Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 6 Next »

Op basis van het verkregen inzicht in de te beoordelen informatie en de systemen, kunnen keuzes gemaakt worden voor de volgende stappen .

Risicobeoordeling is gebaseerd op de volgende stappen:

  • risico-identificatie

  • risicoanalyse

  • bepalen risicostrategie

  • risico-evaluatie

Zie ook 1.3.1.3. Overzicht methodiekstappen (bijlage)

1.3.1.2.4.1 Risico-identificatie

Het doel van risico-identificatie is om inzicht te krijgen in de bedreigingen. Bij de risico-identificatie is het van belang om een brede en gestructureerde benadering te hanteren.

De relevante bedreigingen worden in kaart gebracht. Dit is een taak voor de coördinator van de risicoanalyse in samenwerking met een aantal deskundigen, zoals de systeemeigenaar, CISO/ ISO, DPO/ PO. Het betreft bedreigingen waardoor verlies aan beschikbaarheid, integriteit of vertrouwelijkheid van de informatievoorziening kan ontstaan.

Middels onderstaand model kan een bedreiging gekoppeld worden aan een oorzaak en gevolg, dit op basis van de eerder vermelde componenten, welke een gevolg kunnen hebben op het functioneren van het informatiesysteem, menselijke aspecten, technische incidenten en organisatorische fouten.

Er bestaan immers allerhande bedreigingen op vlak van gegevens, betrokken systemen en processen, die de doelstellingen van een instantie kunnen bedreigen.

Op basis van bovenvermeld model kunnen we bedreigingen vaststellen. Dit doen we door de verschillende elementen met elkaar te combineren. Zo komen we tot een uitgebreide lijst van relevante bedreigingen.

Bv. “Er bestaat een kans op een bedreiging dat subsidies niet op tijd uitbetaald kunnen worden dat veroorzaakt wordt door een technisch incident, namelijk gebruik van verouderde databaseservers, met als gevolg dat er een financieel verlies is tengevolge van opgelegde boete’s

Via dit model is het zo mogelijk om tot een Vo-breed gehanteerde risicoanalyse te komen, opdat de bedreigingen op een uniforme manier vastgesteld kunnen worden. Het resultaat zal zo leiden tot een vergelijkbare risicoanalyse binnen de Vo.

Het model biedt in eerste instantie een handvat om bedreigingen te analyseren waarbij de mogelijkheid bestaat deze risico-identificatie verder uit te breiden. Dit geeft iedere instantie meer vrijheid bij het oplijsten van bedreigingen en is zo meer afgestemd op de maturiteit van de instantie.

Het resultaat is een lijst van bedreigingen, dus een overzicht van omstandigheden die een kwetsbaarheid binnen de organisatie kunnen activeren (door misbruik of ongeluk) om zo een gevolg uit te lokken.

  • identificatie van alle potentiële bedreigingen:

    • oplijsten van de bedreigingen middels hoger model en gehanteerde definitie, waarbij de bedreiging wordt gedocumenteerd

    • aan elke bedreiging wordt een ID-nummer toegekend

Rollen

Werkwijze

Middelen

  • coördinator

  • proces-eigenaar

  • systeem-eigenaar

  • CISO/ ISO

  • DPO/ PO

  • per betrokken zakelijk proces en zijn aanverwante informatie verwerkende systemen, oplijsten van de mogelijke bedreigingen

  • per bedreiging een korte beschrijving geven van de bedreiging

  • geef iedere bedreiging een ID-nr.

  • workshop

  • sjabloon rapport risicoanalyse

Resultaat

  • een oplijsting van mogelijke relevante bedreigingen, met een beschrijving van de bedreiging en zijn impact

  • dit wordt binnen het rapport van de risicoanalyse genoteerd

1.3.1.2.4.2 Risico-analyse

Per bedreiging wordt op een 5-puntenschaal aangegeven hoe groot de invloed ervan is op de werking van het informatiesysteem (het gevolg), en wat de waarschijnlijkheid is op het optreden van de betreffende bedreiging. Op basis van een standaard tabel wordt bepaald wat het totale effect is van de bedreiging, namelijk de wiskundige formule waarschijnlijkheid vermenigvuldigd met gevolg.

