschikt. Hiervan wordt vervolgens de betrouwbaarheid en validiteit toegelicht om zo te komen tot een heldere en transparante rapportage van de belangrijkste risico’s voor de organisatie.
Een risicoprofiel is een overzicht van risico’s, verrijkt met de factoren die de ernst van een risico bepalen voor een organisatie, project, proces of programma. Eerder is per risico zowel de kans als de impact en deze twee componenten maken daarom inherent onderdeel uit van het risicoprofiel. Afhankelijk van de methode voor het opstellen van risicoprofielen kunnen er nog andere factoren worden meegewogen, zoals geopolitieke context. Door deze extra variabelen mee te nemen in het risicoprofiel, wordt het risico verder geïntegreerd in de context van de organisatie en daarmee van extra waarde voorzien.
Prioriteren van risico’s is het onderling rangschikken risico’s om zo inzicht te krijgen in de belangrijkste risico’s. Door het opstellen van de risicoprofielen heeft elk risico een weging gekregen betreffende het belang voor de organisatie. Door deze gestructureerd tegen elkaar af te wegen, wordt bepaald welke risico’s belangrijker zijn voor de organisatie ten opzichte van andere. Een prioritering ondersteunt de organisatie om effectief en efficiënt actie te kunnen ondernemen.
Een risicobeoordelingsmethode is valide als deze risico’s beoordeeld op de manier welke vooraf is beoogd. Een methode is betrouwbaar als deze bij herhaling leidt tot dezelfde resultaten. Elke risicobeoordelingsmethode kent beperkingen. Een beoordeling en beschrijving van deze beperkingen op het vlak van validiteit en betrouwbaarheid biedt daarom belangrijke context bij de interpretatie van de uitkomsten van de risicobeoordeling.
De uitkomsten van de risicobeoordeling worden gerapporteerd op de wijze die tijdens de governance- en randvoorwaardefase is afgesproken. Deze rapportage biedt de basis om de risicobehandelingsfase te starten.
Samenvatting
In dit artikel is aandacht besteed aan de aanbevolen stappen om risico’s te beoordelen. De risicobeoordelingsfase kan worden gestructureerd aan de hand van vier stappen:
- Data verzamelen om dreigingen, te beschermen belangen en weerbaarheid te identificeren.
- Een risicoanalyse uit te voeren over deze data om zo risico’s te identificeren.
- Impact te bepalen per geïdentificeerd risico’.
- Risico’s te bepalen door risicoprofielen op te stellen en deze te prioriteren.
Na het doorlopen van de risicobeoordelingsfase is er zicht op de belangrijkste risico’s van voor de organisatie. Dit biedt een belangrijke basis voor de risicobehandelingsfase, de volgende fase van de risicomanagementcyclus. Op basis van geprioriteerde risico’s is het makkelijker om te bepalen welke risico’s eerst behandeld moeten worden.
Door naar de volgende stap
Lees ook de andere artikelen die hierop aansluiten
- Hoe versterk je de weerbaarheid van leveranciers?
- Hoe breng ik mijn te beschermen belangen in kaart?
- Hoe breng ik mijn technische te beschermen belangen in kaart?
- Hoe bepaal ik de meest relevante risico's voor mijn organisatie?
- Hoe breng ik mijn rechtstreekse leveranciers in kaart?
- Hoe breng ik mijn dreigingen in kaart?