1.4.1.2.4.2 Risico-analyse
- Hijke Maes (Unlicensed)
- Yentl Goossens (Unlicensed)
Per bedreiging wordt op een 5-puntenschaal aangegeven hoe groot de invloed ervan is op de werking van het informatiesysteem (het gevolg), en wat de waarschijnlijkheid is op het optreden van de betreffende bedreiging. Op basis van een standaard tabel wordt bepaald wat het totale effect is van de bedreiging, namelijk de wiskundige formule waarschijnlijkheid vermenigvuldigd met gevolg.
risico-analyse
per geïdentificeerde bedreiging, inschatten van de waarschijnlijkheid (1-5) dat deze zich zal kunnen voordoen, alsook verder het inschatten van het gevolg (1-5) van de bedreiging
bepalen van de maturiteit van de reeds genomen controlemaatregelen
bepalen van de risicoscore (1-25) = waarschijnlijkheid x gevolg per bedreiging
overbrengen van de risicoscore van elke bedreiging in een risicokaart (gebruik het ID nummer)
bepalen van de risico-prioriteit van elke bedreiging
Rollen | Werkwijze | Middelen |
|---|---|---|
|
|
|
Resultaat |
|---|
|
Waarschijnlijkheid
De analyse van de waarschijnlijkheid van elke geïdentificeerde bedreiging gebeurt aan de hand van de volgende schalen (1 – 5) zoals gedefinieerd in het document ‘Vo informatieclassificatie – Minimale maatregelen – Risicoanalyse’.
waarschijnlijkheid | Score | Rating | Kans | Horizon |
| 5 | Voorzienbaar | > 90% | 1x/maand of > |
| 4 | Hoog | < 90% | 1x/kwartaal |
| 3 | Gemiddeld | < 60% | 1x/jaar |
| 2 | Laag | < 30% | 1 - 5 jaar |
| 1 | Zeer laag | < 10% | > 5 jaar |
Voor de beoordeling van de waarschijnlijkheid dat een bepaald risico optreedt, kan men kijken naar:
Het verleden: Heeft de bedreiging zich al voorgedaan?
De vertrouwdheid: Hebben we de activiteiten al eerder gedaan?
De omstandigheden: Onder welke condities treedt het op?
De frequentie: Hoe vaak kan het voorkomen?
De risicogevoeligheid in tijd: Is er sprake van een stijging of een daling?
Elke bedreiging is een omstandigheid die een kwetsbaarheid binnen de organisatie kan activeren om zo een gevolg uit te lokken. Deze kwetsbaarheid heeft een gevolg op de kansberekening van elke bedreiging, immers, hoe hoger de kwetsbaarheid, hoe hoger de kans dat een dreiging zich voordoet. Zoals hoger gesteld heeft de maturiteit van de genomen controlemaatregelen invloed op de kwetsbaarheid: hoe lager de maturiteit, hoe hoger de kwetsbaarheid.
Hierbij moet men dus rekening houden met reeds bestaande maatregelen die de waarschijnlijkheid van de bedreigingen verminderen. (zie definitie “huidig risico niveau”). Zoals hoger bepaald onder hoofdstuk “Risicoanalyse”, hebben we zicht op de maturiteit van een maatregel. Door de kwetsbaarheid af te wegen tegenover de maturiteit van de bestaande maatregel kan men tot een juiste inschatting van de waarschijnlijkheid komen.
Impact
Er zijn verschillende impactcategorieën te onderscheiden (1 – 5) zoals gedefinieerd in het document ‘Vo informatieclassificatie – Minimale maatregelen – Risicoanalyse’. Per risicoanalyse moet worden bepaald welke van deze categorieën van toepassing zijn. Hierbij houden we rekening met impact op verschillende vlakken: financieel, juridisch, naar dienstverlening belanghebbenden en naar imago.
Score | Rating | Financiële impact | dienstverlening | Imago | belanghebbenden | rechtelijk |
5 | Kritiek | Impact op budget > 20% | Bijsturing van de criteria en/of maatregelen zijn dwingend en noodzakelijk om het voortbestaan van de dienstverlening te garanderen. | continue berichtgeving op radio, TV & kranten, sociale media (creatie van een "schandaalsfeer") | Beëindigen financiële autonomie | rechtelijke vervolging |
4 | significant | Impact op budget 15% - 20% | Bijsturing van de criteria en/of maatregelen zijn noodzakelijk op korte termijn, om de dienstverlening te ondersteunen. | gedurende enkele dagen (negatieve) persberichten in de belangrijkste media | Belangrijke financiële schade voor het individu | inbreuk van rechtsregels met substantiële gevolgen (bv. boete) |
3 | Groot | Impact op budget 10% - 15% | Bijsturing van de criteria en/of maatregelen zijn noodzakelijk om de dienstverlening te ondersteunen. Financiële middelen worden ondersteund door het lopende werkingsbudget. Korte onderbreking van de dienstverlening is mogelijk, binnen VO-breed spreken we tussen ½ en 2 dagen | (negatieve) persberichten her en der | Belangrijke financiële schade voor het individu Geen aantoonbare blijvende impact op de levenskwaliteit Potentiële compensatie mogelijk op basis van juridische dwangmaatregelen Geen tot minimale immateriële schade voor het individu: | beperkte inbreuk van een bepaalde regel met lichte gevolgen (bv. aanmaning) |
2 | Gemiddeld | Impact op budget 5% - 10% | Bijsturing van de criteria en/of maatregelen zijn aangewezen om de dienstverlening te ondersteunen. | enkel interne communicatie & communicatie naar belanghebbenden | Minimale financiële schade voor het individu | beperkte inbreuk van een bepaalde regel zonder enige gevolgen |
1 | Klein | Impact op budget < 5% | Geen impact op de organisatie. | enkel interne communicatie & communicatie naar belanghebbenden | Geen tot verwaarloosbare financiële schade voor het individu | overtreding van normen en waarden |
Risicoscore
De coördinator van de risicoanalyse werkt de invulling uit, waarbij hij zorgt voor bepaling van het risico volgens de formule waarschijnlijkheid x impact. Hierbij wordt er rekening gehouden met de maturiteit van de reeds bestaande controlemaatregelen, waardoor het resultaat van de berekening een inzicht geeft in het huidige risiconiveau.
Risicokaart
Op basis van de berekening van het risico, bepaald de coördinator van de risicoanalyse welke bedreigingen het meest ernstig worden geacht.
Bedreigingen waarvan de waarschijnlijkheid en impact in schalen ingedeeld zijn, kunnen geplaatst worden in een risicokaart. De risicokaart geeft dus inzicht in de spreiding van de risico’s naar waarschijnlijkheid en impact.
Met behulp van de risicoscore kunnen bedreigingen, middels hun toegekende ID-nummer, uitgezet worden op de volgende risicokaart:
Dit geeft aan zowel het topmanagement, als het lijnmanagement een snel overzicht in de ernst van de geïdentificeerde bedreigingen. Deze stap is niet verplicht binnen de uitvoering van een risicoanalyse volgens de Vo risicoanalyse methodiek.
Risico-prioriteit
Met behulp van de risico-scores kunnen de bedreigingen gerangschikt worden van hoog naar laag, op basis van volgende beoordelingstabel:
Dit laat toe om de risico’s te prioriteren zodat de belangrijkste (= met de hoogste risico-score) eerst aangepakt kunnen worden.