  • risico-analyse

    • per geïdentificeerde bedreiging, inschatten van de waarschijnlijkheid (1-5) dat deze zich zal kunnen voordoen, alsook verder het inschatten van het gevolg (1-5) van de bedreiging

    • bepalen van de maturiteit van de reeds genomen controlemaatregelen

    • bepalen van de risicoscore (1-25) = waarschijnlijkheid x gevolg per bedreiging

    • overbrengen van de risicoscore van elke bedreiging in een risicokaart (gebruik het ID nummer)

    • bepalen van de risico-prioriteit van elke bedreiging

Rollen

Werkwijze

Middelen

  • coördinator

  • proces-eigenaar

  • systeem-eigenaar

  • CISO/ ISO

  • DPO/ PO

  • bepaal per geïdentificeerde bedreiging zijn waarschijnlijkheid dat deze inherente bedreiging zich zal kunnen manifesteren, middels de tabel "waarschijnlijkheid"

  • bepaal per geïdentificeerde bedreiging de impact die deze inherente bedreiging zal hebben op de organisatie, middels de tabel "impact"

  • bepaal de maturiteit van de reeds genomen controlemaatregelen, en som ze op

  • bereken de score van het huidige risiconiveau

  • rangschik de bedreigingen volgens prioriteit (hoog naar laag)

  • breng de bedreigingen over op een risicokaart (facultatief)

  • workshop

  • sjabloon rapport risicoanalyse

Resultaat

  • een gerangschikte lijst van bedreigingen, met een inschatting van hun waarschijnlijkheid van optreden en hun impact op de organisatie. De lijst is gerangschikt naar de ernst van het berekende risico, en houdt rekening met genomen controlemaatregelen

  • dit wordt binnen het rapport van de risicoanalyse genoteerd

Waarschijnlijkheid

De analyse van de waarschijnlijkheid van elke geïdentificeerde bedreiging gebeurt aan de hand van de volgende schalen (1 – 5) zoals gedefinieerd in het document ‘Vo informatieclassificatie – Minimale maatregelen – Risicoanalyse’.

waarschijnlijkheid

Score 

Rating 

Kans 

Horizon 

5 

Voorzienbaar

> 90%

1x/maand of >

4 

Hoog

< 90%

1x/kwartaal

3 

Gemiddeld

< 60%

1x/jaar

2 

Laag

< 30%

1 - 5 jaar

1 

Zeer laag

< 10%

> 5 jaar

Voor de beoordeling van de waarschijnlijkheid dat een bepaald risico optreedt, kan men kijken naar:

  • Het verleden: Heeft de bedreiging zich al voorgedaan?

  • De vertrouwdheid: Hebben we de activiteiten al eerder gedaan?

  • De omstandigheden: Onder welke condities treedt het op?

  • De frequentie: Hoe vaak kan het voorkomen?

  • De risicogevoeligheid in tijd: Is er sprake van een stijging of een daling?

Elke bedreiging is een omstandigheid die een kwetsbaarheid binnen de organisatie kan activeren om zo een gevolg uit te lokken. Deze kwetsbaarheid heeft een gevolg op de kansberekening van elke bedreiging, immers, hoe hoger de kwetsbaarheid, hoe hoger de kans dat een dreiging zich voordoet. Zoals hoger gesteld heeft de maturiteit van de genomen controlemaatregelen invloed op de kwetsbaarheid: hoe lager de maturiteit, hoe hoger de kwetsbaarheid.

Hierbij moet men dus rekening houden met reeds bestaande maatregelen die de waarschijnlijkheid van de bedreigingen verminderen. (zie definitie “huidig risico niveau”). Zoals hoger bepaald onder hoofdstuk “Risicoanalyse”, hebben we zicht op de maturiteit van een maatregel. Door de kwetsbaarheid af te wegen tegenover de maturiteit van de bestaande maatregel kan men tot een juiste inschatting van de waarschijnlijkheid komen.

Impact

Er zijn verschillende impactcategorieën te onderscheiden (1 – 5) zoals gedefinieerd in het document ‘Vo informatieclassificatie – Minimale maatregelen – Risicoanalyse’. Per risicoanalyse moet worden bepaald welke van deze categorieën van toepassing zijn. Hierbij houden we rekening met impact op verschillende vlakken: financieel, juridisch, naar dienstverlening belanghebbenden en naar imago.

