Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
Nieuw toegevoegde tekst wordt overal in het rood weergegeven
5.5.3.3.1. Analyse van de zakelijke omgeving
Vaststellen context en scope
De eerste stap bij het uitvoeren van een risicoanalyse is het bepalen van de context. Hierbij kan men zich richten tot de aanleiding van de risicoanalyse. Met name bij ad hoc gevraagde analyses is het van cruciaal belang dat de aanleiding om juist nu een analyse uit te voeren goed bekend is. Met de informatie uit deze stap kan de doelstelling van de risicoanalyse worden vastgesteld en kunnen de juiste keuzes worden gemaakt met betrekking tot de inrichting van de risicoanalyse. Het resultaat van de context- en doelbepaling is om vast te stellen welke informatiesystemen en welke informatiebronnen aangesproken worden, dewelke meegenomen moeten worden in de risicoanalyse.
Het is belangrijk hierbij aan te duiden dat elke wijziging van de context en/of scope automatisch aanleiding geeft tot een herevaluatie die gedocumenteerd dient te worden. Hieronder zitten onder andere vervat:
Wijziging van de supply chain
Wijziging van processen of technische implementaties
Daarnaast dient deze analyse minstens jaarlijks te gebeuren, ook indien er geen grote wijzigingen in de context of scope hebben plaatsgevonden, om ervoor te zorgen dat het risicobeheersproces up-to-date blijft.
Bepaling risico-appetijt door topmanagement
Een essentieel onderdeel van risicobeheer is het bepalen van de risico-appetijt van de organisatie, oftewel het niveau van risico dat de organisatie bereid is te accepteren om haar doelstellingen te realiseren. Dit bepaalt de grenzen waarbinnen risico's als acceptabel aanvaard worden.
De risico-appetijt wordt gedefinieerd op basis van de strategische doelstellingen van de organisatie en moet duidelijk en expliciet vastgelegd worden. Hierbij houdt de organisatie rekening met factoren zoals:
De waarde en gevoeligheid van de informatie en systemen die worden beschermd.
De impact van mogelijke risico's op de vertrouwelijkheid, integriteit, en beschikbaarheid van gegevens.
De wettelijke en reglementaire vereisten waaraan de organisatie moet voldoen.
Zodra de risico-appetijt is vastgesteld, dient deze goedgekeurd te worden door het topmanagement. De goedkeuring door het topmanagement garandeert dat er voldoende middelen en aandacht beschikbaar zijn om de risico’s binnen de vastgestelde limieten te houden. Daarnaast is het van belang dat het topmanagement begrijpt wat risicobeheer inhoudt en wat het betekent om een bepaald niveau van risico-appetijt te aanvaarden. Dit stelt hen in staat om weloverwogen beslissingen te nemen over welke risico's als acceptabel worden beschouwd en wat de implicaties zijn van het aanvaarden van deze risico's.
Validatie minimale maatregelen Informatieclassificatie
Eens bepaald welke informatiesystemen en welke informatiebronnen aangesproken worden, kan er afgeleid worden welke informatie er verwerkt wordt, waarop dan een toetsing kan gebeuren naar de aanwezige maatregelen dewelke uitgewerkt zijn binnen het model van de Vo informatieclassificatie. De maturiteit van deze maatregelen kunnen vervolgens beoordeeld worden aan de hand van onderstaande tabel.
5.5.3.3.2. Risicobeoordeling
Op basis van het verkregen inzicht in het te analyseren object en de doelstelling van de risicoanalyse kunnen keuzes gemaakt worden ten aanzien van inrichting van de volgende stappen in het proces rond risicobeheer.
Risicobeoordeling is gebaseerd op de volgende stappen:
Risico-identificatie
Risicoanalyse
Risico-evaluatie
Bepalen risicostrategie
Risico-identificatie
In deze fase worden alle potentiële bedreigingen geïdentificeerd. Hierbij valt te denken aan een breed scala aan bedreigingen (kwalitatief of kwantitatief), meer bepaald bedreigingen verbonden aan informatiebeveiliging (waardoor verlies aan beschikbaarheid, integriteit of vertrouwelijkheid van de informatievoorziening kan ontstaan) en privacy.
Een bedreiging is elke omstandigheid die een kwetsbaarheid in de organisatie kan activeren (door misbruik of ongeluk) om zo een impact uit te lokken.
