Risicobeoordeling

De risicobeoordelingsfase creëert zicht op de belangrijkste risico’s voor een organisatie. Risico’s zijn de kans op schade of verlies in een computersysteem, gecombineerd met de gevolgen die deze schade heeft voor de organisatie.¹Deze fase start met dataverzameling om de dreigingen, te beschermen belangen en weerbaarheid te identificeren. Het analyseren van deze zaken geeft vervolgens zicht op mogelijke risico’s. Het bepalen van impact per risico geeft daarna een eerste weging aan de gevonden risico’s. Tenslotte worden de risico’s beoordeeld en geprioriteerd. Na deze fase is er beoordeeld wat de belangrijkste risico’s zijn voor de organisatie. Dit biedt de basis voor de volgende fase in de risicomanagementcyclus: risicobehandeling.

De routekaart dient gelezen te worden als referentiekader. Het helpt organisaties om bestaande activiteiten en plannen op het gebied van cybersecurity en risicomanagement in het grotere geheel te plaatsen. Daarmee zijn de componenten van de routekaart context-afhankelijk en is het aan organisaties om weloverwogen keuzes te maken. Lees hier meer over de achtergrond van de routekaart risicomanagement.

Leeswijzer

Dit artikel is opgebouwd uit twee onderdelen. Allereerst, zal onderstaande visual toegelicht worden: de begrippen binnen risicobeoordeling worden geïntroduceerd. Daarmee legt het eerste hoofdstuk de basis. Het tweede onderdeel zal risicobeoordeling van verdere diepgang voorzien. De uitgebreide variant van de routekaart wordt gepresenteerd. Deze detaillering houdt in dat de volledige fase van risicobeoordeling doorgenomen zal worden.

Download hier de volledige routekaart. Deze is beter leesbaar en hier kun je gemakkelijker inzoomen.

Kennismaken met risicobeoordeling

Het doel van risicobeoordeling is het komen tot een rangschikking van de belangrijkste risico’s voor de organisatie. Een risico is de kans op schade of verlies in een computersysteem, gecombineerd met de gevolgen die deze schade heeft voor de organisatie. Deze belangrijkste risico’s zijn vervolgens het uitgangspunt voor de risicobehandelingsfase.

RM Landkaart_risicobeoordeling_2 — Afbeelding: Risicobeoordeling

Om risico’s te beoordelen moet er eerst zicht zijn op mogelijke risico’s. Om zicht te krijgen op risico’s is informatie nodig over dreigingen die schade of gevaar op kunnen leveren aan de te beschermen belangen van een organisatie met inachtneming van de huidige weerbaarheid. Hiervoor moet dus data worden verzameld. Met deze data wordt een risicoanalyse uitgevoerd waarbij zicht ontstaat op mogelijke risico’s en de kans van manifestatie. Er bestaan verschillende kwalitatieve en kwantitatieve methoden om risico’s te identificeren.

Na de risicoanalyse wordt voor de geïdentificeerde risico’s de impact bepaald. Daarbij wordt per risico gekeken naar de mate van impact op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en hoe dit de te beschermen belangen van de organisatie raakt. Daarna kunnen de risico’s worden verwerkt tot risicoprofielen. Ten slotte wordt beoordeeld wat de belangrijkste risico’s voor de organisatie zijn door de risico’s te rangschikken.

Na het doorlopen van de risicobeoordelingsfase is duidelijk wat de belangrijkste risico’s voor de organisatie zijn. Dit biedt meteen een prioritering voor het behandelen van risico’s in de volgende fase van het risicomanagementproces, de risicobehandelingsfase.

In het volgende deel van dit artikel volgt een uitgebreidere beschrijving van de stappen binnen de risicobeoordelingsfase.

Verdieping risicobeoordeling

Nu het doel en de basisstructuur van de risicobeoordelingsfase is toegelicht, volgt hieronder een verdiepingsslag op de vier onderwerpen binnen deze fase. Ten eerste wordt data verzameld om zicht te krijgen op dreigingen, te beschermen belangen en weerbaarheid. Met deze data kunnen middels een kwalitatieve of kwantitatieve risicoanalyse de risico’s worden geïdentificeerd en geanalyseerd. Voor elk van deze geïdentificeerde risico’s wordt daarna bepaald hoe groot de impact is op de beschikbaarheid, integriteit en vertrouwelijkheid van de te beschermen belangen. Tenslotte wordt bepaald wat de belangrijkste risico’s zijn voor de organisatie door risicoprofielen op te stellen en deze te rangschikken.

