Een Risico analyse is een vaak uitgebreid onderzoek dat veel tijd en inzet van zowel de medewerkers als de consultant kost.

Maar dat is zeker de moeite waard!

 Wat is de noodzaak voor het uitvoeren van risico analyses?

Veel organisaties beveiligen hun omgeving met standaard maatregelen. Hoe weet je nu of dat de juiste maatregelen zijn?

Het uitvoeren van een risico analyse maakt een aantal zaken duidelijk:
Hoe belangrijk is de data die verwerkt wordt in een bedrijfsproces? Hoe lang mag die data niet beschikbaar zijn, voordat het bedrijf er ernstig onder gaat leiden?
Als er uitval is, hoe snel moet je dan weer 'up and running' zijn en heb je daar alle data voor nodig, of kan je in eerste instantie volstaan met een bepaalde subset als de volledige hoeveelheid data op een nader te bepalen tijdstip maar weer beschikbaar is?

Wat is de impact als data niet volledig betrouwbaar is. Er zijn wijzigingen aangebracht is het systeem. Welke gevolgen heeft dat? Kloppen facturen nog wel? Kloppen de bedragen? Kloppen de bankrekeningen of de NAW-gegevens wel? Een komma verkeerd in en productie proces kan desastreuze gevolgen voor het product hebben.
Hoe zit het met de vertrouwelijkheid van uw bedrijfsinformatie? Wat gebeurd er als uw bedrijfsgegevens, van financiële informatie tot persoonsgegevens tot uw specifieke product wat niemand anders maakt, op straat komen te liggen?
Dit soort vragen worden beantwoord in een Business Impact Analyse (BIA). Deze vragen kunnen uitsluitend beantwoord worden door managers en ervaren medewerkers in het bedrijfsproces.

Beschikbaarheid, Integriteit en Vertrouwelijkheid zijn hierbij de basisbegrippen en daar kunnen we dan Accountability en Auditability aan toevoegen.

De ervaring leert dat medewerkers van elkaar vaak niet goed weten wat ze doen en welke data voor hen belangrijk is. Wat voor de een niet veel waarde heeft kan voor een ander bedrijfsproces heel belangrijk zijn. Allen hiervoor is een risico analyse al een mooi middel om inzicht in elkaars werk te creëren.
De BIA heeft als uitkomst dat bepaalde beveiligingsmaatregelen noodzakelijk zijn. Dat kan gewoon de standaard set zijn die toch al gebruikt wordt, maar uit de BIA kan ook blijken dat de standaard maatregelen tekort schieten.

Na de BIA volgt een zogenaamde dreigingen en kwetsbaarheden analyse.
Tijdens deze analyse wordt gekeken naar de technische aspecten zoals de kans dat stroom uitvalt, diefstal of vernielingen plaats vinden. In het totaal wordt naar een dertigtal dreigingen en kwetsbaarheden gekeken. Het meeste geldt een-op-een ook voor Cloud computing. Ook dat zijn immers computercentra die ergens mogelijk in een risicovol gebied staan en waar medewerkers van de leverancier rond lopen. Daar mag je als klant best wel eisen aan stellen.

Dit alles leidt tot een risico profiel waaraan beveiligingsmaatregelen te koppelen zijn, het beveiligingsplan.
De keuze voor beveiligingsmaatregelen wordt op verschillende manier beïnvloedt:
De kans dat een dreiging werkelijkheid wordt of kwetsbaarheid door een kwaadwillende benut wordt.
Welke schade levert dat op;
Wet- en regelgeving (denk aan de AVG),
Contractuele verplichtingen;
Uw risico bereidheid...
Hier zit je dan in het aspect auditability. Tijdens een audit laat je zien waarom de keuze voor bepaalde beveiligingsmaatregelen is gemaakt.

Natuurlijk zijn er al beveiligingsmaatregelen genomen. Het standaard pakket waar in het begin van deze blog over gesproken wordt. Daarom voeren we een GAP-analyse uit. We kijken naar de ideale situatie en wat er nu al gedaan is. Wat zijn de verschillen? Wat moet er gedaan worden om de ideale situatie te bereiken?
In de analyse kan desgewenst ook de fysieke beveiliging mee genomen worden. Soms kan een goede fysieke beveiliging ook zorgen voor minder investering in andere beveiligingsmaatregelen.

Daarna is het de keuze aan het management om het beveiligingsplan geheel of deels over te nemen. Wat hoe dan ook belangrijk is, is het feit dat het management bewuste keuzes maakt, maar er ook voor tekent om bepaalde maatregelen niet te nemen. Daar komt de accountability om de hoek. Mocht er toch een beveiligingsincident ontstaan, dan toon je door dat alles gedocumenteerd is, waarom bepaalde maatregelen wel of niet genomen zijn.

Wilt u meer weten over de stappen binnen de risico analyse? download dan dit document.
Wilt u meer weten over de gebruikte risico analyse methodiek? Download dan dit document.