Score 

Rating 

Financiële impact 

dienstverlening 

Imago 

belanghebbenden 

rechtelijk 

 5

Kritiek

Impact op budget > 20%

Bijsturing van de criteria en/of maatregelen zijn dwingend en noodzakelijk om het voortbestaan van de dienstverlening te garanderen. 
Reservering van financiële middelen is noodzakelijk en overstijgen lopende en toekomstige budgetten. 
Bedreigend voor het voortbestaan van de organisatie. 
Onderbreking met een onbepaalde duur, of permanente onbeschikbaarheid van de dienstverlening is mogelijk

continue berichtgeving op radio, TV & kranten, sociale media (creatie van een "schandaalsfeer")

Beëindigen financiële autonomie 
Compensatie onmogelijk 
Fysieke integriteit 
Marteling en mishandeling met, al dan niet, blijvende fysieke of psychologisch trauma 
Levensbeëindiging

rechtelijke vervolging

 4

significant

Impact op budget 15% - 20%

Bijsturing van de criteria en/of maatregelen zijn noodzakelijk op korte termijn, om de dienstverlening te ondersteunen. 
Reservering van financiële middelen is noodzakelijk en hebben invloed op het lopende en toekomstige werkingsbudgetten. 
Onderbreking met een maximaal gekende duur van de dienstverlening is mogelijk

gedurende enkele dagen (negatieve) persberichten in de belangrijkste media

Belangrijke financiële schade voor het individu 
Aantoonbare blijvende impact op levenskwaliteit 
Compensatie mogelijk op basis van juridische dwangmaatregelen 
Ernstige immateriële schade voor het individu: 
Eigenwaarde 
Reputatie en stigmatisering 
Gelijkheid 
Integriteit van de persoon 
Ongestoord leven 
Autonomie 
Fysieke integriteit 
Verlies aan zelfstandigheid 
Bewegingsvrijheid

inbreuk van rechtsregels met substantiële gevolgen (bv. boete)

 3

Groot

Impact op budget 10% - 15%

Bijsturing van de criteria en/of maatregelen zijn noodzakelijk om de dienstverlening te ondersteunen. Financiële middelen worden ondersteund door het lopende werkingsbudget. Korte onderbreking van de dienstverlening is mogelijk, binnen VO-breed spreken we tussen ½ en 2 dagen  

(negatieve) persberichten her en der

Belangrijke financiële schade voor het individu

Geen aantoonbare blijvende impact op de levenskwaliteit

Potentiële compensatie mogelijk op basis van juridische dwangmaatregelen

Geen tot minimale immateriële schade voor het individu: 
Eigenwaarde 
Reputatie en stigmatisering

beperkte inbreuk van een bepaalde regel met lichte gevolgen (bv. aanmaning)

2

Gemiddeld 

Impact op budget 5% - 10%

Bijsturing van de criteria en/of maatregelen zijn aangewezen om de dienstverlening te ondersteunen. 
Korte onderbreking van de dienstverlening mogelijk. VO-breed spreken we van minder dan ½ dag

enkel interne communicatie & communicatie naar belanghebbenden

Minimale financiële schade voor het individu 
Geen aantoonbare impact op de levenskwaliteit 
Potentiële compensatie mogelijk zonder juridische dwangmaatregelen 
Geen tot minimale immateriële schade voor het individu: 
Eigenwaarde 
Reputatie en stigmatisering

beperkte inbreuk van een bepaalde regel zonder enige gevolgen 

 1

Klein

Impact op budget < 5%

Geen impact op de organisatie. 
Dienstverlening gegarandeerd 

enkel interne communicatie & communicatie naar belanghebbenden

Geen tot verwaarloosbare financiële schade voor het individu 
Geen aantoonbare impact op levenskwaliteit 
Geen tot minimale immateriële schade voor het individu: 
Eigenwaarde 
Reputatie en stigmatisering

overtreding van normen en waarden

Risicoscore

De coördinator van de risicoanalyse werkt de invulling uit, waarbij hij zorgt voor bepaling van het risico volgens de formule waarschijnlijkheid x impact. Hierbij wordt er rekening gehouden met de maturiteit van de reeds bestaande controlemaatregelen, waardoor het resultaat van de berekening een inzicht geeft in het huidige risiconiveau.

Risicokaart

Op basis van de berekening van het risico, bepaald de coördinator van de risicoanalyse welke bedreigingen het meest ernstig worden geacht.

