Sjoerd Marinussen – Business Consultant
Voor de ISO 27001 en NEN 7510 is het belangrijk dat u jaarlijks een volledige risicoanalyse, inclusief business impactanalyse op informatiebeveiliging uitvoert. In deze blog treft u aan wat we onder deze risicoanalyse verstaan en welke aandachtspunten hierbij zijn.
Een risicoanalyse geeft u inzicht in de belangrijkste risico’s voor uw organisatie het gebied van informatiebeveiliging. Er zijn een aantal standaardvragen in deze analyse die een integraal beeld geven van de risico’s. Bijvoorbeeld kunnen onbevoegden zich toegang verschaffen tot uw systemen? Zijn uw medewerkers goed geïnstrueerd zodat informatie niet per ongeluk op straat komt te liggen? Met deze risicoanalyse die zowel binnen de ISO 27001 als de NEN 7510 een eis is, brengen we alle voor uw organisatie relevante risico’s in kaart. Hiermee kunt de risico’s prioriteren en beperken.
We hanteren bij een risicoanalyse de wat informatieveiligheid betreft meest bekende manier, de BIV-indeling.
Elke organisatie is uniek en heeft in die zin andere aandachtsgebieden. Vanuit onze aanpak en ervaring uit vele projecten kunnen we u een aantal handreikingen doen. De ISO 27001 norm en NEN 7510 geeft als uitgangspunt dat de risicoanalyse met voldoende diepgang moet zijn uitgevoerd. Dit is natuurlijk een rekbaar begrip.
U kunt hierbij denken aan:
Stap 1 – Business impact analyse
De risicoanalyse voor de ISO 27001 begint met een business impact analyse van de informatiebeveiliging. Met een ‘informatieclassificatie’ brengt u in kaart welke informatie u binnen uw organisatie ‘verwerkt’ (opslag, delen, gebruik, etc.) en welke systemen hierin een rol spelen.
Daarna bekijkt u deze informatiestromen en bepaalt u welke daarvan het meest kritisch zijn voor uw continuïteit. Met andere woorden welke informatie en/of systemen hebben de meeste ‘impact’ op uw bedrijf. In termen van continuïteit, kwaliteit, winstgevendheid en veiligheid.
Stap 2 – De risicoanalyse
In deze stap kijkt u naar de – tijdens stap 1 vastgestelde – ‘impactvolle’ informatie en systemen binnen uw organisatie. Voor de verschillende systemen en informatie gaat u na welke risico’s uw organisatie loopt. In termen van de eerdergenoemde Beschikbaarheid, Integriteit en Vertrouwelijkheid. Dit levert u een lijst met risico’s op. Voor elk risico bepaalt u twee zaken en hanteert daarbij een schaal van 1 tot 5:
Stap 3 – De heatmap
Dat levert u een ‘heatmap’ op. Een overzicht van alle risico’s met hun ‘kans x impact’. Daarmee weet u dat de risico’s met een hoog ‘kans x impact cijfer’ de meeste aandacht vragen.
Stap 4 – Risicobereidheid
Tenslotte, voor u aan de slag gaat met maatregelen is het goed om de ‘risicobereidheid’ per risico te bepalen. U kunt er namelijk bewust voor kiezen om ergens een risico te lopen omdat u bijvoorbeeld weet dat de organisatie – als het gebeurt – snel kan handelen om het op te lossen.
Dat doet u door te bepalen welke ‘risiconiveau’ (kans x impact) voor uw organisatie acceptabel is. Na bepaling van dat ‘kans x impact-cijfer’ selecteert u alle de risico’s die op en boven die risicogrens liggen.
Als belangrijk resultaat heeft u nu een lijst met risico’s waarvan de kans dat het gebeurt aanzienlijk is, de impact op de organisatie ook en waarvan u bepaald hebt dat u niet bereid bent om daar een groot risico te lopen. Daarmee kunt u vervolgens aan de slag. De risico’s onder de grens hebben voor dit moment geen aandacht nodig.
Deze stappen voert u uit, door eigen analyses op uw systemen, processen en informatie. Aangevuld met interviews met de proces- en systeemeigenaren
Er zijn verschillende manieren om maatregelen te treffen waarbij we een aantal basisuitgangspunten hanteren:
U wijst alle geindentificeerde risico’s toe aan een eigenaar met de vraagt om een voorstel voor het beheersen of oplossen van het risico.
Het is belangrijk het aantal vastgestelde maatregelen vast te leggen in bijvoorbeeld een Excel-document. Hierin omschrijft u uitvoerig wat de risico’s betreffen, wie de eigenaren hiervan zijn en welke maatregelen zijn vastgesteld. Dit helpt om de werkwijze consistent te houden en is belangrijk voor de auditor die wilt zien of u grip hebt op de situatie. Er zijn ook gespecialiseerde systemen waarin bijvoorbeeld ook functionaliteiten inzitten om acties e.d. aan mensen te kunnen toewijzen via e-mail. En waarin zijn de status eenvoudig kunnen terugkoppelen.
Vanzelfsprekend is het zaak om ook daadwerkelijk de maatregelen uit te voeren. Elk risico krijgt een eigenaar. Vaak iemand die er inhoudelijk dicht op zit. De Security Officer is verantwoordelijk voor de coördinatie, controle en beoordeling van de effectiviteit van de maatregelen. Leg goed vast wat u gedaan hebt c.q. wat de status is van de verschillende acties. Het gaat erom dat u grip hebt op wat u doet en dat ook kan laten zien.
Daar waar nodig past u de analyse of het actieplan aan.
De business impact analyse en risicoanalyse moet u elk jaar uitvoeren en herijken. Om nieuwe systemen en processen binnen uw organisatie toe te voegen en om na te gaan of er nog veranderingen zijn bij de bestaande. Ook gaat u na of de maatregelen die u bepaald hebt nog passend zijn.
Goed om te weten is dat bij tussentijdse organisatorische veranderingen van een aanzienlijke omvang of impact het ook verstandig is om de beide analyses tussentijd te herijken.
Het is belangrijk dat u kunt laten zien dat u ‘in control’ bent. Dat bent u wanneer u goed weet wat uw risico’s zijn en dat u maatregelen hebt getroffen (of nog gaat doen) om die te beheersen. Dat is voor de risicoanalyse de voornaamste toets. Neem contact op met onze Security Officer. Wij zorgen er graag voor het minimaliseren van de risico’s.
Blog geschreven door Sjoerd Marinussen, Business Consultant