ISO 27001 risico analyse uitgelegd

Bij een risico analyse scheid je hoofd- en bijzaken. Bijvoorbeeld op het gebied van informatie beveiliging. Maar hoe pak je dat aan?

Wat is een risico?

Er zijn verschillende methoden die je kunt toepassen. Maar voordat je direct een methode kiest en gaat toepassen is het verstandig om eerst eens na te denken wat een risico inhoudt. Een risico is de kans op een ongewenste gebeurtenis met een negatieve impact:

  1. De ongewenste gebeurtenis: vaak een schijnbaar eenvoudige handeling of omstandigheid die negatieve gevolgen kan hebben. Bijvoorbeeld:  je opent een mailtje met malware, je raakt een USB stick met informatie kwijt, je virusscanner voert al een tijdje geen updates meer uit.
  2. De kans dat de gebeurtenis optreedt: zou de gebeurtenis dagelijks kunnen plaatsvinden of komt het bijna nooit voor. Bijvoorbeeld: gebruik je altijd USB sticks, dan is de kans dat je een stick kwijtraakt ook groot.
  3. De impact van de gebeurtenis: denk bij impact vooral aan financiële en imagoschade. Stel dat je inderdaad een USB stick kwijtraakt met daarop een Excel bestand met klantinformatie, dan zou dat wel eens vervelende gevolgen kunnen hebben als de klanten een kopie van dat bestand toegestuurd krijgen door de vinder van de USB stick. Dat kan variëren van een klacht tot het verliezen van klanten.

Stappenplan risico analyse

Een risico analyse voor informatiebeveiliging mondt vaak uit in een theoretische opsomming. Het is de kunst om risico’s begrijpelijk en praktisch te houden. Ongeacht de methode die je kiest (MAPGOOD, BIA, RAVIB, etc.) werkt een duidelijk stappenplan altijd het beste:

  1. Bepaal waarvan je de risico’s wilt bepalen. Dat kan bijvoorbeeld een proces, informatiesysteem of afdeling zijn. Zorg dat je scope niet te breed is.
  2. Stel vast wie de risico’s moeten vaststellen. Dit zijn bij voorkeur de personen die zelf werken in het proces, de afdeling of met het betreffende informatiesysteem. Hoewel direct betrokkenen de kans op een ongewenste gebeurtenis het beste in kunnen schatten wil dat niet zeggen dat ze de impact ook goed kunnen overzien. Zo kan een verkoper vaak de impact goed inschatten en een techneut de kans. Denk dus goed na over de betrokkenen en vooral, wie het laatste woord heeft (om discussies te voorkomen).
  3. Nu je weet waarvan je de risico’s wilt vaststellen ga je de risicocriteria bepalen. Oftewel: wanneer is er sprake van een hoog risico en wanneer van een laag risico? Je kunt hierbij denken in termen van geld en imago. Wat voor het ene bedrijf een laag risico is, is voor een ander juist hoog. Een bericht in het lokale krantje is voor een lokale huisarts schadelijker dan voor een multinational.
  4. Je kunt nu de risico’s gaan vasstellen. Neem hier de tijd voor, houd rekening met tenminste een halve dag per sessie en vaak heb je 2 – 3 sessies nodig. Wij adviseren om eerst een Business Impact Analyse (BIA) en daarna een dreigingsanalyse uit te voeren. Bij een BIA stel je vaste welke informatiesystemen cruciaal zijn, dat maakt het eenvoudiger om de impact van een dreiging goed in te kunnen schatten. Bij de dreigingsanalyse formuleer je mogelijke dreigingen met de bijbehorende kans en impact. Afhankelijk van de methode krijg je vaak vooraf al een lijst met mogelijke dreigingen aangereikt, dat scheelt zoekwerk.
  5. Tenslotte ga je prioriteiten en maatregelen bepalen. Dat kan met behulp van de maatregelenlijst in Appendix A van ISO 27001 en de uitleg hiervan in ISO 27002. Maar gezond verstand helpt ook.

Een risico analyse is geen eenmalig proces. Incidenten en wijzigingen in de organisatie kunnen aanleiding zijn om een analyse opnieuw uit te voeren. Overigens is het altijd verstandig om de risico analyse jaarlijks te herhalen.

Wil je meer weten over ISO 27001 certificering en risico analyses voor informatiebeveiliging? Wij gaan graag persoonlijk met je in gesprek hierover.