Hoe een risicoanalyse je meer inzicht geeft in informatiebeveiligingsrisico’s

‘Veiligheid voor alles’ wordt wel eens geroepen, maar zo werkt het in de praktijk meestal niet. Complete veiligheid is nagenoeg onhaalbaar of zorgt voor onwerkbare situaties. Denk maar aan het gebruik van privé mailadressen door ministers die zich beroepen op het gebruiksgemak van diezelfde privé tooling versus de dichtgetimmerde software vanuit de eigen organisatie. Denkt het ministerie zijn informatiebeveiliging goed op orde te hebben, slaan ze toch nog de plank mis doordat gebruikers hier ‘omheen werken’. Maar hoe krijg je je informatiebeveiliging dan wel goed op orde?

Analyseer de risico’s

Om meer inzicht te krijgen in je informatiehuishouding biedt het doen van een (of meerdere) risicoanalyse(s) uitkomst. In een risicoanalyse onderzoek je wat het ergste is dat er mis kan gaan binnen een bepaald bedrijfsproces en wat de kans is dat dat ook daadwerkelijk gebeurd. Hierdoor kun je in het risicomanagementproces bewustere keuzes maken waar je je tijd, energie en middelen in investeert om je informatiebeveiliging te verbeteren en waarin niet.

Betrouwbare informatie

Informatiebeveiliging is noodzakelijk voor organisaties om hun werk goed uit te kunnen blijven voeren en draait om het borgen van betrouwbare informatie. Zonder informatie is het lastig werken (beschikbaarheid). Hetzelfde geldt voor de integriteit van informatie. Onjuistheden in informatie kunnen kostbare fouten in de operatie opleveren. En wanneer bedrijfsgevoelige en/of persoonsgegevens in verkeerde handen komen kan de schade enorm zijn (vertrouwelijkheid). 

Risiconiveaus laag, midden en hoog

Onderstaande afbeelding geeft de samenhang van verschillende kernelementen binnen een risicoanalyse weer. Verticaal wordt het risico(niveau) weergegeven per situatie; midden, hoog en laag. Horizontaal worden de bedreiging, maatregel, proces en schade vereenvoudigd weergegeven.

Het risiconiveau midden wordt opgebouwd uit een bedreiging die zich niet daadwerkelijk voordoet; de wolk zonder regen. Feitelijk is er niets aan de hand; de gegevens zijn beschikbaar (de apparatuur gaat niet kapot door regen) en het proces kan doorgang vinden.

Maar als er opeens wel regen komt (de bedreiging doet zich voor) gaat de handel stuk, is je beschikbaarheid van informatie niet geborgd en je impact op het proces hoog (zonder informatie kan je niet werken).

Had je in diezelfde situatie wel maatregelen genomen (de paraplu), dan was je voorbereid geweest op de bedreiging (regen) en was de impact laag tot geen geweest. De paraplu biedt bescherming tegen de regen, je maakt enkel de kosten voor de paraplu.

Risicomanagement

Door risicoanalyses uit te voeren krijg je meer zicht op het totale risicoprofiel binnen de organisatie en kun je in het risicomanagement proces bewuster kiezen welke maatregelen je wel neemt (paraplu’s die je aanschaft) om je informatie te beveiligen en welke maatregelen je (nog) niet neemt.