Document toolboxDocument toolbox

1.4.1.2.4.1 Risico-identificatie

Het doel van risico-identificatie is om inzicht te krijgen in de bedreigingen. Bij de risico-identificatie is het van belang om een brede en gestructureerde benadering te hanteren.

De relevante bedreigingen worden in kaart gebracht. Dit is een taak voor de coördinator van de risicoanalyse in samenwerking met een aantal deskundigen, zoals de systeemeigenaar, CISO/ ISO, DPO/ PO. Het betreft bedreigingen waardoor verlies aan beschikbaarheid, integriteit of vertrouwelijkheid van de informatievoorziening kan ontstaan.

Middels onderstaand model kan een bedreiging gekoppeld worden aan een oorzaak en gevolg, dit op basis van de eerder vermelde componenten, welke een gevolg kunnen hebben op het functioneren van het informatiesysteem, menselijke aspecten, technische incidenten en organisatorische fouten.

 

Er bestaan immers allerhande bedreigingen op vlak van gegevens, betrokken systemen en processen, die de doelstellingen van een instantie kunnen bedreigen.

Op basis van bovenvermeld model kunnen we bedreigingen vaststellen. Dit doen we door de verschillende elementen met elkaar te combineren. Zo komen we tot een uitgebreide lijst van relevante bedreigingen.

Bv. “Er bestaat een kans op een bedreiging dat subsidies niet op tijd uitbetaald kunnen worden dat veroorzaakt wordt door een technisch incident, namelijk gebruik van verouderde databaseservers, met als gevolg dat er een financieel verlies is tengevolge van opgelegde boete’s

Via dit model is het zo mogelijk om tot een Vo-breed gehanteerde risicoanalyse te komen, opdat de bedreigingen op een uniforme manier vastgesteld kunnen worden. Het resultaat zal zo leiden tot een vergelijkbare risicoanalyse binnen de Vo.

Het model biedt in eerste instantie een handvat om bedreigingen te analyseren waarbij de mogelijkheid bestaat deze risico-identificatie verder uit te breiden. Dit geeft iedere instantie meer vrijheid bij het oplijsten van bedreigingen en is zo meer afgestemd op de maturiteit van de instantie.

Het resultaat is een lijst van bedreigingen, dus een overzicht van omstandigheden die een kwetsbaarheid binnen de organisatie kunnen activeren (door misbruik of ongeluk) om zo een gevolg uit te lokken.

  • identificatie van alle potentiële bedreigingen:

    • oplijsten van de bedreigingen middels hoger model en gehanteerde definitie, waarbij de bedreiging wordt gedocumenteerd

    • aan elke bedreiging wordt een ID-nummer toegekend

Rollen

Werkwijze

Middelen

Rollen

Werkwijze

Middelen

  • coördinator

  • proces-eigenaar

  • systeem-eigenaar

  • CISO/ ISO

  • DPO/ PO

  • per betrokken zakelijk proces en zijn aanverwante informatie verwerkende systemen, oplijsten van de mogelijke bedreigingen

  • per bedreiging een korte beschrijving geven van de bedreiging

  • geef iedere bedreiging een ID-nr.

  • workshop

  • sjabloon rapport risicoanalyse

Resultaat

Resultaat

  • een oplijsting van mogelijke relevante bedreigingen, met een beschrijving van de bedreiging en zijn impact

  • dit wordt binnen het rapport van de risicoanalyse genoteerd

 

Related pages