Bedreigingen waarvan de waarschijnlijkheid en impact in schalen ingedeeld zijn, kunnen geplaatst worden in een risicokaart. De risicokaart geeft dus inzicht in de spreiding van de risico’s naar waarschijnlijkheid en impact.

Met behulp van de risicoscore kunnen bedreigingen, middels hun toegekende ID-nummer, uitgezet worden op de volgende risicokaart:

     

Dit geeft aan zowel het topmanagement, als het lijnmanagement een snel overzicht in de ernst van de geïdentificeerde bedreigingen. Deze stap is niet verplicht binnen de uitvoering van een risicoanalyse volgens de Vo risicoanalyse methodiek.

Risico-prioriteit

Met behulp van de risico-scores kunnen de bedreigingen gerangschikt worden van hoog naar laag, op basis van volgende beoordelingstabel:

Dit laat toe om de risico’s te prioriteren zodat de belangrijkste (= met de hoogste risico-score) eerst aangepakt kunnen worden.

1.3.1.2.4.3 Bepalen risicostrategie

Er bestaan vier soorten risicostrategieën: vermijden, mitigeren, overdragen en accepteren die samenhangen met de mate van de waarschijnlijkheid en de impact. Hierbij bepalen de coördinator van de risicoanalyse, de deskundigen, waaronder ook de CISO en de DPO de risicostrategie.

De specifieke activiteiten van een organisatie beïnvloeden de keuze van de strategie. Zo kan het zijn dat een organisatie x een keuze zal maken tot mitigeren van een risico, terwijl organisatie y eerder hetzelfde risico gaat accepteren. Verder hangt de keuze die gemaakt wordt ook af van de afweging ten aanzien van de geldende maatregelen binnen de Vo informatieclassificatie, bv op basis van de kostprijs om die specifieke maatregel(en) te implementeren.

Op basis van de beoordeling in prioriteit van het huidige risiconiveau, wordt de verdere aanpak (vermijden, mitigeren, overdragen of accepteren) van de bedreiging bepaald:

  • De organisatie kiest voor het mitigeren, en deze keuze is gebaseerd op de missie, visie en doelstellingen en in kader van dienstverlening.

  • Er kan gekozen worden voor overdragen van het risico, onder andere door het inschakelen van een ICT-dienstverlener of door het afsluiten van diverse raamcontracten of verzekeringen.

  • Een aantal specifieke risico’s waarbij de controlemaatregelen veel meer inzet en tijd vergen dan het gunstige effect op het risico worden geaccepteerd.

  • Risico’s die we vermijden hebben geen gevolg meer op de missie, visie, doelstellingen en dienstverlening van de organisatie. Dit vraagt wel een aanpassing van de organisatie of haar dienstverlening.

Rollen

Werkwijze

Middelen

  • coördinator

  • proces-eigenaar

  • systeem-eigenaar

  • CISO/ ISO

  • DPO/ PO

  • topmanagement

  • bepaal per opgelijste bedreiging, of het huidige risiconiveau geaccepteerd kan worden. Zoniet dan moet het risico gemitigeerd worden – en indien nodig overgedragen of vermeden worden.

  • workshop

  • sjabloon rapport risicoanalyse

Resultaat

  • een oplijsting van mogelijke relevante bedreigingen, waarvan op basis van het huidige risiconiveau bepaald is of het risico geaccepteerd kan worden - Zo niet, dan moet het risico gemitigeerd worden – en indien nodig overgedragen of vermeden worden

1.3.1.2.4.4 Risico-evaluatie

In deze stap worden de bijkomende controlemaatregelen bepaald voor de strategie “mitigeren”. Hierbij worden de bedreigingen geviseerd met een prio 1 of prio 2. Hierbij zal gekeken worden naar het gewenste risiconiveau, namelijk het risiconiveau na toepassing van alle maatregelen vernoemd binnen het raamwerk informatieclassificatie. Het gewenste risiconiveau vormt als het ware de baseline waarbij een organisatie zich boven deze baseline bevindt, of juist eronder. Indien een organisatie zich onder deze baseline bevindt, zullen bijkomende controlemaatregelen moeten worden getroffen. Het restrisico, na het treffen van deze bijkomende controlemaatregelen, dient al dan niet aanvaard te worden door het topmanagement. Zowel de coördinator van de risicoanalyse, de deskundigen, waaronder ook CISO en DPO dienen hiervoor aanwezig te zijn. De maatregelen worden daarbij geformuleerd op het niveau van controlemaatregelen om ervoor te zorgen dat bij de invulling over de tijd heen rekening kan worden gehouden met de stand van zaken op dat moment.

