Document toolboxDocument toolbox

1.4.2.3.8. Risicoanalyse als maatregel

Elementen van de risicoanalyse 

Analyse van de zakelijke omgeving

Een eerste analyse betreft het gebruik van informatie in de zakelijke omgeving. Deze analyse moet een antwoord bieden op volgende vragen:

  • Welke informatie wordt verwerkt?

  • Met welke doeleinden wordt deze informatie verwerkt?

  • Wanneer er sprake is van verwerking van persoonsgegevens moet tevens nagegaan worden welke de rechtsgrond van de verwerking is.

Validatie van reeds genomen maatregelen

Vervolgens moet bekeken worden of de risico’s voldoende zijn afgedekt aan de hand van de minimale maatregelen zoals gedefinieerd in het ICR:

  • Zijn alle minimale maatregelen van het model voorzien?

  • Volstaan deze maatregelen om de risico’s af te dekken?

De risicoanalyse uitvoeren

Zijn voorgaande elementen eenmaal uitgewerkt, dan is het tijd voor de risicoanalyse zelf: het in kaart brengen van de bedreigingen en kwetsbaarheden, bepaling van de waarschijnlijkheid en impact indien een bedreiging zich zou manifesteren. Belangrijk is dat hiervoor een risicoanalyse methodiek wordt gebruikt die voldoet aan een aantal criteria om aanvaardbare resultaten te kunnen  leveren die betrouwbaar en objectief zijn:

  • Methodisch onderbouwd: er dient een methode voor risicoanalyses gekozen te worden. Eens deze methode gekozen, moet deze consistent toegepast worden om herhaalbaarheid en vergelijking van resultaten te kunnen garanderen.

  • Gestructureerd: een goede risicoanalyse verloopt op een gestructureerde wijze waarbij steeds dezelfde stappen worden ondernomen.

  • Maatwerk: elke risicoanalyse vraagt een inschatting op basis van de specifieke context, tijd, scope en middelen. Zomaar kopiëren van eerder uitgevoerde risicoanalyses is uit den boze. 

  • Begrijpelijk en genuanceerd: de resultaten van de risicoanalyse moeten begrijpelijk geformuleerd worden voor het doelpubliek. Het management moet in staat zijn beslissingen te nemen op basis van de bevindingen en aanbevelingen. De risicoanalyse methodiek dient dan ook de nodige schalen te bevatten om tot een correcte en voldoende genuanceerde inschatting te komen. Hierbij dient rekening te worden gehouden met de impactschalen in het ICR.

  • Communicatie,  consultatie en formele aanvaarding door het management: de nodige medewerkers dienen betrokken te zijn bij de verschillende stappen van de risicoanalyse. Enkel de DPO of CISO betrekken bij de risicoanalyse is niet voldoende.

  • Objectiviteit: de methodiek moet een objectieve uitwerking van de risicoanalyse ondersteunen.

  • Uniformiteit en vergelijkbaarheid binnen de Vo: de methodiek moet toelaten om risicoanalyses tussen Vo entiteiten uit te wisselen en/of te vergelijken. Sommige bedreigingen zijn immers Vo-breed en dan kan het interessant zijn om risicoanalyses uit te wisselen.

Keuze van de risicoanalysemethode

Bij de keuze van de gepaste risicoanalysemethode, wordt rekening gehouden met volgende kenmerken:

  • De methode moet geschikt zijn voor de organisatie en het doel van de risicoanalyse. In geval van het ICR gaat het over het uitvoeren van risicoanalyses in het kader van informatiebeveiliging. De gekozen methode sluit hier op aan.

  • De methode moet resulteren in een rapport dat de risico’s beschrijft in een door de organisatie begrijpbare taal zodat de aard van de risico’s en hoe ze kunnen worden behandeld, wordt gedocumenteerd.

  • De methode moet granulair inzetbaar zijn: high-level zowel als detail analyse moet mogelijk zijn.

  • De methode moet flexibel inzetbaar zijn en onafhankelijk van de infrastructuur.

  • De methode moet accurate en betrouwbare resultaten produceren. De resultaten moeten vergelijkbaar zijn en steeds dezelfde output genereren bij eenzelfde input.

  • De methode moet eenvoudig en intuïtief toepasbaar zijn. Het moet mogelijk zijn de methode toe te passen zonder expert kennis.

  • De methode moet relatief snel werken. De doorlooptijd en de in te zetten medewerkers en hun tijd moeten beperkt blijven.

  • De methode moet de analyse van verschillende maatregelen mogelijk maken.

  • De methode moet heldere, goed geformuleerde en onderbouwde aanbevelingen voor het management aanleveren. 

De details van de risico methodiek worden uitgewerkt in op de pagina 1.4.1. Risicomethodiek

 

Om risicoanalyses uit te voeren wordt veelal gebruik gemaakt van risicoanalyse instrumenten. Rekening houdend met risicoanalysemethode zal de keuze voor de risicoanalyse instrumenten beïnvloed worden door volgende factoren:

  • Kost: zowel de aankoop als het gebruik, de in te zetten medewerkers en de tijd nodig om een risicoanalyse te maken,

  • Externe factoren: indien de goedkeuring van externe partijen nodig is, bvb andere overheidsdiensten of autoriteiten,

  • Goedkeuring door management: het management moet de gekozen instrumenten formeel goedkeuren en ondersteunen,

  • Structuur van de organisatie: de instrumenten moeten passen in de structuur en grootte van de organisatie,

  • Aanpasbaarheid: het moet mogelijk zijn de instrumenten aan te passen aan de noden van de organisatie,

  • Complexiteit: de instrumenten mogen niet te complex zijn zodat het gebruik ervan niet te beperkt of niet te moeilijk is binnen de organisatie,

  • Volledigheid: alle aspecten van informatie en informatiebeveiliging moeten aan bod komen,

  • Risiconiveau van de organisatie: een hoog-risico organisatie zal meer rigoureuze instrumenten vragen dan een laag-risico organisatie,

  • Grootte van de organisatie: deze bepaalt mee de keuze van de risicoanalyse instrumenten,

  • Consistentie: moet de betrouwbaarheid van de resultaten mee garanderen,

  • Gebruiksgemak: bepaalt hoe eenvoudig in gebruik, begrijpelijk en in staat om fouten te behandelen,

  • Valideerbaarheid: het moet mogelijk zijn de resultaten en de aanbevelingen te valideren,

  • Automatisatie: waar mogelijk moet er in zekere mate geautomatiseerd kunnen worden, bvb door te werken met ‘drop-down’ lijsten en invulvelden. 

Het aanreiken van de instrumenten voor het uitvoeren van risicoanalyses behoort niet tot de scope van het ICR.