5.5.1. Inleiding (Proces risicobeheer) 3.0
- Kenzo Vertenten (VO)
- Tom De Cubber
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
Nieuw toegevoegde tekst wordt overal in het rood weergegeven
Het proces risicobeheer
Begrippenkader
Risicobeheer is pas effectief als het een integraal onderdeel is van de processen van de organisatie. Daarom moet een raamwerk gehanteerd worden dat bepaald welke de criteria rond risicoanalyses zijn, hoe het proces risicobeheer eruitziet, de methodiek en welk instrumentarium kan aangewend worden.
Het proces risicobeheerproces omvat de systematische aanpak om risico’s te identificeren, analyseren, evalueren, behandelen en monitoren, maar ook de consultatie en communicatie gedurende dat proces.
Scope, doelgroep en voordelen
Het proces risicobeheer is bedoeld voor alle typen organisaties binnen de Vlaamse overheid, ongeacht grootte en aard van de activiteiten, en is vooral gericht op organisatie-breed risicobeheer. De doelgroep van dit document is heel divers: verantwoordelijken voor risicobeheer binnen organisaties als geheel of voor specifieke onderdelen of activiteiten, maar ook personen/organisaties die erop toe moeten zien dat een organisatie haar risico’s goed beheert of de aanpak daarvan moet beoordelen.
De voordelen van toepassing van risicobeheer zijn velerlei, bijvoorbeeld het verbeteren van de corporate governance en daarmee van vertrouwen dat stakeholders in de organisatie hebben. De grotere weerstand tegen bedreigingen. Beter inzicht in de kansen voor ontwikkeling en groei. Maar ook goede besluitvorming, naleving van wet- en regelgeving, het voorkomen van calamiteiten en business continuity.
Het proces
In het hart van het proces risicobeheer zitten de bekende stappen van het identificeren, analyseren en evalueren van risico’s verbonden aan proces, product, project of organisatie als geheel. Deze stappen vormen tezamen de risicobeoordeling. Die beoordeling kan alleen goed worden uitgevoerd nadat er een analyse is gebeurd op zakelijke omgeving, waarbij de scope en context zal bepaald worden, en waarbij een validatie is gebeurd naar de minimale maatregelen informatieclassificatie. Op basis van de beoordeling wordt besloten of en zo ja hoe het risico verder wordt ‘behandeld’. Dat kan variëren van het volledig vermijden van het risico door de activiteit waarmee het risico verbonden is te beëindigen, via het beïnvloeden van waarschijnlijkheid op optreden of effect ervan tot en met het accepteren van het risico zonder verdere aanpassingen.
Dit houdt in dat bepaalde controlemaatregelen zullen getroffen worden om het risico te behandelen. Vervolgens is monitoring en beoordeling van de ontstane situatie belangrijk om na te gaan of toegepaste beheersmaatregelen effectief zijn of dat de context verandert waardoor de bepaalde risico’s anders moeten worden gewaardeerd en/of aangebrachte controlemaatregelen moeten worden aangepast. De activiteiten ‘communicatie en overleg’ zorgen ervoor dat de resultaten van specifieke risicobeheerprocessen worden gerapporteerd en geconsolideerd naar het gewenste niveau van de organisatie.
Risicobeheer in het kader van informatieclassificatie
De definities van ‘beschikbaarheid, ‘vertrouwelijkheid’ en ‘integriteit’ zijn al gegeven binnen de pagina 1. Informatieclassificatieraamwerk (ICR 3.0). Een programma voor informatiebeveiliging richt zich in eerste instantie op deze principes (BIV). De controlemaatregelen die op grond van deze basisprincipes gesteld worden, variëren per organisatie, afhankelijke van de bedrijfs- en beveiligingsdoelen- en eisen.
Binnen de Vlaamse overheid biedt het risicobeheersproces een kader voor uniformiteit in het bepalen van deze maatregelen.
Alle beveiligingsmaatregelen worden geïmplementeerd om een of meer van deze BIV-principes in te vullen. Alle dreigingen worden beoordeeld op hun potentie om één of meer van de principes rond beschikbaarheid, integriteit en vertrouwelijkheid schade toe te brengen.
Beschikbaarheid, integriteit en vertrouwelijkheid zijn dus essentieel om bedreigingen te identificeren en passend aan te pakken.
Beveiligingsconcepten
Organisaties en hun informatiesystemen en netwerken worden blootgesteld aan een breed scala aan beveiligingsdreigingen zoals computer gerelateerde fraude, spionage, sabotage, vandalisme, brand en overstroming. Kwaadaardige code, hacking en Denial-of-Service-aanvallen komen vaker voor, zijn ambitieuzer en worden steeds geavanceerder.
Voordat we een beveiligingsstrategie vaststellen, moeten we eerst bepalen wat we willen beveiligen en tegen welke dreigingen. Dit inzicht verkrijgen we door middel van een risicoanalyse.
Beveiligingsmaatregelen worden gekozen op basis van een systematisch onderzoek naar de risico’s die een organisatie loopt. Deze maatregelen moeten in balans zijn met de risico’s en de mogelijke schade die een bedreiging kan veroorzaken. De resultaten van een risicoanalyse helpen het management prioriteiten te stellen en de juiste beslissingen te nemen om informatiebeveiligingsrisico’s te beheren. Het biedt hun de informatie die nodig is om passende beveiligingsmaatregelen te implementeren.
Risicobeoordelingen moeten regelmatig worden herhaald om veranderingen in systemen, werkwijzen en interne of externe dreigingen te detecteren en, indien nodig, de beveiligingsmaatregelen aan te passen.