Op basis van het verkregen inzicht in de te beoordelen informatie en de systemen, kunnen keuzes gemaakt worden voor de volgende stappen .
...
Zie ook 1.3.1.3. Overzicht methodiekstappen (bijlage)
1.3.1.2.4.1 Risico-identificatie
Het doel van risico-identificatie is om inzicht te krijgen in de bedreigingen. Bij de risico-identificatie is het van belang om een brede en gestructureerde benadering te hanteren.
De relevante bedreigingen worden in kaart gebracht. Dit is een taak voor de coördinator van de risicoanalyse in samenwerking met een aantal deskundigen, zoals de systeemeigenaar, CISO/ ISO, DPO/ PO. Het betreft bedreigingen waardoor verlies aan beschikbaarheid, integriteit of vertrouwelijkheid van de informatievoorziening kan ontstaan.
Middels onderstaand model kan een bedreiging gekoppeld worden aan een oorzaak en gevolg, dit op basis van de eerder vermelde componenten, welke een gevolg kunnen hebben op het functioneren van het informatiesysteem, menselijke aspecten, technische incidenten en organisatorische fouten.
...
Er bestaan immers allerhande bedreigingen op vlak van gegevens, betrokken systemen en processen, die de doelstellingen van een instantie kunnen bedreigen.
Op basis van bovenvermeld model kunnen we bedreigingen vaststellen. Dit doen we door de verschillende elementen met elkaar te combineren. Zo komen we tot een uitgebreide lijst van relevante bedreigingen.
Bv. “Er bestaat een kans op een bedreiging dat subsidies niet op tijd uitbetaald kunnen worden dat veroorzaakt wordt door een technisch incident, namelijk gebruik van verouderde databaseservers, met als gevolg dat er een financieel verlies is tengevolge van opgelegde boete’s”
Via dit model is het zo mogelijk om tot een Vo-breed gehanteerde risicoanalyse te komen, opdat de bedreigingen op een uniforme manier vastgesteld kunnen worden. Het resultaat zal zo leiden tot een vergelijkbare risicoanalyse binnen de Vo.
Het model biedt in eerste instantie een handvat om bedreigingen te analyseren waarbij de mogelijkheid bestaat deze risico-identificatie verder uit te breiden. Dit geeft iedere instantie meer vrijheid bij het oplijsten van bedreigingen en is zo meer afgestemd op de maturiteit van de instantie.
Het resultaat is een lijst van bedreigingen, dus een overzicht van omstandigheden die een kwetsbaarheid binnen de organisatie kunnen activeren (door misbruik of ongeluk) om zo een gevolg uit te lokken.
identificatie van alle potentiële bedreigingen:
oplijsten van de bedreigingen middels hoger model en gehanteerde definitie, waarbij de bedreiging wordt gedocumenteerd
aan elke bedreiging wordt een ID-nummer toegekend
...
Rollen
...
Werkwijze
...
Middelen
...
coördinator
proces-eigenaar
systeem-eigenaar
CISO/ ISO
DPO/ PO
...
per betrokken zakelijk proces en zijn aanverwante informatie verwerkende systemen, oplijsten van de mogelijke bedreigingen
per bedreiging een korte beschrijving geven van de bedreiging
geef iedere bedreiging een ID-nr.
...
workshop
sjabloon rapport risicoanalyse
Resultaat |
|---|
|
1.3.1.2.4.2 Risico-analyse
Per bedreiging wordt op een 5-puntenschaal aangegeven hoe groot de invloed ervan is op de werking van het informatiesysteem (het gevolg), en wat de waarschijnlijkheid is op het optreden van de betreffende bedreiging. Op basis van een standaard tabel wordt bepaald wat het totale effect is van de bedreiging, namelijk de wiskundige formule waarschijnlijkheid vermenigvuldigd met gevolg.
risico-analyse
per geïdentificeerde bedreiging, inschatten van de waarschijnlijkheid (1-5) dat deze zich zal kunnen voordoen, alsook verder het inschatten van het gevolg (1-5) van de bedreiging
bepalen van de maturiteit van de reeds genomen controlemaatregelen
bepalen van de risicoscore (1-25) = waarschijnlijkheid x gevolg per bedreiging
overbrengen van de risicoscore van elke bedreiging in een risicokaart (gebruik het ID nummer)
bepalen van de risico-prioriteit van elke bedreiging
...
Rollen
...
Werkwijze
...
