Menu Sluiten

25 North risicomanagement aanpak

Risicomanagement

Alle standaarden voor informatiebeveiliging hebben gemeen dat ze uitgaan van een goed fundament, ofwel een risicoanalyse. Je kunt tenslotte niet weten of de juiste maatregelen getroffen zijn als de risico’s niet bekend zijn. Voor een goede risicoanalyse zijn veel risicomanagement methoden en standaarden beschikbaar. Voorbeelden zijn ISO31000, ISO27005, COSO ERM of NIST-RMF.

Om organisaties te helpen met het uitvoeren van hun risicoanalyses heeft 25 North een handige tool ontwikkeld, de risicomanagement post-it. Handige post-it notes die helpen met alle stappen van het risicomanagement proces.

Risicomanagement proces ondersteuning middels de 25North risicomanagement post-it

25North risicomanagement geeltjes

Speciaal ontwikkeld voor het gebruik tijdens het risicomanagement proces. Bij veel sessies worden de zgn geeltje gebruikt, maar ervaring leert dat get administreren ervan lastig gaat en foutgevoelig is. Deze post-its volgen alle stappen van het risicomanagement proces en bieden ondersteuning voor o.a. de gevraagde risicoanalyses bij een NEN7510, ISO27001 of ISO9001 certificering.

Heeft u interesse in een setje risicomanagement post-its neem contact met ons op en we sturen deze op.

Aanpak van een risicoanalyse

Bij het werken met de 25North risicomanagement post-its adviseren we de volgende stappen te doorlopen. Voordat gestart wordt met de risicoanalyse is het uitnodigen van de juiste mensen belangrijk. Probeer verschillende belanghebbenden uit te nodigen waardoor naar bedrijfsrisico’s, technische risico’s en organisatorische risico’s gekeken kan worden.

1. Bepaal de context

Waarover gaat de assessment. Hiermee wordt voorkomen dat er risico’s worden ingebracht die niet relevant zijn voor het onderwerp op de agenda.

Een schematische weergave van de scope helpt. Denk hierbij aan een proces diagram, een netwerk tekening of een applicatiediagram. Bespreek deze om de volledigheid van de scope met elkaar vast te stellen.

MAPGOOD

Om een goed beeld van de context van de risicoanalyse te krijgen kan de MAPGOOD-methode helpen. MAPGOOD is een acroniem voor:

  • Mens
    Wie zijn de gebruikers van de omgeving
  • Apparatuur
    Welke apparatuur is gebruikt binnen de context
  • Programmatuur
    Welek programmatuur wordt gebruikt
  • Gegevens
    Welke gegevens zijn er binnen de context aanwezig
  • Organisatie
    Welke afdelingen binnen de organisatie zijn afhankelijk van de omgeving of maken hier gebruik van.
  • Omgeving
    In welke omgeving is het systeem geplaatst
  • Diensten
    Welke diensten horen bij het systeem.

2. Risico analyse

Nu gaat het analyseren beginnen door te kijken naar de risico’s binnen de geschetste context. Laat iedere deelnemer zoveel mogelijke risico’s en kansen opschrijven. Risico’s zijn hierbij meestel makkelijker dan de kansen, maar denk ook wat levert het ons op en wat moeten we doen om dit te bereiken.

Onder A) schrijft iedere deelnemer de risico’s en kansen op. Geef aan of het risico inter, extern of een kans betreft. Per risico een post-it invullen.

pro tip: Werk in een aantal ronden in tweetallen en hanteer hierbij een korte tijd (bijvoorbeeld enkele ronden van 5 minuten). De meest belangrijke risico’s zullen hierdoor op het bord komen.

Risico’s binnen het domein informatiebeveiliging gaan over bewust menselijk handelen. Fouten en ongelukken vinden we meestal in de andere domeinen zoals bedrijfscontinuiteit, veiligheid en kwaliteit.

3. inventariseer de actoren

Wie initieert het risico, ofwel de threat actor, helpt bij het later bepalen van de kans en impact van de risico’s.

4. Bepaal de bedrijfsmiddelen

Welke bedrijfsmiddelen worden door het risico geraakt wanneer het risico zich voordoet. Denk hierbij ook aan processen, mensen, informatie etc. Noteer dit alles onder C).

5. Maatregelen

Noteer onder D de aanwezige en missende maatregelen. Dit geeft een beeld van de maatregelen die op dit moment het risico beperken. De te nemen maatregelen helpen bij het later beheersbaar maken van het risico

6. Classificeren van het risico

In voorgaande stappen is een beeld gevormd van het risico. In deze stap gaan we het risico een waarde toekennen. Ofwel hoe groot is de kans en hoe groot de impact. Dit resulteert in een score van het risico.

7. Behandelen

Nu de risico’s een waarde hebben is te bepalen wat we ermee gaan doen. Ofwel gaan we een risico behandelen, vermijden, overdragen of accepteren.

Interesse in onze ondersteuning of de risicoanalyse post-it ontvangen?

Laat een bericht achter en we nemen vrijblijvend contact op!

Please enter your name.
Please enter a valid phone number.
Please enter a message.

In aanvulling op ons privacy beleid maken wij u erop attent dat wij uw gegevens zullen verwerken om uitvoering te geven aan uw contact verzoek. Binnen Nederland zullen we u een setje risicomanagement post-its opsturen. 

You must accept the Terms and Conditions.
Please check the captcha to verify you are not a robot.

Aanvullende informatie

Wilt u meer lezen over risicomanagement methoden om toe te passen bij uw eigen risicoanalyse: