Document toolboxDocument toolbox

1.4.1.2.4.2 Risico-analyse

Owned by Hijke Maes (Unlicensed)
Last updated: 20 Sept, 2023 by Yentl Goossens (Unlicensed)
5 min read

Per bedreiging wordt op een 5-puntenschaal aangegeven hoe groot de invloed ervan is op de werking van het informatiesysteem (het gevolg), en wat de waarschijnlijkheid is op het optreden van de betreffende bedreiging. Op basis van een standaard tabel wordt bepaald wat het totale effect is van de bedreiging, namelijk de wiskundige formule waarschijnlijkheid vermenigvuldigd met gevolg.

  • risico-analyse

    • per geïdentificeerde bedreiging, inschatten van de waarschijnlijkheid (1-5) dat deze zich zal kunnen voordoen, alsook verder het inschatten van het gevolg (1-5) van de bedreiging

    • bepalen van de maturiteit van de reeds genomen controlemaatregelen

    • bepalen van de risicoscore (1-25) = waarschijnlijkheid x gevolg per bedreiging

    • overbrengen van de risicoscore van elke bedreiging in een risicokaart (gebruik het ID nummer)

    • bepalen van de risico-prioriteit van elke bedreiging

 

Rollen

Werkwijze

Middelen

Rollen

Werkwijze

Middelen

  • coördinator

  • proces-eigenaar

  • systeem-eigenaar

  • CISO/ ISO

  • DPO/ PO

  • bepaal per geïdentificeerde bedreiging zijn waarschijnlijkheid dat deze inherente bedreiging zich zal kunnen manifesteren, middels de tabel "waarschijnlijkheid"

  • bepaal per geïdentificeerde bedreiging de impact die deze inherente bedreiging zal hebben op de organisatie, middels de tabel "impact"

  • bepaal de maturiteit van de reeds genomen controlemaatregelen, en som ze op

  • bereken de score van het huidige risiconiveau

  • rangschik de bedreigingen volgens prioriteit (hoog naar laag)

  • breng de bedreigingen over op een risicokaart (facultatief)

  • workshop

  • sjabloon rapport risicoanalyse

Resultaat

Resultaat

  • een gerangschikte lijst van bedreigingen, met een inschatting van hun waarschijnlijkheid van optreden en hun impact op de organisatie. De lijst is gerangschikt naar de ernst van het berekende risico, en houdt rekening met genomen controlemaatregelen

  • dit wordt binnen het rapport van de risicoanalyse genoteerd

 

Waarschijnlijkheid

De analyse van de waarschijnlijkheid van elke geïdentificeerde bedreiging gebeurt aan de hand van de volgende schalen (1 – 5) zoals gedefinieerd in het document ‘Vo informatieclassificatie – Minimale maatregelen – Risicoanalyse’.

 

waarschijnlijkheid

Score 

Rating 

Kans 

Horizon 

5 

Voorzienbaar

> 90%

1x/maand of >

4 

Hoog

< 90%

1x/kwartaal

3 

Gemiddeld

< 60%

1x/jaar

2 

Laag

< 30%

1 - 5 jaar

1 

Zeer laag

< 10%

> 5 jaar

 

Voor de beoordeling van de waarschijnlijkheid dat een bepaald risico optreedt, kan men kijken naar:

  • Het verleden: Heeft de bedreiging zich al voorgedaan?

  • De vertrouwdheid: Hebben we de activiteiten al eerder gedaan?

  • De omstandigheden: Onder welke condities treedt het op?

  • De frequentie: Hoe vaak kan het voorkomen?

  • De risicogevoeligheid in tijd: Is er sprake van een stijging of een daling?

Elke bedreiging is een omstandigheid die een kwetsbaarheid binnen de organisatie kan activeren om zo een gevolg uit te lokken. Deze kwetsbaarheid heeft een gevolg op de kansberekening van elke bedreiging, immers, hoe hoger de kwetsbaarheid, hoe hoger de kans dat een dreiging zich voordoet. Zoals hoger gesteld heeft de maturiteit van de genomen controlemaatregelen invloed op de kwetsbaarheid: hoe lager de maturiteit, hoe hoger de kwetsbaarheid.

Hierbij moet men dus rekening houden met reeds bestaande maatregelen die de waarschijnlijkheid van de bedreigingen verminderen. (zie definitie “huidig risico niveau”). Zoals hoger bepaald onder hoofdstuk “Risicoanalyse”, hebben we zicht op de maturiteit van een maatregel. Door de kwetsbaarheid af te wegen tegenover de maturiteit van de bestaande maatregel kan men tot een juiste inschatting van de waarschijnlijkheid komen.

 

Impact

Er zijn verschillende impactcategorieën te onderscheiden (1 – 5) zoals gedefinieerd in het document ‘Vo informatieclassificatie – Minimale maatregelen – Risicoanalyse’. Per risicoanalyse moet worden bepaald welke van deze categorieën van toepassing zijn. Hierbij houden we rekening met impact op verschillende vlakken: financieel, juridisch, naar dienstverlening belanghebbenden en naar imago.