Middelen
...
coördinator
proces-eigenaar
systeem-eigenaar
CISO/ ISO
DPO/ PO
...
bepaal per geïdentificeerde bedreiging zijn waarschijnlijkheid dat deze inherente bedreiging zich zal kunnen manifesteren, middels de tabel "waarschijnlijkheid"
bepaal per geïdentificeerde bedreiging de impact die deze inherente bedreiging zal hebben op de organisatie, middels de tabel "impact"
bepaal de maturiteit van de reeds genomen controlemaatregelen, en som ze op
bereken de score van het huidige risiconiveau
rangschik de bedreigingen volgens prioriteit (hoog naar laag)
breng de bedreigingen over op een risicokaart (facultatief)
...
workshop
sjabloon rapport risicoanalyse
Resultaat |
|---|
|
Waarschijnlijkheid
De analyse van de waarschijnlijkheid van elke geïdentificeerde bedreiging gebeurt aan de hand van de volgende schalen (1 – 5) zoals gedefinieerd in het document ‘Vo informatieclassificatie – Minimale maatregelen – Risicoanalyse’.
...
waarschijnlijkheid
...
Score
...
Rating
...
Kans
...
Horizon
...
...
5
...
Voorzienbaar
...
> 90%
...
1x/maand of >
...
...
4
...
Hoog
...
< 90%
...
1x/kwartaal
...
...
3
...
Gemiddeld
...
< 60%
...
1x/jaar
...
...
2
...
Laag
...
< 30%
...
1 - 5 jaar
...
...
1
...
Zeer laag
...
< 10%
...
> 5 jaar
Voor de beoordeling van de waarschijnlijkheid dat een bepaald risico optreedt, kan men kijken naar:
Het verleden: Heeft de bedreiging zich al voorgedaan?
De vertrouwdheid: Hebben we de activiteiten al eerder gedaan?
De omstandigheden: Onder welke condities treedt het op?
De frequentie: Hoe vaak kan het voorkomen?
De risicogevoeligheid in tijd: Is er sprake van een stijging of een daling?
Elke bedreiging is een omstandigheid die een kwetsbaarheid binnen de organisatie kan activeren om zo een gevolg uit te lokken. Deze kwetsbaarheid heeft een gevolg op de kansberekening van elke bedreiging, immers, hoe hoger de kwetsbaarheid, hoe hoger de kans dat een dreiging zich voordoet. Zoals hoger gesteld heeft de maturiteit van de genomen controlemaatregelen invloed op de kwetsbaarheid: hoe lager de maturiteit, hoe hoger de kwetsbaarheid.
Hierbij moet men dus rekening houden met reeds bestaande maatregelen die de waarschijnlijkheid van de bedreigingen verminderen. (zie definitie “huidig risico niveau”). Zoals hoger bepaald onder hoofdstuk “Risicoanalyse”, hebben we zicht op de maturiteit van een maatregel. Door de kwetsbaarheid af te wegen tegenover de maturiteit van de bestaande maatregel kan men tot een juiste inschatting van de waarschijnlijkheid komen.
Impact
Er zijn verschillende impactcategorieën te onderscheiden (1 – 5) zoals gedefinieerd in het document ‘Vo informatieclassificatie – Minimale maatregelen – Risicoanalyse’. Per risicoanalyse moet worden bepaald welke van deze categorieën van toepassing zijn. Hierbij houden we rekening met impact op verschillende vlakken: financieel, juridisch, naar dienstverlening belanghebbenden en naar imago.
...
Score
...
Rating
...
Financiële impact
...
dienstverlening
...
Imago
...
belanghebbenden
...
rechtelijk
...
5
...
Kritiek
...
Impact op budget > 20%
...
Bijsturing van de criteria en/of maatregelen zijn dwingend en noodzakelijk om het voortbestaan van de dienstverlening te garanderen.
Reservering van financiële middelen is noodzakelijk en overstijgen lopende en toekomstige budgetten.
Bedreigend voor het voortbestaan van de organisatie.
Onderbreking met een onbepaalde duur, of permanente onbeschikbaarheid van de dienstverlening is mogelijk
...
continue berichtgeving op radio, TV & kranten, sociale media (creatie van een "schandaalsfeer")
...
Beëindigen financiële autonomie
Compensatie onmogelijk
Fysieke integriteit
Marteling en mishandeling met, al dan niet, blijvende fysieke of psychologisch trauma
Levensbeëindiging
...
rechtelijke vervolging
...
4
...
significant
...
Impact op budget 15% - 20%
...
