1.4.1.2.4.4 Risico-evaluatie
In deze stap worden de bijkomende controlemaatregelen bepaald voor de strategie “mitigeren”. Hierbij worden de bedreigingen geviseerd met een prio 1 of prio 2. Hierbij zal gekeken worden naar het gewenste risiconiveau, namelijk het risiconiveau na toepassing van alle maatregelen vernoemd binnen het raamwerk informatieclassificatie. Het gewenste risiconiveau vormt als het ware de baseline waarbij een organisatie zich boven deze baseline bevindt, of juist eronder. Indien een organisatie zich onder deze baseline bevindt, zullen bijkomende controlemaatregelen moeten worden getroffen. Het restrisico, na het treffen van deze bijkomende controlemaatregelen, dient al dan niet aanvaard te worden door het topmanagement. Zowel de coördinator van de risicoanalyse, de deskundigen, waaronder ook CISO en DPO dienen hiervoor aanwezig te zijn. De maatregelen worden daarbij geformuleerd op het niveau van controlemaatregelen om ervoor te zorgen dat bij de invulling over de tijd heen rekening kan worden gehouden met de stand van zaken op dat moment.
Hierbij kunnen de bijkomende controlemaatregelen bestaan uit:
de maturiteit van een bestaande controlemaatregel die bepaald werd tijdens de activiteit ‘het vastleggen van context en scope’ verhogen, ofwel
kiezen voor een andere controlemaatregel.
Concreet:
risico-evaluatie:
bepalen van de positie van de organisatie ten aanzien van het gewenste risiconiveau. Dit voor bedreigingen die gemitigeerd dienen te worden, dit met name voor de bedreigingen die ingeschaald zijn met een prio 1 of een prio 2.
Het gewenste risiconiveau vormt de baseline, waarbij alle controlemaatregelen zijn getroffen zoals bepaald binnen het raamwerk informatieclassificatie
bepalen of de bestaande controlemaatregelen in maturiteit kunnen verhoogd worden, of er gekozen dient te worden voor andere controlemaatregelen
bepaal opnieuw de waarschijnlijkheid en de impact na het nemen van deze bijkomende controlemaatregelen, en bereken de risicoscore(=restrisico)
topmanagement beslist of het restrisico, en zijn bijhorende controlemaatregelen, al dan niet aanvaard worden
Rollen | Werkwijze | Middelen |
|
|
|
Resultaat |
|
Welke risico’s te beheersen?
Welke bedreigingen aanvaardbaar zijn, en wat er dient te gebeuren, verschilt voor iedere organisatie. Onderstaande tabel geeft een indicatie van de risico-appetijt.
Risico-appetijt | |
Kleurencode | Omschrijving |
Kritiek risico | Risico is niet aanvaardbaar, controlemaatregelen zijn nodig verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen |
Hoog risico | Risico is niet aanvaardbaar, controlemaatregelen zijn nodig verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen |
Gemiddeld risico | Risico verdient extra aandacht tot verdere beheersing verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen |
Laag risico | Aanvaardbaar risico, extra controlemaatregelen nemen is mogelijk verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen |
Risico-evaluatie
Er zijn twee manieren om bedreigingen die niet aanvaardbaar zijn, te beheersen: ofwel verhoogt men de maturiteit van de bestaande maatregelen, ofwel identificeert men bijkomende controlemaatregelen.
Het restrisico wordt bepaald door het ingeschatte niveau van waarschijnlijkheid en impact te herbekijken. Dit doet men op basis van de opnieuw ingeschatte maturiteit van bestaande controlemaatregelen of de nieuwe controlemaatregel.
Het restrisico wordt gevormd door opnieuw de waarschijnlijkheid te vermenigvuldigen met de impact. De beoordeling van het restrisico, in aanvaarding, ligt hierbij in de handen van het topmanagement.