Naast het inventariseren van de bedreigingen moet dus ook nagekeken worden hoe kwetsbaar de omgeving is voor de bedreiging. Deze kwetsbaarheid heeft gevolgen voor de waarschijnlijkheidsberekening voor elke bedreiging: hoe hoger de kwetsbaarheid, hoe hoger de waarschijnlijkheid dat een bedreiging zich voordoet.
Een kwetsbaarheid moet ruim opgevat worden: het kan gaan om kwetsbaarheden in de infrastructuur, maar ook in de processen en er moet ook rekening worden gehouden met de menselijke factor. Voor kwetsbaarheden in de infrastructuur kan men vaak beroep doen op geautomatiseerde tools zoals ‘vulnerability scans’ en pentests. Maar ook leveranciers en andere instanties rapporteren regelmatig gevonden kwetsbaarheden in systemen (software en hardware) en de oplossing (patches of work-arounds) om deze kwetsbaarheden weg te werken. Daarnaast zijn ook gerapporteerde incidenten een bron van informatie over de kwetsbaarheden in een organisatie.
Het doel van risico-identificatie is om inzichtelijk te maken welke bedreigingen een organisatie loopt. Bij de risico-identificatie is het van belang om een brede en gestructureerde benadering te hanteren. Het is een utopie te veronderstellen dat 100% van de risico’s in beeld kunnen worden gebracht. Een goede identificatiestructuur kan helpen bij het verkrijgen van een zo volledig mogelijk risicoprofiel. Bij de risico-identificatie is het van belang om een eenduidige definitie van het begrip risico te hanteren.
Een risico wordt als volgt gedefinieerd:
“De waarschijnlijkheid op het optreden van een bedreiging met een gevolg op het behalen van de doelstellingen van een organisatie.”
Elk geïdentificeerde bedreiging wordt op eenzelfde wijze beschreven:
“Er bestaat een waarschijnlijkheid dat <beschrijft bedreiging> veroorzaakt door <beschrijf oorzaak> met als gevolg <beschrijft gevolg>”.
Sommige organisaties vinden het moeilijk om gebeurtenissen, oorzaken en gevolgen te splitsen. Zij hebben vaak baat bij het systematisch opstellen van de hierboven opgenomen schematische weergave, waardoor een heldere en duidelijke omschrijving van het risico ontstaat met aanknopingspunten voor beheersmaatregelen.
Binnen de organisatie wordt gekozen om voornamelijk via brainstormsessies bedreigingen te benoemen en deze te clusteren, o.a. op basis van typologie, zoals:
Mogelijke invalshoek: juridisch, technisch, organisatorisch, ruimtelijk, financieel, maatschappelijk, politiek (en technieken van projectmethodologie)
De verschillende types van dreigingen: lichamelijke schade, natuurramp, verlies van essentiële diensten, verstoring veroorzaakt door straling, gecompromitteerde informatie, technisch falen en ongeoorloofde acties. Deze dreigingen kunnen van natuurlijke of menselijke oorsprong zijn en deze kunnen een ongeluk of opzettelijk zijn. (MAPGOOD)
Bij het identificeren van deze dreigingen is het ook essentieel om soft- en hardware, data, de organisatie en omgevingsfactoren in acht te nemen. Deze aspecten vormen samen de basis waarop bedreigingen kunnen inspelen, en dienen daarom integraal onderdeel te zijn van de risicoanalyse.
Risicoanalyse
Het in kaart brengen van de bedreigingen maakt het mogelijk om deze te analyseren. De analyse bestaat meestal uit een inschatting van de waarschijnlijkheid dat een gebeurtenis optreedt, waarbij kan worden aangegeven wat de gevolgen daarvan zijn. In de vorige stap uit het proces risicobeheer zijn bedreigingen geïdentificeerd. Resultaat hiervan is een lijst met goed omschreven bedreigingen. Om meer inzicht in de risico’s te krijgen, moeten deze bedreigingen geanalyseerd worden. Gezien de toenemende criticiteit van risicoanalyses in de bedrijfsvoering, is het verplicht om alle risicoanalyses te documenteren en te verspreiden naar de relevantie stakeholders zodat achteraf een aantoonbaar spoor van deze analyse beschikbaar blijft.
De risicoscore van een bedreiging wordt bepaald door waarschijnlijkheid en gevolgen in schalen in te delen en deze met elkaar te vermenigvuldigen.
Risico = waarschijnlijkheid x impact van een bedreiging.