Hierbij kunnen de bijkomende controlemaatregelen bestaan uit:

  • de maturiteit van een bestaande controlemaatregel die bepaald werd tijdens de activiteit ‘het vastleggen van context en scope’ verhogen, ofwel

  • kiezen voor een andere controlemaatregel.

Concreet:

  • risico-evaluatie:

    • bepalen van de positie van de organisatie ten aanzien van het gewenste risiconiveau. Dit voor bedreigingen die gemitigeerd dienen te worden, dit met name voor de bedreigingen die ingeschaald zijn met een prio 1 of een prio 2.

    • Het gewenste risiconiveau vormt de baseline, waarbij alle controlemaatregelen zijn getroffen zoals bepaald binnen het raamwerk informatieclassificatie

    • bepalen of de bestaande controlemaatregelen in maturiteit kunnen verhoogd worden, of er gekozen dient te worden voor andere controlemaatregelen

    • bepaal opnieuw de waarschijnlijkheid en de impact na het nemen van deze bijkomende controlemaatregelen, en bereken de risicoscore(=restrisico)

    • topmanagement beslist of het restrisico, en zijn bijhorende controlemaatregelen, al dan niet aanvaard worden

Rollen

Werkwijze

Middelen

  • coördinator

  • proces-eigenaar

  • systeem-eigenaar

  • CISO/ ISO

  • DPO/ PO

  • topmanagement

  • bepalen van de positie van de organisatie ten aanzien van het gewenste risiconiveau.  Dit voor bedreigingen die gemitigeerd dienen te worden, dit met name voor de bedreigingen die ingeschaald zijn met een prio 1 of een prio 2. - Het gewenste risiconiveau vormt de baseline, waarbij alle controlemaatregelen zijn getroffen zoals bepaald binnen het raamwerk informatieclassificatie

  • bepalen of de bestaande controlemaatregelen in maturiteit kunnen verhoogd worden, of er gekozen dient te worden voor andere controlemaatregelen

  • bepaal opnieuw de waarschijnlijkheid en de impact na het nemen van deze bijkomende controlemaatregelen, en bereken de risicoscore(=restrisico)

  • topmanagement beslist of het restrisico, en zijn bijhorende controlemaatregelen, al dan niet aanvaard worden

  • workshop

  • sjabloon rapport risicoanalyse

Resultaat

  • een oplijsting van mogelijke relevante bedreigingen, dewelke dienen gemitigeerd worden, waarbij de bijkomende controlemaatregelen zijn gedefinieerd. Het topmanagement beoordeelt en aanvaardt het restrisico 

Welke risico’s te beheersen?

Welke bedreigingen aanvaardbaar zijn, en wat er dient te gebeuren, verschilt voor iedere organisatie. Onderstaande tabel geeft een indicatie van de risico-appetijt.

Risico-appetijt

Kleurencode

Omschrijving

Kritiek risico 

Risico is niet aanvaardbaar, controlemaatregelen zijn nodig

verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen

Hoog risico 

Risico is niet aanvaardbaar, controlemaatregelen zijn nodig

verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen

Gemiddeld risico 

Risico verdient extra aandacht tot verdere beheersing

verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen

Laag risico 

Aanvaardbaar risico, extra controlemaatregelen nemen is mogelijk

verhogen maturiteit en/of bepalen nieuwe maatregelen conform informatiebeveiligingsnormen

Risico-evaluatie

Er zijn twee manieren om bedreigingen die niet aanvaardbaar zijn, te beheersen: ofwel verhoogt men de maturiteit van de bestaande maatregelen, ofwel identificeert men bijkomende controlemaatregelen.

Het restrisico wordt bepaald door het ingeschatte niveau van waarschijnlijkheid en impact te herbekijken. Dit doet men op basis van de opnieuw ingeschatte maturiteit van bestaande controlemaatregelen of de nieuwe controlemaatregel.

Het restrisico wordt gevormd door opnieuw de waarschijnlijkheid te vermenigvuldigen met de impact. De beoordeling van het restrisico, in aanvaarding, ligt hierbij in de handen van het topmanagement.

  • No labels