Document toolboxDocument toolbox

5.5.3.3. De bouwstenen van risicobeheer

5.5.3.3.1. Analyse van de zakelijke omgeving

Vaststellen context en scope

De eerste stap bij het uitvoeren van een risicoanalyse is het bepalen van de context. Hierbij kan men zich richten tot de aanleiding van de risicoanalyse. Met name bij ad hoc gevraagde analyses is het van cruciaal belang dat de aanleiding om juist nu een analyse uit te voeren goed bekend is. Met de informatie uit deze stap kan de doelstelling van de risicoanalyse worden vastgesteld en kunnen de juiste keuzes worden gemaakt met betrekking tot de inrichting van de risicoanalyse. Het resultaat van de context- en doelbepaling is om vast te stellen welke informatiesystemen en welke informatiebronnen aangesproken worden, dewelke meegenomen moeten worden in de risicoanalyse.

Validatie minimale maatregelen Informatieclassificatie

Eens bepaald welke informatiesystemen en welke informatiebronnen aangesproken worden, kan er afgeleid worden welke informatie er verwerkt wordt, waarop dan een toetsing kan gebeuren naar de aanwezige maatregelen dewelke uitgewerkt zijn binnen het model van de Vo informatieclassificatie. De maturiteit van deze maatregelen kunnen vervolgens beoordeeld worden aan de hand van onderstaande tabel.  

5.5.3.3.2. Risicobeoordeling

Op basis van het verkregen inzicht in het te analyseren object en de doelstelling van de risicoanalyse
kunnen keuzes gemaakt worden ten aanzien van inrichting van de volgende stappen in het proces
rond risicobeheer.
Risicobeoordeling is gebaseerd op de volgende stappen:

  • Risico-identificatie

  • Risicoanalyse

  • Risico-evaluatie

  • Bepalen risicostrategie

Risico-identificatie

In deze fase worden alle potentiële bedreigingen geïdentificeerd. Hierbij valt te denken aan een breed scala aan bedreigingen (kwalitatief of kwantitatief), meer bepaald bedreigingen verbonden aan informatiebeveiliging en privacy.
Het doel van risico-identificatie is om inzichtelijk te maken welke bedreigingen een organisatie loopt. Bij de risico-identificatie is het van belang om een brede en gestructureerde benadering te hanteren. Het is een utopie te veronderstellen dat 100% van de risico’s in beeld kunnen worden gebracht. Een goede identificatiestructuur kan helpen bij het verkrijgen van een zo volledig mogelijk risicoprofiel. Bij de risico-identificatie is het van belang om een eenduidige definitie van het begrip risico te hanteren.
Een risico wordt als volgt gedefinieerd:

 

“De waarschijnlijkheid op het optreden van een bedreiging met een gevolg op het behalen van de doelstellingen van een organisatie.”

 

Elk geïdentificeerde bedreiging wordt op eenzelfde wijze beschreven:

 

“Er bestaat een waarschijnlijkheid dat <beschrijft bedreiging> veroorzaakt door <beschrijf oorzaak> met als gevolg <beschrijft gevolg>”.

Sommige organisaties vinden het moeilijk om gebeurtenissen, oorzaken en gevolgen te splitsen. Zij hebben vaak baat bij het systematisch opstellen van de hierboven opgenomen schematische weergave, waardoor een heldere en duidelijke omschrijving van het risico ontstaat met aanknopingspunten voor beheersmaatregelen.

 

Binnen de organisatie wordt gekozen om voornamelijk via brainstormsessies bedreigingen te benoemen en deze te clusteren, o.a. op basis van typologie, zoals:

  • Mogelijke invalshoek: juridisch, technisch, organisatorisch, ruimtelijk, financieel, maatschappelijk, politiek (en technieken van projectmethodologie)

  • De verschillende types van dreigingen: lichamelijke schade, natuurramp, verlies van essentiële diensten, verstoring veroorzaakt door straling, gecompromitteerde informatie, technisch falen en ongeoorloofde acties. Deze dreigingen kunnen van natuurlijke of menselijke oorsprong zijn en deze kunnen een ongeluk of opzettelijk zijn. (MAPGOOD)