Waarschijnlijkheid
De analyse van de waarschijnlijkheid en de impact van elk geïdentificeerde bedreiging gebeurt aan de hand van de gedefinieerde schalen (1 – 5):
Een bedreiging die 1 keer per jaar voorkomt valt in schaal 3, daarvan is de kans dat deze bedreiging optreedt kleiner dan 60%. De referentiebeelden gelden als hulpmiddel en zullen niet in alle gevallen exact aansluiten bij de werkelijkheid.
Voor de beoordeling van de kans dat een bepaald risico optreedt, kan men kijken naar:
Het verleden: Heeft risico zal eerder voorgedaan?
De vertrouwdheid: Hebben we de activiteiten al eerder gedaan?
De omstandigheden: Onder welke condities treedt het op?
De frequentie: Hoe vaak kan het voorkomen?
De risicogevoeligheid in tijd: Is er sprake van een stijging of een daling?
Om de subjectiviteit van de inschatting van een bedreiging te beperken is afstemming binnen de organisatie en het onderbouwen van de inschattingen belangrijk. De praktijk leert dat door het plegen van overleg met experts, door een objectieve beoordeling van een buitenstaander en door afstemming binnen een afdelingsoverleg de subjectiviteit enigszins verminderd wordt. Ervaring leert tevens dat medewerkers met logisch redeneren een eind komen met het inschatten van de waarschijnlijkheid van een risico.
Gevolg (of impact)
Er kan een reeks mogelijke gevolgen verbonden zijn aan een bedreiging. De impact kan positief of negatief zijn in relatie tot de strategie of de bedrijfsdoelstellingen.
Voorbeelden van impact zijn:
Reputatieschade.
Financiële verliezen.
Burgerlijke aansprakelijkheid.
Schade aan de programmatorische doelstellingen van de instelling of aan het publieke belang.
Lekken van informatie.
Veiligheid en gezondheid van personen.
Schending van het burgerlijk-, bestuurs- of strafrecht.
Risicoscore
Al deze informatie leidt tot de waarschijnlijkheid dat een dreiging zich voordoet en de impact ervan. Waarschijnlijkheid en impact moeten worden geschat of uitgedrukt. Dit kan op verschillende manieren:
Kwalitatief: De waarschijnlijkheid van een mogelijk voorval of een omstandigheid en de bijbehorende impact (binnen de tijdshorizon die wordt overwogen door het bedrijfsdoel, bijvoorbeeld twaalf maanden) wordt uitgedrukt in een bepaalde relatieve schaal (bvb hoog, medium of laag).
Kwantitatief: De mogelijkheid van een voorval of een omstandigheid en de bijbehorende impact (binnen de tijdshorizon die wordt overwogen door het bedrijfsdoel, bijvoorbeeld twaalf maanden) wordt uitgedrukt in een bepaald percentage voor de mogelijkheid of een monetaire waarde (typisch Euro’s) voor de impact.
De risicoscore wordt bepaald door inschattingen voor waarschijnlijkheid en gevolg(en) van een bedreiging te vermenigvuldigen.
Met behulp van de risicoscore kunnen bedreigingen dan gerangschikt worden van groot naar klein.
Risicokaart
Bedreigingen waarvan de waarschijnlijkheid en gevolgen in schalen ingedeeld zijn kunnen geplaatst worden in een risicokaart. De risicokaart geeft inzicht in de spreiding van de risico’s naar waarschijnlijkheid en gevolg. De nummers in de risicokaart corresponderen met de aantallen risico’s die zich in het desbetreffende vak van de risicokaart bevinden.
Risico-evaluatie
Het doel van risicobeheer is om bedreigingen effectief onder controle te houden. Als organisatie moet je kunnen aantonen hoe je omgaat met die bedreigingen. Tijdens de risico-evaluatie bepaal je welke controlemaatregelen nodig zijn, welke het beste passen bij de situatie, en aan welke vereisten deze maatregelen moeten voldoen op basis van de risicoscore.
Soorten risico’s
Er zijn verschillende niveaus van risico's die je kunt tegenkomen tijdens een risico-evaluatie:
Inherente risico’s: dit is het "nul-punt" — de situatie waarin nog geen enkele maatregel is getroffen.
Huidig risiconiveau: het huidige niveau van risico, inclusief de maatregelen die al zijn genomen om het risico te beheersen.
