Gerelateerd aan:
Risicoanalyses vormen een belangrijke stap in het beveiligingsproces. Immers, informatiebeveiliging is ingericht op basis van een actueel inzicht in de interne en externe risico’s en bedreigingen, de potentiële impact van bestaande bedreigingen en de risicobereidheid van de organisatie.
Organisaties staan vaak bloot aan tal van bedreigingen met de daarmee samenhangende risico’s. Een risico bestaat uit de waarschijnlijkheid dat de bedreiging werkelijkheid wordt, en de impact hiervan. Vaak worden de bedreigingen tijdig opgemerkt en wordt er adequaat op geanticipeerd, maar soms zijn er negatieve gevolgen door slecht risicomanagement, waar risicoanalyse een onderdeel van is. Risicoanalyse helpt organisaties om de bedreigingen in kaart te brengen en mogelijk passende maatregelen te identificeren.
Naast de identificatie van mogelijke bedreigingen moet er vastgesteld worden hoe groot de waarschijnlijkheid is dat de bedreiging zich daadwerkelijk voordoet en welke consequenties (impact) dat heeft voor de bedrijfsprocessen. Daarna moet de afweging gemaakt worden of de kosten van de maatregelen opwegen tegen de kosten van het gevolg als een bedreiging werkelijkheid is geworden.
Veel factoren zorgen ervoor dat een organisatie wordt blootgesteld aan risico’s. Hierbij wordt onderscheid gemaakt tussen interne en externe factoren.
Externe factoren:
Demografische factoren
Sociologische ontwikkelingen
Politieke situaties
Economische factoren
Natuurlijke oorzaken
Technologische ontwikkelingen
Wetgevende factoren
Interne factoren:
Bedrijfscultuur
Personeelsrisico
Interne organisatie
Technologie
Er kunnen verschillende aanleidingen zijn om een risicoanalyse uit te voeren:
Ontwikkelingen in het bedreigingsniveau: hete dreigingsniveau is aan verandering onderhevig, bijvoorbeeld wanneer een moedwillige verstoring heeft plaatsgevonden, een nieuwe kwetsbaarheid in de infrastructuur is geïdentificeerd of de organisatie in de publiciteit staat en daarmee de aandacht trekt van potentiële daders.
Ontwikkelingen in de omgeving: ook omgevingsontwikkelingen kunnen aanleiding vormen voor het opnieuw uitvoeren van een risicoanalyse. Bijvoorbeeld wanneer een nieuwe dienst wordt opgezet, een significante infrastructuurwijziging plaatsvindt of een toepassing ontsloten wordt naar het internet.
Planning & controle processen in de organisatie: de risicoanalyse vormt input voor het informatie beveiligingsplan en kan ertoe leiden dat de organisatie maatregelen wil implementeren die investeringen vergen. In dat geval is het van belang aan te sluiten bij de planning van de begroting, omdat deze investeringen dan kunnen worden afgewogen tegen andere (potentiële) investeringen.
Regelgeving: soms is er een wettelijke of andere regelgevende verplichting om een risicoanalyse uit te voeren, bv. in het kader van de GDPR of indien er sprake is van conformiteit met de Minimale Normen van de KSZ (Kruispuntbank van de Sociale Zekerheid).