 

Score 

Rating 

Financiële impact 

dienstverlening 

Imago 

belanghebbenden 

rechtelijk 

 5

Kritiek

Impact op budget > 20%

Bijsturing van de criteria en/of maatregelen zijn dwingend en noodzakelijk om het voortbestaan van de dienstverlening te garanderen. 
Reservering van financiële middelen is noodzakelijk en overstijgen lopende en toekomstige budgetten. 
Bedreigend voor het voortbestaan van de organisatie. 
Onderbreking met een onbepaalde duur, of permanente onbeschikbaarheid van de dienstverlening is mogelijk

continue berichtgeving op radio, TV & kranten, sociale media (creatie van een "schandaalsfeer")

Beëindigen financiële autonomie 
Compensatie onmogelijk 
Fysieke integriteit 
Marteling en mishandeling met, al dan niet, blijvende fysieke of psychologisch trauma 
Levensbeëindiging

rechtelijke vervolging

 4

significant

Impact op budget 15% - 20%

Bijsturing van de criteria en/of maatregelen zijn noodzakelijk op korte termijn, om de dienstverlening te ondersteunen. 
Reservering van financiële middelen is noodzakelijk en hebben invloed op het lopende en toekomstige werkingsbudgetten. 
Onderbreking met een maximaal gekende duur van de dienstverlening is mogelijk

gedurende enkele dagen (negatieve) persberichten in de belangrijkste media

Belangrijke financiële schade voor het individu 
Aantoonbare blijvende impact op levenskwaliteit 
Compensatie mogelijk op basis van juridische dwangmaatregelen 
Ernstige immateriële schade voor het individu: 
Eigenwaarde 
Reputatie en stigmatisering 
Gelijkheid 
Integriteit van de persoon 
Ongestoord leven 
Autonomie 
Fysieke integriteit 
Verlies aan zelfstandigheid 
Bewegingsvrijheid

inbreuk van rechtsregels met substantiële gevolgen (bv. boete)

 3

Groot

Impact op budget 10% - 15%

Bijsturing van de criteria en/of maatregelen zijn noodzakelijk om de dienstverlening te ondersteunen. Financiële middelen worden ondersteund door het lopende werkingsbudget. Korte onderbreking van de dienstverlening is mogelijk, binnen VO-breed spreken we tussen ½ en 2 dagen  

(negatieve) persberichten her en der

Belangrijke financiële schade voor het individu

Geen aantoonbare blijvende impact op de levenskwaliteit

Potentiële compensatie mogelijk op basis van juridische dwangmaatregelen

Geen tot minimale immateriële schade voor het individu: 
Eigenwaarde 
Reputatie en stigmatisering

beperkte inbreuk van een bepaalde regel met lichte gevolgen (bv. aanmaning)

2

Gemiddeld 

Impact op budget 5% - 10%

Bijsturing van de criteria en/of maatregelen zijn aangewezen om de dienstverlening te ondersteunen. 
Korte onderbreking van de dienstverlening mogelijk. VO-breed spreken we van minder dan ½ dag

enkel interne communicatie & communicatie naar belanghebbenden

Minimale financiële schade voor het individu 
Geen aantoonbare impact op de levenskwaliteit 
Potentiële compensatie mogelijk zonder juridische dwangmaatregelen 
Geen tot minimale immateriële schade voor het individu: 
Eigenwaarde 
Reputatie en stigmatisering

beperkte inbreuk van een bepaalde regel zonder enige gevolgen 

 1

Klein

Impact op budget < 5%

Geen impact op de organisatie. 
Dienstverlening gegarandeerd 

enkel interne communicatie & communicatie naar belanghebbenden

Geen tot verwaarloosbare financiële schade voor het individu 
Geen aantoonbare impact op levenskwaliteit 
Geen tot minimale immateriële schade voor het individu: 
Eigenwaarde 
Reputatie en stigmatisering

overtreding van normen en waarden

 

Risicoscore

De coördinator van de risicoanalyse werkt de invulling uit, waarbij hij zorgt voor bepaling van het risico volgens de formule waarschijnlijkheid x impact. Hierbij wordt er rekening gehouden met de maturiteit van de reeds bestaande controlemaatregelen, waardoor het resultaat van de berekening een inzicht geeft in het huidige risiconiveau.

Risicokaart

Op basis van de berekening van het risico, bepaald de coördinator van de risicoanalyse welke bedreigingen het meest ernstig worden geacht.

Bedreigingen waarvan de waarschijnlijkheid en impact in schalen ingedeeld zijn, kunnen geplaatst worden in een risicokaart. De risicokaart geeft dus inzicht in de spreiding van de risico’s naar waarschijnlijkheid en impact.

Met behulp van de risicoscore kunnen bedreigingen, middels hun toegekende ID-nummer, uitgezet worden op de volgende risicokaart:

 

     

Dit geeft aan zowel het topmanagement, als het lijnmanagement een snel overzicht in de ernst van de geïdentificeerde bedreigingen. Deze stap is niet verplicht binnen de uitvoering van een risicoanalyse volgens de Vo risicoanalyse methodiek.

Risico-prioriteit

Met behulp van de risico-scores kunnen de bedreigingen gerangschikt worden van hoog naar laag, op basis van volgende beoordelingstabel:

 

 

Dit laat toe om de risico’s te prioriteren zodat de belangrijkste (= met de hoogste risico-score) eerst aangepakt kunnen worden.