5.5.1. Inleiding (Proces risicobeheer)
Het proces risicobeheer
Begrippenkader
Risicobeheer is echter pas effectief als het een integraal onderdeel is van de processen van de organisatie. Daarom moet een raamwerk gehanteerd worden dat bepaald welke de criteria rond risicoanalyses zijn, hoe het proces risicobeheer eruitziet, de methodiek en welk instrumentarium kan aangewend worden.
Het proces risicobeheerproces omvat de systematische aanpak om risico’s te identificeren, analyseren, evalueren, behandelen en monitoren, maar ook de consultatie en communicatie gedurende dat proces.
Scope, doelgroep en voordelen
Het proces risicobeheer is bedoeld voor alle typen organisaties binnen de Vlaamse overheid, ongeacht grootte en aard van de activiteiten, en is vooral gericht op organisatie-breed risicobeheer. De doelgroep van dit document is heel divers: verantwoordelijken voor risicobeheer binnen organisaties als geheel of voor specifieke onderdelen of activiteiten, maar ook personen/organisaties die erop toe moeten zien dat een organisatie haar risico’s goed beheert of de aanpak daarvan moet beoordelen.
De voordelen van toepassing van risicobeheer zijn velerlei, bijvoorbeeld het verbeteren van de corporate governance en daarmee van vertrouwen dat stakeholders in de organisatie hebben. De grotere weerstand tegen bedreigingen. Beter inzicht in de kansen voor ontwikkeling en groei. Maar ook goede besluitvorming, naleving van wet- en regelgeving, het voorkomen van calamiteiten en
business continuity.
Het proces
In het hart van het proces risicobeheer zitten de bekende stappen van het identificeren, analyseren en evalueren van risico’s verbonden aan proces, product, project of organisatie als geheel. Dit kan dus gebeuren nadat er een analyse is gebeurd op zakelijke omgeving, waarbij de scope en context zal bepaald worden, en waarbij een validatie is gebeurd naar de minimale maatregelen informatieclassificatie. Die stappen vormen tezamen de risicobeoordeling. Die beoordeling kan alleen goed worden uitgevoerd als de context en scope zijn bepaald. Die context wordt ten dele ontleend aan het hogervermelde raamwerk. Op basis van de beoordeling wordt besloten of en zo ja hoe het risico wordt ‘behandeld’. Dat kan variëren van het volledig vermijden van het risico door de activiteit waarmee het risico verbonden is
te beëindigen, via het beïnvloeden van waarschijnlijkheid op optreden of effect ervan tot en met het accepteren van het risico zonder verdere aanpassingen. Dit houdt in dat bepaalde controlemaatregelen zullen getroffen worden om het risico te behandelen. Vervolgens is monitoring en beoordeling van de ontstane situatie belangrijk om na te gaan of toegepaste beheersmaatregelen
effectief zijn of dat de context verandert waardoor de bepaalde risico’s anders moeten worden gewaardeerd en aangebrachte controlemaatregelen moeten worden aangepast. De activiteiten ‘communicatie en overleg’ zorgen ervoor dat de resultaten van specifieke risicobeheerprocessen worden gerapporteerd en geconsolideerd naar het gewenste niveau van de organisatie
Risicobeheer in het kader van informatieclassificatie
De definities van ‘beschikbaarheid, ‘vertrouwelijkheid’ en ‘integriteit’ zijn al gegeven binnen de pagina 1. Informatieclassificatieraamwerk (ICR) . Een programma voor informatiebeveiliging kan diverse grote en kleine doelen nastreven, maar de belangrijkste principes in een informatiebeveiligingsprogramma zijn te herleiden naar beschikbaarheid, integriteit en vertrouwelijkheid. De controlemaatregelen die op grond van deze basisprincipes gesteld worden, variëren per organisatie. Dit komt doordat elke organisatie haar eigen specifieke eisenpakket opstelt op basis van bedrijfs- en beveiligingsdoelen- en eisen.
Met behulp van het proces risicobeheer wordt binnen de Vlaamse overheid een kader gegeven om te
kunnen streven naar een uniformiteit tot het bepalen van maatregelen. Alle beveiligingsmaatregelen worden geïmplementeerd om een of meer van deze BIV-principes in te vullen. Alle dreigingen worden beoordeeld op hun potentie om één of meer van de principes rond
beschikbaarheid, integriteit en vertrouwelijkheid schade toe te brengen. Beschikbaarheid, integriteit en vertrouwelijkheid zijn dus essentiële principes voor informatiebeveiliging. Ze helpen om bedreigingen te identificeren en deze op een gepaste manier op te lossen.
Beveiligingsconcepten
Organisaties en hun informatiesystemen en netwerken worden blootgesteld aan beveiligingsdreigingen van zeer uiteenlopende aard. Voorbeelden zijn computer gerelateerde fraude, spionage, sabotage, vandalisme, brand en overstroming. Oorzaken van schade zoals kwaadaardige code, hacking en Denial-of-Service-aanvallen komen vaker voor, zijn ambitieuzer en worden steeds
geavanceerder. Voordat we starten met het vaststellen van een beveiligingsstrategie, moeten we weten wat we
beveiligen en tegen welke dreigingen we beveiligen. De methode die we gebruiken om dit inzicht te krijgen noemen we risicoanalyse.
Beveiligingsmaatregelen worden vastgesteld op basis van een methodisch onderzoek gebaseerd op de risico’s die een organisatie loopt. De genomen beveiligingsmaatregelen moeten in harmonie zijn met de risico’s die een organisatie loopt en de schade die een bedreiging aan de organisatie toe kan brengen. De resultaten van een risicoanalyse helpen het management bij het stellen van prioriteiten
en het nemen van de juiste acties en beslissingen voor het managen van de informatiebeveiligingsrisico’s. Het helpt hen bij de juiste keuzes bij het implementeren van beveiligingsmaatregelen om die risico’s te beheersen. Risicobeoordelingen moeten regelmatig worden herhaald om wijzigingen in werkwijze systemen en ook wijzigingen in interne en externe dreigingen te kunnen vaststellen, en daarop indien nodig de beveiligingsmaatregelen aan te passen.