Document toolboxDocument toolbox

1.4.2.3.3. Vormen van risicoanalyse

Over het algemeen wordt er onderscheid gemaakt tussen twee soorten risicoanalyse: 
In een kwantitatieve risicoanalyse worden de rekenkundige risico’s van een bedreiging berekend, gebaseerd op theoretische modellen. De risico’s worden in een kwantitatieve risicoanalyse altijd uitgedrukt in meetbare criteria. Vaak gaat het om financiële gevolgen die berekend worden. 

In kwalitatieve risicoanalyses worden relatieve schattingen gemaakt van de gelopen risico’s. Kwalitatieve risicoanalyses gaan vaak uit van mogelijke scenario’s, waarna vaak een ‘worst case’ en ‘best case’ scenario ontstaat. Het geeft onder meer een beter inzicht over het gedrag en cultuur van de mensen in een organisatie. 

Het is van belang dat er een goede balans is tussen kwantitatief en kwalitatief risicomanagement. Statistische gegevens helpen bij het inschatten van de risico’s, maar ook de menselijke kant is zeer belangrijk. Het kan inzicht geven in waarom mensen bepaalde acties wel of niet uitvoerden in het verleden, hoe ze de risico’s aanpakten of hoe de bedrijfscultuur veranderd werd.

Soorten risico

Elke organisatie heeft in de loop der tijd controlemaatregelen getroffen voor de beveiliging van informatie, bv. Firewalls, antivirus programma’s, fysieke toegangsbeperking enz. 

In het kader van risicoanalyse kunnen verschillende soorten risico’s benoemd worden, waarbij al dan niet rekening wordt gehouden met reeds genomen of nog te nemen maatregelen:

  • Inherente risico’s: het 0-punt ofwel de situatie waarin geen enkele controlemaatregel is getroffen.

  • Huidige risiconiveau: het risiconiveau van nu, inclusief de reeds genomen controlemaatregelen.

  • Minimaal risiconiveau: het risiconiveau rekening houdend met alle relevante minimale maatregelen van het ICR.

  • Gewenst risiconiveau voor de korte termijn: Waar wil de organisatie naartoe op korte termijn?

  • Gewenst risiconiveau voor de lange(re) termijn: Welke doelstellingen wil de organisatie nastreven op langere termijn?

  • Restrisico: het risico dat overblijft nadat controlemaatregelen genomen zijn of zullen zijn. Dit is het risico dat door het management moet worden aanvaard. De grootte van dit risico hangt af van de organisatie en van de risico ‘appetijt’ van het management.

Het verschil tussen de gewenste situatie en de inherente risico’s geeft een totaalbeeld van de risico’s waar de organisatie mogelijk mee geconfronteerd wordt. Het verschil tussen de huidige situatie en de gewenste situatie en geeft een beeld van de gebieden waar bijkomende controlemaatregelen nodig zijn.

Het gewenste risiconiveau op korte en lange termijn kan hoger of lager zijn dan het risico na implementatie van het ICR; dit hangt af van de risicoappetijt van het management.

Volgende schema geeft een overzicht van de verschillende risiconiveaus (IC staat voor informatieclassificatie):

Het lijkt voor de hand te liggen om rekening te houden met reeds genomen controlemaatregelen en te focussen op de risico’s waar nog actie op moet worden ondernomen. Toch is het belangrijk om ook stil te staan bij het totaalbeeld. Dat geeft namelijk een indicatie van wat ooit de grootste risico’s waren en welke controlemaatregelen daarvoor genomen zijn. Deze informatie kan van pas komen om een management buy-in te bekomen.

Nieuwe controlemaatregelen kunnen zelf weer nieuwe risico’s met zich meebrengen. Een (hypothetisch) voorbeeld: Om de informatie uit personeelsdossiers te beschermen heeft een bedrijf een kluis aangeschaft waar deze dossiers in worden bewaard. De sleutel van de kluis hangt in een sleutelkastje met een cijferslot. De verantwoordelijke medewerker haalt ’s ochtends bij binnenkomst de sleutel uit het kastje en draagt die de hele dag op haar lichaam. Maar als het sleutelkastje de hele dag van het slot af is (zonder de zichtbaarheid van de code actief te veranderen), kan iedereen de code aflezen en zich dus zo toegang tot de kluis verschaffen. Bij het bepalen van het risico speelt ook mee voor wie informatie afgeschermd moet worden. Zijn dat in bovenstaand voorbeeld externen, dan werkt de genomen beheersmaatregel waarschijnlijk prima. Maar is het ook noodzakelijk om de informatie voor interne medewerkers af te schermen? Dan is deze maatregel een stuk minder effectief. Genomen controlemaatregelen kunnen een voedingsbodem zijn voor nieuwe risico’s.