Restrisico: het risico dat overblijft nadat alle mogelijke proportionele maatregelen zijn genomen. Dit is het risico dat expliciet door het management moet worden geaccepteerd, afhankelijk van de risico-appetijt en strategie van de organisatie.
Welke risico’s te beheersen?
Niet alle risico’s uit het risicoprofiel van een organisatie hoeven direct aangepakt te worden. Ook is het niet mogelijk om alle risico’s die wel beheerst dienen te worden tegelijkertijd aan te pakken. Om prioriteit te geven aan welke risico’s eerst moeten worden beheerst, kijken we naar twee factoren: de waarschijnlijkheid van het risico en de gevolgen als het risico zich voordoet.
Een risicokaart kan helpen om de risico’s te prioriteren:
Een risico dat in het groene gebied zit vormt geen direct gevaar voor de continuïteit van de instelling (prio 4). Een risico dat een score heeft die in het geel/oranje gebied zit, vraagt om aandacht (prio 3/ prio 2). Een risico dat een risicoscore heeft die in het rode gebied zit
Groen gebied: Risico's in dit gebied vormen geen directe dreiging voor de continuïteit van de organisatie (prioriteit 4).
Geel/Oranje gebied: Deze risico’s vereisen aandacht, omdat ze een matig tot aanzienlijk risico vormen (prioriteit 3 of 2).
Rood gebied: Risico’s in dit gebied hebben de hoogste prioriteit (prioriteit 1) en moeten onmiddellijk worden aangepakt om te voorkomen dat de organisatie ernstig wordt beïnvloed.
Hoe voer je een risico-evaluatie uit
Inherente risico’s bepalen: begin met het in kaart brengen van het inherente risico’s. Dit is de situatie waarin nog geen maatregelen zijn genomen. Je doet dit door de bedreiging te beoordelen op basis van twee factoren:
Waarschijnlijkheid: hoe groot is de kans dat het risico zich voordoet?
Impact: hoe ernstig zijn de gevolgen als het risico zich voordoet?
Dit helpt je te bepalen hoe sterk de beheersmaatregelen moeten zijn om de bedreiging effectief te beheersen.
Vergelijken van het restrisico: het restrisico (het risico dat overblijft na het toepassen van de maatregelen) moet worden vergeleken met de kracht en effectiviteit van de bestaande of geplande maatregelen om zo te kunnen bepalen of bijkomende maatregelen nuttig dan wel overbodig of zelfs contraproductief zijn.
Beoordelen van beheersmaatregelen: op basis van deze vergelijking wordt bepaald of de huidige maatregelen voldoende zijn om het risico te beheersen. Indien dit niet het geval is, moet beslist worden welke aanvullende acties nodig zijn.
Bepalen risicostrategie
Er zijn vier mogelijke manieren om met risico’s om te gaan. Deze worden beïnvloed door de kans dat het risico zich voordoet en de impact die het kan hebben. De vier strategieën zijn:
Mitigeren: Het risico verminderen door maatregelen te nemen.
Overdragen: Het risico aan een andere partij overdragen, bijvoorbeeld door verzekeringen of externe dienstverleners.
Accepteren: Het risico accepteren als het binnen de aanvaardbare grenzen valt.
Vermijden: Het risico volledig uit de weg gaan.
De keuze voor een strategie hangt af van de missie, visie en doelstellingen van de organisatie, net als bij de continuïteitsstrategie in het bedrijfscontinuïteitsplan (BCP). Meestal kiest de organisatie ervoor om risico’s te mitigeren, omdat dit de dienstverlening ondersteunt en in lijn is met de organisatiedoelen.
Voor sommige diensten kiest de organisatie echter voor overdragen van het risico, bijvoorbeeld door het inschakelen van een ICT-dienstverlener of het afsluiten van raamcontracten.
Sommige risico’s worden geaccepteerd als de inspanning en kosten van beheersmaatregelen groter zijn dan het effect dat het risico kan hebben. In deze gevallen weegt de organisatie af of het de moeite waard is om de maatregelen te nemen.
Risico’s die worden vermeden, hebben geen invloed meer op de missie, visie of doelstellingen van de organisatie. Dit gebeurt bv. door het proces dat het risico veroorzaakt te stoppen of niet meer uit te voeren.
Hoe kies je voor de juiste risicostrategie?
