Risico = waarschijnlijkheid x impact van een bedreiging.
Wanneer ingezoomd wordt op deze formule, komen volgende elementen aan bod:
Identificatie van de bedreigingen.
De waarschijnlijkheid dat een bedreiging zich manifesteert, dit hangt nauw samen met de kwetsbaarheden van de omgeving en het aantal/aard van de actoren die kunnen ingrijpen op de omgeving.
De impact indien een bedreiging zich manifesteert.
De risicoweging: welke risico’s zijn van groter belang voor de organisatie en moeten met hogere prioriteit aangepakt worden.
In deze analyse worden de relevante bedreigingen in kaart gebracht. Het betreft bedreigingen waardoor verlies aan beschikbaarheid, integriteit of vertrouwelijkheid van de informatievoorziening kan ontstaan. Een bedreiging is elke omstandigheid die een kwetsbaarheid in de organisatie kan activeren (door misbruik of ongeluk) om zo een impact uit te lokken.
Het volledige spectrum van mogelijke bedreigingen wordt hierbij in kaart gebracht: natuurlijke dreigingen (overstromingen, bliksemschade, …), systeem faling, misdrijven, terroristische en andere aanvallen, ongelukken, enz.
Naast het inventariseren van de bedreigingen moet ook nagekeken worden hoe kwetsbaar de omgeving is voor de bedreiging. Deze kwetsbaarheid heeft gevolg voor de waarschijnlijkheidsberekening voor elke bedreiging: hoe hoger de kwetsbaarheid, hoe hoger de waarschijnlijkheid dat een bedreiging zich voordoet.
Een kwetsbaarheid moet ruim opgevat worden: het kan gaan om kwetsbaarheden in de infrastructuur, maar ook in de processen en er moet ook rekening worden gehouden met de menselijke factor. Voor kwetsbaarheden in de infrastructuur kan men vaak beroep doen op geautomatiseerde tools zoals ‘vulnerability scans’ en pentests. Maar ook leveranciers en andere instanties rapporteren regelmatig gevonden kwetsbaarheden in systemen (software en hardware) en de oplossing om deze kwetsbaarheden weg te werken. Daarnaast zijn ook gerapporteerde incidenten een bron van informatie over de kwetsbaarheden in een organisatie.
Dit is het resultaat of effect van een bedreiging. Er kan een reeks mogelijke gevolgen verbonden zijn aan een bedreiging. De impact kan positief of negatief zijn in relatie tot de strategie of de bedrijfsdoelstellingen.
Voorbeelden van impact zijn:
Reputatieschade.
Financiële verliezen.
Burgerlijke aansprakelijkheid.
Schade aan de programmatorische doelstellingen van de instelling of aan het publieke belang.
Lekken van informatie.
Veiligheid en gezondheid van personen.
Schending van het burgerlijk- , bestuurs- of strafrecht.
Al deze informatie leidt tot de waarschijnlijkheid dat een dreiging zich voordoet en de impact ervan. Waarschijnlijkheid en impact moeten worden geschat of uitgedrukt. Dit kan op verschillende manieren:
Kwalitatief: De waarschijnlijkheid van een mogelijk voorval of een omstandigheid en de bijbehorende impact (binnen de tijdshorizon die wordt overwogen door het bedrijfsdoel, bijvoorbeeld twaalf maanden) uitgedrukt in een bepaalde relatieve schaal (bvb hoog, medium of laag).
Kwantitatief: De mogelijkheid van een voorval of een omstandigheid en de bijbehorende impact (binnen de tijdshorizon die wordt overwogen door het bedrijfsdoel, bijvoorbeeld twaalf maanden) uitgedrukt in een bepaald percentage.
Frequentie: De mogelijkheid van een voorval of een omstandigheid en de bijbehorende impact (binnen de tijdshorizon die wordt overwogen door het bedrijfsdoel, bijvoorbeeld twaalf maanden) uitgedrukt in een hoeveelheid binnen een bepaalde periode (bvb drie maal per jaar).