Risico management

Risico Management proces met de 25 North Post-IT

Stap 1 – Bepaal de context

Waarom de risico analyse?

De eerste vraag om te beantwoorden is de vraag waarom het assessment wordt uitgevoerd en welke stakeholders onderdeel van de assessment moeten uitmaken. Gaat de assessment om een technische oplossing zijn technisch specialisten nodig bij het assessment. Voor het bepalen van de kansen en risico’s voor een kwaliteitsmanagementsysteem is het goed om de stakeholders van het managementsysteem uit te nodigen. De stakeholders voor de assessment zijn waardevol om de kans van optreden en de impact op de organisatie van ieder risico goed vast te stellen.
Wij vinden dat een risico analyse een objectief en compleet beeld moet geven en niet mag dienen om een eenzijdig beeld te vormen of beslissingen beïnvloedt.

Wat omvat de risico analyse?

Om duidelijkheid te geven aan de directie en stakeholders waarvan de risico’s zijn vastgesteld, is de scope van de assessment belangrijk. Door deze te documenteren worden ook de deelnemers aan de assessment creatief uitgedaagd over alle risico’s na te denken.
25 North werkt graag visueel door de scope van het assessment te schetsen. Wanneer wij als onafhankelijke derde een situatieschets maken leiden onze vragen vaak al tot inzichten in risico gebieden. Maak daarom een schets van de situatie, oplossing, systeem onderdelen, etc.. Het helpt het denkproces.

Stap 2 – Risico analyse

Het uitvoeren van de risico analyse bestaat uit drie stappen. Eerst het identificeren van alle risico’s, daarna bekijken welke maatregelen al aanwezig zijn en beschermen voor de geïdentificeerde risico’s, en als laatste de risico’s van een score voorzien.

a. Identificeer de risico’s.

Welke risico’s kunnen zich voordoen, wie kunnen dit veroorzaken (actoren) en welke bedrijfsmiddelen worden potentieel bedreigd door het risico. Dat is waar deze stap om gaat. Vaak kunnen een aantal standaard risico’s direct worden opgeschreven. Denk daarbij aan hackers, virussen en verlies of diefstal. Om een compleet beeld te krijgen van alle risico’s is de MAPGOOD methode een geschikt hulpmiddel. Denk bijvoorbeeld ook aan de opslaglocatie van gegevens, afhankelijkheden van de systemen. Risico’s die wellicht iets minder voor de hand liggen.

b. Aanwezigheid van maatregelen

Voordat we de risico’s kunnen voorzien van een score voor de impact en de kans van optreden is het belangrijk te weten welke maatregelen al aanwezig zijn. Vooral de kans van optreden is hiervan sterk afhankelijk. Zo zal de kans op een inbraak aanzienlijk kleiner zijn wanneer hoogwaardig hang en sluitwerk is toegepast en er verlichting aanwezig is. Anderzijds zal de impact van de diefstal van een laptop kleiner zijn wanneer de gegevens versleuteld zijn.

c. Score van de risico’s

Voor ieder risico wordt de kans en impact gewaardeerd. Onze risk post-it heeft hiervoor een schaal van 1 tot en met 5. Wanneer er geen incident registraties aanwezig zijn, zal het inschatten van risico’s voor een groot deel afhankelijk zijn van de ervaring van de stakeholders. Het doel van het scoren van de risico’s is geen exacte wetenschap, maar een goed en realistisch beeld van de aanwezige risico’s.

MAPGOOD

Om een goed beeld van de risico’s te krijgen kan de MAPGOOD-methode helpen. Gebruik mapgood als hulpmiddel om de risico’s te bepalen voor de beschreven context. MAPGOOD is een acroniem voor:

• Mens: Wie zijn de gebruikers van het systeem?

• Apparatuur: Welke apparatuur is gebruikt voor het realiseren van het systeem?

• Programmatuur: Welke programmatuur wordt gebruikt?