RM Landkaart_risicobeoordeling — Risicobeoordeling

1: Dataverzameling

Het doel van data verzamelen is het bij elkaar brengen van informatie voor de risicoanalyse. Dat worden ook wel de risicocomponenten genoemd.

Daarmee komt het netto-risico in beeld: een beveiligingsrisico waarbij men ook de beveiligingsmaatregelen meeneemt. Om zicht te krijgen op het netto-risico¹van een organisatie is informatie nodig over de dreigingen ten opzichte van de te beschermen belangen van de organisatie, waarbij de huidige weerbaarheid (beheersmaatregelen) in acht worden genomen. Het verzamelen van data richt zich daarom op het identificeren van deze componenten.

In deze stap identificeert een organisatie haar eigen te beschermen belangen. Te beschermen belangen zijn zaken die van belang zijn voor de organisatie waaraan schade kan ontstaan als gevolg van de materialisatie van een dreiging. Te beschermen belangen bestaan op verschillende abstractieniveaus, van strategisch-organisatorisch tot op operationeel systeemniveau. Een te beschermen belang kan daarmee informatie omvatten, maar ook de continuïteit van de primaire processen van de organisatie.

In deze stap wordt informatie verzameld om potentiële dreigingen te identificeren. Dreigingen zijn gebeurtenissen die kunnen leiden tot gevaar of schade voor een organisatie. Twee dreigingen kunnen zowel opzettelijk als onopzettelijk van aard zijn:

Opzettelijke gebeurtenissen, zoals bijvoorbeeld een hack door een kwaadwillende actor.
Onopzettelijke gebeurtenissen zoals bijvoorbeeld schade aan systemen door een natuurramp.

Weerbaarheid omvat het vermogen van een organisatie om bruto risico (schade aan te beschermen belangen als gevolg van materialisatie van dreigingen)¹ te reduceren tot een aanvaardbaar (netto) risico door middel van maatregelen om incidenten te voorkomen, te ontdekken, schade ervan te beperken en ervan te herstellen.¹ In deze stap worden deze maatregelen en daarmee de weerbaarheid van de organisatie geïdentificeerd.

2: Risicoanalyse

Een risicoanalyse heeft als doel het identificeren en analyseren van netto risico’s voor een organisatie. Door de geïndentificeerde risicocomponenten te analyseren ontstaat zicht op risico’s. Hierbij worden risico’s geïdentificeerd, maar nog niet beoordeeld op impact en kans. Dit gebeurt later in de risicobeoordelingsfase. Er bestaan verschillende methoden om risico’s te identificeren.

3: Impactbepaling

Het doel van impactbepaling is bepalen tot welk type impact elk risico kan leiden, en hoe groot deze impact is. Door per geïdentificeerd risico de impact te bepalen ontstaat beter zicht op de potentiële gevolgen voor de organisatie van elk risico. Hierbij wordt gekeken naar de impact op beschikbaarheid, integriteit en vertrouwelijkheid van informatie.

Impact kan op basis van gradaties uitgedrukt worden. Bijvoorbeeld, dat verminderde beschikbaarheid van informatie voor 1 uur acceptabel is, 3 uur problematisch en dat na 6 uur het een risico vormt voor het voortbestaan van de organisatie.

Beschikbaarheid houdt in dat informatie toegankelijk is wanneer nodig.¹ In deze stap wordt per risico beoordeeld in hoeverre er impact is op de beschikbaarheid van informatie en hoe dit de te beschermen belangen van de organisatie in bredere zin raakt. Het te beschermen belang kan bijvoorbeeld een proces zijn, welke afhankelijk is van de beschikbaarheid van bepaalde informatie.

Integriteit houdt in dat informatie en informatieverwerking juist en volledig is. In deze stap wordt per risico beoordeeld in hoeverre er impact is op de integriteit van informatie en hoe dit de te beschermen belangen van de organisatie in bredere zin raakt. Het te beschermen belang kan bijvoorbeeld een proces zijn, welke afhankelijk is van de mate van integriteit van de onderliggende informatie.

Vertrouwelijkheid houdt in dat informatie alleen gezien wordt door diegenen die de informatie mag zien. In deze stap wordt per risico beoordeeld in hoeverre er impact is op de vertrouwelijkheid van informatie en hoe dit de te beschermen belangen van de organisatie in bredere zin raakt. Het te beschermen belang kan bijvoorbeeld een proces zijn wat geijkt is op de vertrouwelijkheid van de informatie binnen het proces.