Bijsturing van de criteria en/of maatregelen zijn noodzakelijk op korte termijn, om de dienstverlening te ondersteunen.
Reservering van financiële middelen is noodzakelijk en hebben invloed op het lopende en toekomstige werkingsbudgetten.
Onderbreking met een maximaal gekende duur van de dienstverlening is mogelijk
...
...
Belangrijke financiële schade voor het individu
Aantoonbare blijvende impact op levenskwaliteit
Compensatie mogelijk op basis van juridische dwangmaatregelen
Ernstige immateriële schade voor het individu:
Eigenwaarde
Reputatie en stigmatisering
Gelijkheid
Integriteit van de persoon
Ongestoord leven
Autonomie
Fysieke integriteit
Verlies aan zelfstandigheid
Bewegingsvrijheid
...
inbreuk van rechtsregels met substantiële gevolgen (bv. boete)
...
3
...
Groot
...
Impact op budget 10% - 15%
...
Bijsturing van de criteria en/of maatregelen zijn noodzakelijk om de dienstverlening te ondersteunen. Financiële middelen worden ondersteund door het lopende werkingsbudget. Korte onderbreking van de dienstverlening is mogelijk, binnen VO-breed spreken we tussen ½ en 2 dagen
...
(negatieve) persberichten her en der
...
Belangrijke financiële schade voor het individu
Geen aantoonbare blijvende impact op de levenskwaliteit
Potentiële compensatie mogelijk op basis van juridische dwangmaatregelen
Geen tot minimale immateriële schade voor het individu:
Eigenwaarde
Reputatie en stigmatisering
...
beperkte inbreuk van een bepaalde regel met lichte gevolgen (bv. aanmaning)
...
2
...
Gemiddeld
...
Impact op budget 5% - 10%
...
Bijsturing van de criteria en/of maatregelen zijn aangewezen om de dienstverlening te ondersteunen.
Korte onderbreking van de dienstverlening mogelijk. VO-breed spreken we van minder dan ½ dag
...
enkel interne communicatie & communicatie naar belanghebbenden
...
Minimale financiële schade voor het individu
Geen aantoonbare impact op de levenskwaliteit
Potentiële compensatie mogelijk zonder juridische dwangmaatregelen
Geen tot minimale immateriële schade voor het individu:
Eigenwaarde
Reputatie en stigmatisering
...
beperkte inbreuk van een bepaalde regel zonder enige gevolgen
...
1
...
Klein
...
Impact op budget < 5%
...
Geen impact op de organisatie.
Dienstverlening gegarandeerd
...
enkel interne communicatie & communicatie naar belanghebbenden
...
Geen tot verwaarloosbare financiële schade voor het individu
Geen aantoonbare impact op levenskwaliteit
Geen tot minimale immateriële schade voor het individu:
Eigenwaarde
Reputatie en stigmatisering
...
overtreding van normen en waarden
Risicoscore
De coördinator van de risicoanalyse werkt de invulling uit, waarbij hij zorgt voor bepaling van het risico volgens de formule waarschijnlijkheid x impact. Hierbij wordt er rekening gehouden met de maturiteit van de reeds bestaande controlemaatregelen, waardoor het resultaat van de berekening een inzicht geeft in het huidige risiconiveau.
Risicokaart
Op basis van de berekening van het risico, bepaald de coördinator van de risicoanalyse welke bedreigingen het meest ernstig worden geacht.
Bedreigingen waarvan de waarschijnlijkheid en impact in schalen ingedeeld zijn, kunnen geplaatst worden in een risicokaart. De risicokaart geeft dus inzicht in de spreiding van de risico’s naar waarschijnlijkheid en impact.
Met behulp van de risicoscore kunnen bedreigingen, middels hun toegekende ID-nummer, uitgezet worden op de volgende risicokaart:
...
Dit geeft aan zowel het topmanagement, als het lijnmanagement een snel overzicht in de ernst van de geïdentificeerde bedreigingen. Deze stap is niet verplicht binnen de uitvoering van een risicoanalyse volgens de Vo risicoanalyse methodiek.
Risico-prioriteit
Met behulp van de risico-scores kunnen de bedreigingen gerangschikt worden van hoog naar laag, op basis van volgende beoordelingstabel:
Dit laat toe om de risico’s te prioriteren zodat de belangrijkste (= met de hoogste risico-score) eerst aangepakt kunnen worden.
1.3.1.2.4.3 Bepalen risicostrategie
...