Risicoanalyse

Het in kaart brengen van de bedreigingen maakt het mogelijk om deze te analyseren. De analyse bestaat meestal uit een inschatting van de waarschijnlijkheid dat een gebeurtenis optreedt, waarbij kan worden aangegeven wat de gevolgen daarvan zijn In de vorige stap uit het proces risicobeheer zijn bedreigingen ge��dentificeerd. Resultaat hiervan is een lijst met goed omschreven bedreigingen. Om meer inzicht in de risico’s te krijgen, moeten deze bedreigingen geanalyseerd worden. De risicoscore van een bedreiging wordt bepaald door waarschijnlijkheid en gevolgen in schalen in te delen en deze met elkaar te vermenigvuldigen.

Waarschijnlijkheid

De analyse van de waarschijnlijkheid en de impact van elk geïdentificeerde bedreiging gebeurt aan de hand van de gedefinieerde schalen (1 – 5):  

 

Een bedreiging dat 1 keer per 1 jaar voorkomt valt in schaal 3, daarvan is de kans dat deze bedreiging optreedt kleiner dan 60%. De referentiebeelden gelden als hulpmiddel en zullen niet in alle gevallen exact aansluiten bij de werkelijkheid.

Voor de beoordeling van de kans dat een bepaald risico optreedt, kan men kijken naar:

  • Het verleden: Heeft risico zal eerder voorgedaan?

  • De vertrouwdheid: Hebben we de activiteiten al eerder gedaan?

  • De omstandigheden: Onder welke condities treedt het op?

  • De frequentie: Hoe vaak kan het voorkomen?

  • De risicogevoeligheid in tijd: Is er sprake van een stijging of een daling?

Om de subjectiviteit van de inschatting van een bedreiging te beperken is afstemming binnen de organisatie en het onderbouwen van de inschattingen belangrijk. De praktijk leert dat door het plegen van overleg met experts, door een objectieve beoordeling van een buitenstaander en door afstemming binnen een afdelingsoverleg de subjectiviteit enigszins verminderd wordt. Ervaring leert tevens dat medewerkers met logisch redeneren een eind komen met het inschatten van de waarschijnlijkheid van een risico.

Gevolg (of impact)

Zoals in de vorige paragraaf beschreven, zijn verschillende gevolgcategorieën te onderscheiden. Per organisatie kan worden bepaald welke van deze categorieën gebruikt worden. Er kan ook gebruik worden gemaakt van één, niet nader gespecificeerde gevolgschaalindeling waarbij men dus geen onderscheid maakt in de soorten gevolgen. Deze schaalindeling kan praktisch zijn bij een risicoanalyse op hoofdlijnen. Als een meer diepgaande risicoanalyse wordt uitgevoerd wordt beter inzicht in de bedreiging verkregen wanneer men de gevolgen inschat op basis van gevolg categorieën. Volgende impact schalen worden gehanteerd:  

 

Risicoscore

Met behulp van de risicoscore kunnen bedreigingen gerangschikt worden van groot naar klein. De risicoscore wordt bepaald door waarschijnlijkheid en gevolgen van een bedreiging in bovenstaande schalen in te delen en deze schalen te vermenigvuldigen. Dus, risico = waarschijnlijkheid x gevolg. 

Risicokaart

Bedreigingen waarvan de waarschijnlijkheid en gevolgen in schalen ingedeeld zijn kunnen geplaatst worden in een risicokaart. De risicokaart geeft inzicht in de spreiding van de risico’s naar waarschijnlijkheid en gevolg. De nummers in de risicokaart corresponderen met de aantallen risico’s die zich in het desbetreffende vak van de risicokaart bevinden. 

 

Risico-evaluatie

Uiteindelijk gaat risicobeheer over het effectief beheersen van bedreigingen. Als organisatie moet je kunnen aantonen hoe je de belangrijkste bedreigingen beheerst. In de stap risico-evaluatie wordt gekeken welke controlemaatregelen mogelijk zijn en welke het meest geschikt zijn aan de hand van de risicoscore, en aan welke maturiteit deze moet voldoen.