De keuze voor een risicostrategie hangt af van de specifieke activiteiten binnen de organisatie en de risico-appetijt – hoeveel risico de organisatie bereid is te accepteren. Een risico dat in de ene organisatie wordt gemitigeerd, kan in een andere organisatie worden geaccepteerd.
Daarnaast hangt de keuze ook af van factoren zoals de kosten van het implementeren van beheersmaatregelen binnen het informatie classificatieraamwerk. Het kan zijn dat een bepaalde maatregel te duur is in verhouding tot de waarde van het risico.
Elke gekozen risicostrategie moet goed worden onderbouwd. Indien het restrisico nog steeds boven de risico-appetijt uitstijgt, dient de aanpak ter goedkeuring te worden voorgelegd aan de directie.
5.5.3.3.3. Risicobehandeling
De gekozen risicostrategie uit de vorige stap moet nu daadwerkelijk worden uitgevoerd binnen de organisatie. Het is belangrijk dat er ook afspraken worden gemaakt over hoe de uitvoering van de risicostrategie wordt gecontroleerd. Voor risico’s die niet volledig beheerst kunnen worden, kan de organisatie een financiële buffer instellen om eventuele schade op te vangen.
Vastleggen acties
De risico-appetijt, zoals eerder beschreven bij de risicostrategie, helpt bij het bepalen of er verbeteringen nodig zijn voor bestaande maatregelen, of dat er nieuwe controlemaatregelen geïmplementeerd moeten worden.
Voor elke actie moet duidelijk worden vastgelegd:
Welke risicostrategie (mitigeren, overdragen, accepteren of verwijderen, zie hierboven) gebruikt wordt
Wat er moet gebeuren.
Tegen wanneer de actie uitgevoerd moet zijn.
Wie verantwoordelijk is voor de uitvoering.
Eventueel kan ook worden bepaald hoe de voortgang en het succes van de actie gemeten kunnen worden. De volgorde waarin de acties worden uitgevoerd, wordt bepaald door de prioriteit die uit de risicoanalyse naar voren is gekomen.
Opvolgen geformuleerde acties
Het doel van het aanpakken van een risico is om de mate van risicobeheersing te vergroten, zodat het risico voldoende wordt afgedekt. Hoe goed de organisatie haar risico’s beheerst, bepaalt de maturiteit (volwassenheid) van de organisatie of een bepaald proces binnen de organisatie. Bij elke uitgevoerde actie moet de vraag gesteld worden: Is het risico nu voldoende onder controle?
Zelfs als een risico is aangepakt, kan er nog steeds een kleine kans op het optreden van het risico of een mogelijke impact blijven bestaan. Niet alle maatregelen kunnen de kans op een risico tot nul herleiden of de impact volledig wegnemen, er blijft vaak een residueel risico (restrisico) over.
Monitoring en beoordeling
Nadat de maatregelen zijn geïmplementeerd, moet de organisatie ook regelmatig evalueren of deze maatregelen effectief zijn in het beheersen van de risico's.
Deze monitoring omvat het volgen van de uitvoering van de geformuleerde acties en het beoordelen van de impact van deze maatregelen op het risiconiveau. Het is belangrijk om de voortgang te meten en waar nodig bij te sturen. Voor elk risico wordt bekeken of de beheersmaatregelen het gewenste effect hebben gehad, of dat aanvullende maatregelen nodig zijn.
Daarnaast wordt jaarlijks een evaluatie uitgevoerd waarin de mate van risicobeheersing wordt beoordeeld. Hierbij legt de organisatie verantwoording af aan het management en eventueel aan externe auditors of toezichthouders.
5.5.3.3.4. Communicatie en –overleg
Communicatie over risico’s en het verloop van het proces dient gedurende het gehele proces plaats te vinden. Communicatie betrekt mensen bij risicobeheer en houdt het levend.
Zoals gesteld in dit document:
De verslagen van de individuele risicobeheeroefeningen, met daarin de geformuleerde acties, orden ter validatie voorgelegd aan de directie.
Jaarlijks wordt een overzicht van de activiteiten met betrekking tot risicobeheer voorgelegd aan de directie: een terugblik van gerealiseerde activiteiten m.b.t. risicobeheer in het voorgaande jaar en een vooruitblik op de plannen in het komende jaar.
Diverse kanalen worden ingezet voor communicatie en consultatie van risicobeheer, zoals overleggen, opmaken en beschikbaar stellen van verslagen en nota’s, toelichtingen geven, berichtgeving opnemen in communicatietools, …