• Gegevens: Welke gegevens zijn er binnen de systeem aanwezig?

• Organisatie: Welke afdelingen binnen de organisatie zijn afhankelijk van de omgeving of maken hier gebruik van?

• Omgeving: In welke omgeving is het systeem geplaatst?

• Diensten: Welke diensten horen bij het systeem?

Stap 3. De risico’s behandelen

Nu is er een overzicht van de risico’s aanwezig, maar hoe nu verder. Wellicht zijn er risico’s die de organisatie wil en kan dragen, terwijl andere risico’s liever vermeden worden. De meeste risico’s echter zal de organisatie iets aan moeten doen om ze te controleren. Denk bijvoorbeeld aan cyber risico’s, veel organisaties proberen de kans van optreden te verkleinen door beveiligingsmaatregelen te treffen. De impact van een datalek neemt echter niet veel af en hiervoor zijn cyber security verzekeringen een oplossing.

Grofweg zijn er vier manieren om met een risico om te gaan:

• Accepteren betekend dat je niets met het risico gaat doen, ofwel je accepteert de gevolgen. Vaak gebeurt dit wanneer organisaties enkele maatregelen hebben geïmplementeerd en het risico hiermee beheersbaar is geworden.

• Overdragen maakt dat je iemand anders verantwoordelijk maakt voor het risico. Voorbeelden zijn verzekeren of outsourcen van activiteiten.

• Vermijden van het risico betekend simpelweg dat je als organisatie stopt met de activiteiten die met het risico samengaan.

• Mitigeren tenslotte is niets anders dan het risico beheersbaar maken door acties te ondernemen om de kans of de impact te verkleinen.

Het mitigeren van risico’s brengt kosten met zich mee. Het is daarom goed om voor de risico’s die je gaat mitigeren in te schatten wat de risicoscore is na het invoeren van de maatregelen. Dit geeft de directie inzicht in het beoogde effect van de maatregelen.

Stap 4. Maatregelen implementeren.

De risico eigenaren gaan nu aan de slag met het implementeren van de beschreven maatregelen. Als security officer of risico manager ga je regelmatig na of er vorderingen worden gemaakt, ofwel wordt het risico verkleind.

Herhalen, herhalen, herhalen

Het risicoprofiel van de organisatie veranderd voortdurend. Denk aan het invoeren van nieuwe technologische oplossingen, een nieuw bedrijfspand of het starten van een nieuwe dienst. Het is belangrijk dat de geïnventariseerde risico’s regelmatig worden geëvalueerd.

Voor organisaties die een ISO27001  certificaat hebben of nastreven zijn deze stappen in een proces opgenomen en worden minimaal eens per jaar de risico’s beoordeeld. Een tweede trigger voor een risico management sessie is een significante wijziging binnen de organisatie.

Vasteleggen en opvolgen

Uiteraard staat de risicomatrix niet op zichelf. beveiligingsmaatregelen en beleidsstukken vinden hierin hun oorsprong. Verder is het risico management proces een periodiek terugkerend proces. Door gebruik te maken van een GRC applicatie kan deze integrale aanpak worden behaald. Door onze goede ervaringen met Eramba zijn we partner voor Eramba Enterprise geworden in Nederland. Eramba zorgt dat het gehele risicomanagement proces op de juiste wijze ondersteunt wordt door een stukje software.

Risico gebaseerde aanpak

Door risicomanagement te integreren in andere processen binnen de bedrijfsvoering kan de organisatie hier veel profijt van hebben. Kijk bij een nieuwe leverancier naar de risico’s die hiermee ontstaan. Toets vervolgens of deze nieuwe leverancier hieraan adequate invulling geeft. Bij het installeren van nieuwe software beoordeelt de organisatie welke risico’s de nieuwe software en het gebruik ervan met zich meebrengt. De training voor de medewerkers met de nieuwe software kan hier vervolgens invulling aan geven.