Soorten risico’s
  • Inherente risico’s: het 0-punt ofwel de situatie waarin geen enkele maatregel is getroffen;

  • Huidige risiconiveau: het risiconiveau van nu, inclusief de reeds genomen maatregelen;

  • Minimaal risiconiveau: het risiconiveau rekening houdend met alle relevante minimale maatregelen van het informatie classificatie raamwerk,

  • Gewenst risiconiveau voor de korte termijn: Waar wil de organisatie naartoe op korte termijn?

  • Gewenst risiconiveau voor de lange(re) termijn: Welke doelstellingen wil de organisatie nastreven op langere termijn?

  • Rest risico: het risico dat overblijft nadat maatregelen genomen zijn of zullen zijn. Dit is het risico dat door het management moet worden aanvaard. De grootte van dit risico hangt af van de organisatie en van de risico ‘appetijt’ van het management.

Welke risico’s te beheersen?

Niet alle risico’s uit het risicoprofiel van een organisatie hoeven beheerst te worden. Ook is het niet mogelijk om alle risico’s die wel beheerst dienen te worden tegelijkertijd aan te pakken. Om te bepalen welke risico’s als eerste beheerst moeten worden, kan gekeken worden naar de waarschijnlijkheid en gevolgen van de verschillende risico’s. De hiervoor behandelde risicokaart is hierbij een goed hulpmiddel. 

 

Een risico dat in het groene gebied zit vormt geen direct gevaar voor de continuïteit van de instelling (prio 4). Een risico dat een score heeft die in het geel/oranje gebied zit, vraagt om aandacht (prio 3/ prio 2). Een risico dat een risicoscore heeft die in het rode gebied zit vereist directe aandacht (prio 1) om te voorkomen dat de continuïteit van de instelling wordt bedreigd. 

De risico-evaluatie betreft:

  • Het inherent risico bepalen door het plaatsen van de geïdentificeerde bedreiging in een risicomatrix als assen de waarschijnlijkheid en de impact

  • Het inherent risico geeft aan hoe belangrijk de maturiteit van de beheersmaatregelen zal moeten zijn om de bedreiging te beheersen.

  • Het vergelijken van het niveau van het residueel risico met de maturiteit van de bestaande/te nemen controlemaatregel(en)

  • Op basis van deze beoordeling over de risicoafdekking (met de huidige beheersmaatregelen en zijn maturiteit) wordt de nood in verdere aanpak (vermijden, mitigeren, overdragen of accepteren – zie risicostrategie hieronder) van de bedreiging bepaald.  

Bepalen risicostrategie  

De literatuur kent vier soorten risicostrategieën, te weten: vermijden, mitigeren, overdragen en accepteren die een samenhang kennen met de mate van de waarschijnlijkheid en de impact. 

  • Soortgelijk aan de continuïteitsstrategie in het BCP van de organisatie kiest de organisatie in eerste instantie en overwegend voor het mitigeren, dit gebaseerd op de missie, visie en doelstellingen en in kader van dienstverlening.

  • Voor een aantal diensten werd gekozen voor overdragen van het risico, onder andere door het inschakelen van een ICT-dienstverlener en door het afsluiten van diverse raamcontracten.

  • Een aantal specifieke risico’s waarbij de beheersmaatregelen veel meer inzet en tijd vergen dan het effect van het risico worden geaccepteerd.

  • Risico’s die we vermijden hebben geen gevolg meer op de missie, visie, doelstellingen en dienstverlening van de organisatie.

Het bepalen in welke strategie aangewend gaat worden, zal gebeuren op basis van de specifieke activiteiten die binnen een organisatie gebeuren. Zo kan het zijn dat een organisatie x een keuze zal maken tot mitigeren van een risico, terwijl organisatie y eerder hetzelfde risico gaat accepteren. 
Verder hangt de keuze die gemaakt wordt ook af van de afweging ten aanzien van de geldende maatregelen binnen de Vo informatieclassificatie, dit bv op basis van de kostprijs om die specifieke maatregel(en) te implementeren. Iedere keuze tot een risicostrategie zal gemotiveerd dienen te worden, en ter bevestiging aan de directie voorgelegd dienen te worden. 

5.5.3.3.3. Risicobehandeling

De in de vorige stap gekozen risicostrategie moet ook daadwerkelijk geïmplementeerd worden in de organisatie. Bovendien dienen afspraken gemaakt te worden over de controle op de uitvoering van de risicostrategie. Voor bedreigingen die niet, of niet volledig worden beheerst is het mogelijk een financiële buffer aan te leggen.

Vastleggen acties

De risico appetijt, zoals onder ‘Bepalen risicostrategie’ beschreven, wordt toegepast om na te gaan of er actie voor verbeteren van bestaande controlemaatregelen en/ of nieuwe controlemaatregelen worden gedefinieerd.

Voor de aanpak van de meest prioritaire risico’s zijn volgende opties:

  • Mitigeren

  • Overdragen

  • Acceptie

  • Verwijderen

Voor elke actie wordt vastgelegd wat er gedaan moet worden, tegen wanneer en wie verantwoordelijk is voor deze actie. Eventueel wordt ook opgenomen hoe dit kan gemeten worden.

Opvolgen geformuleerde acties

Het doel van de aanpak van een risico is het verhogen van de mate van risicobeheersing zodat het risico voldoende afgedekt is. De mate van risicobeheersing van al de geïdentificeerde risico’s is bepalend voor de maturiteit van de organisatie of een proces binnen de organisatie. De vraag van een uitgevoerde actie is of de mate van risicobeheersing hoog is. Zelfs een aangepakt risico kan nog een rest van waarschijnlijkheid en/ of gevolg in zich houden. Niet alle controlemaatregelen zullen tot een waarschijnlijkheid van nul en/of een impact van nul leiden en er blijft vaak een residueel risico over.

Verantwoording van maatregelen vereist zowel binnen de scope van de AVG als in relatie tot het tactische beleid een Plan-Do-Check-Act-cyclus, die ervoor zorgt dat de organisatie blijft voldoen aan de AVG en het tactische beleid. Veel maatregelen die nodig zijn voor het voldoen aan de AVG vallen samen met de beveiligingsmaatregelen die in het kader van het tactische beleid zijn geïmplementeerd.
Uitbesteding van gegevensverwerkingen aan derden vereist bijvoorbeeld zowel in het kader van de AVG als in het kader van het tactische beleid dat verwerkersovereenkomsten worden gesloten met verwerkers. Voor een leidinggevende is het vervelend als hij dezelfde maatregel tegenover twee verschillende functionarissen moet verantwoorden. 

5.5.3.3.4. Communicatie en –overleg

Communicatie over risico’s en het verloop van het proces dient gedurende het gehele proces plaats te vinden. Communicatie betrekt mensen bij risicobeheer en houdt het levend.

Zoals gesteld in dit document:

  • De verslagen van de individuele risicobeheeroefeningen, met daarin de geformuleerde acties, orden ter validatie voorgelegd aan de directie.

  • Jaarlijks wordt een overzicht van de activiteiten met betrekking tot risicobeheer voorgelegd aan de directie: een terugblik van gerealiseerde activiteiten m.b.t. risicobeheer in het voorgaande jaar en een vooruitblik op de plannen in het komende jaar.

  • Diverse kanalen worden ingezet voor communicatie en consultatie van risicobeheer, zoals overleggen, opmaken en beschikbaar stellen van verslagen en nota’s, toelichtingen geven, berichtgeving opnemen in communicatietools, …

5.5.3.3.5. Monitoring en beoordeling

Dit onderdeel van het proces bestaat uit een opvolging inzake de implementatie van de genomen controlemaatregelen, alsook een evaluatie inzake het effect van de genomen controlemaatregelen uit de risicostrategie. Jaarlijks moet verantwoording worden afgelegd over de waarmee informatiebeveiliging aandacht krijgt van de organisatie. De focus ligt op de horizontale verantwoording: binnen de organisatie, met een belangrijke rol voor het management. Met een interne audit sluit de verantwoording over informatieveiligheid aan op de planning en control-cyclus van de organisatie. Hierdoor heeft de organisatie meer overzicht over de informatieveiligheid van hun organisatie en kan het beter sturen en verantwoording afleggen aan o.a. externe audits of een toezichthoudende autoriteit. Uitgangspunt voor de verantwoording is het horizontale verantwoordingsproces aan het management.