4: Risicobepaling

Het doel van risicobepaling is het komen tot een rangschikking van de belangrijkste risico’s voor de organisatie. Door risicoprofielen op te stellen kunnen risico’s ten opzichte van elkaar worden gerangschikt. Hiervan wordt vervolgens de betrouwbaarheid en validiteit toegelicht om zo te komen tot een heldere en transparante rapportage van de belangrijkste risico’s voor de organisatie.

Een risicoprofiel is een overzicht van risico’s, verrijkt met de factoren die de ernst van een risico bepalen voor een organisatie, project, proces of programma.¹Eerder is per risico zowel de kans als de impact en deze twee componenten maken daarom inherent onderdeel uit van het risicoprofiel. Afhankelijk van de methode voor het opstellen van risicoprofielen kunnen er nog andere factoren worden meegewogen, zoals geopolitieke context. Door deze extra variabelen mee te nemen in het risicoprofiel, wordt het risico verder geïntegreerd in de context van de organisatie en daarmee van extra waarde voorzien.

Prioriteren van risico’s is het onderling rangschikken risico’s om zo inzicht te krijgen in de belangrijkste risico’s. Door het opstellen van de risicoprofielen heeft elk risico een weging gekregen betreffende het belang voor de organisatie. Door deze gestructureerd tegen elkaar af te wegen, wordt bepaald welke risico’s belangrijker zijn voor de organisatie ten opzichte van andere. Een prioritering ondersteunt de organisatie om effectief en efficiënt actie te kunnen ondernemen.

Een risicobeoordelingsmethode is valide als deze risico’s beoordeeld op de manier welke vooraf is beoogd. Een methode is betrouwbaar als deze bij herhaling leidt tot dezelfde resultaten. Elke risicobeoordelingsmethode kent beperkingen. Een beoordeling en beschrijving van deze beperkingen op het vlak van validiteit en betrouwbaarheid biedt daarom belangrijke context bij de interpretatie van de uitkomsten van de risicobeoordeling.

Samenvatting

In dit artikel is aandacht besteed aan de aanbevolen stappen om risico’s te beoordelen. De risicobeoordelingsfase kan worden gestructureerd aan de hand van vier stappen:

Data verzamelen om dreigingen, te beschermen belangen en weerbaarheid te identificeren.
Een risicoanalyse uit te voeren over deze data om zo risico’s te identificeren.
Impact te bepalen per geïdentificeerd risico’.
Risico’s te bepalen door risicoprofielen op te stellen en deze te prioriteren.

Na het doorlopen van de risicobeoordelingsfase is er zicht op de belangrijkste risico’s van voor de organisatie. Dit biedt een belangrijke basis voor de risicobehandelingsfase, de volgende fase van de risicomanagementcyclus. Op basis van geprioriteerde risico’s is het makkelijker om te bepalen welke risico’s eerst behandeld moeten worden.

^{Bron: 1: https://cyberveilignederland.nl/woordenboek}

Verder lezen..

< Terug naar Governance en randvoorwaarden

> Door naar Risicobehandeling

Risicobeoordeling

Leeswijzer

Kennismaken met risicobeoordeling

Verdieping risicobeoordeling

1: Dataverzameling

2: Risicoanalyse

3: Impactbepaling

4: Risicobepaling

Samenvatting

Verder lezen..

Download de volledige routekaart

Routekaart risicomanagement - volledige weergave

Risk management roadmap

Risicobeoordeling

Leeswijzer

Kennismaken met risicobeoordeling

Verdieping risicobeoordeling

1: Dataverzameling

Identificeren van te beschermen belangen

Identificeren van dreigingen

Identificeren van weerbaarheid

2: Risicoanalyse

Kwantificeren risico

Kwalificeren risico

3: Impactbepaling

Beoordelen impact op beschikbaarheid

Beoordelen impact op integriteit

Beoordelen impact op vertrouwelijkheid

4: Risicobepaling

Risicoprofielen bepalen

Prioriteren van risico’s

Beoordelen van validiteit en betrouwbaarheid van risicobeoordeling

Volgen van overeengekomen rapportagemechanismen

Samenvatting

Verder lezen..

Download de volledige routekaart

Routekaart risicomanagement - volledige weergave

Risk management roadmap

Deel deze pagina