Risicomanagement

Risicomanagement

Voordat organisaties de eerste stappen gaan zetten met informatiebeveiliging, moet eerst een analyse gemaakt worden waartegen precies beveiligd moet worden. Het proces om van dreigingen naar risico’s en naar beveiligingsmaatregelen te gaan heet risicomanagement. Risicomanagement is een continu proces waarin risico’s worden geïdentificeerd, onderzocht, en gereduceerd tot een acceptabel niveau. Dit doorlopende proces is op alle onderdelen van de bedrijfsprocessen van toepassing. De taak om dit proces te bewaken wordt in grote organisaties uitgevoerd door een speciaal daartoe aangestelde informatiebeveiligingsdeskundige, bijvoorbeeld de de Chief Information Security Officer (CISO) of de Information Security Officer (ISO).

De eerste stap in het proces van risicomanagement start met een risicoanalyse. Risicoanalyse is een methodiek om inzicht te krijgen in de verschillende risico’s die een organisatie loopt.  Een risico – het gevaar voor schade aan of verlies van informatie – wordt bepaald door een aantal factoren. Dit zijn de dreiging, de kans dat een dreiging zich daadwerkelijk manifesteert en de gevolgen daarvan. Als een dreiging werkelijkheid wordt, ontstaat er een risico voor de organisatie. De grootte van het risico, maar ook de inschatting ervan door het management, bepaalt hoeveel maatregelen genomen moeten worden om het risico in te perken.

Begrippen in Risicomanagement

Om het proces risicomanagement goed te begrijpen, onderscheidt de Code voor Informatiebeveiliging (ISO27000®) een aantal begrippen die consistent toegepast moeten worden:

1. Zwakheden

Een zwakheid is een hiaat binnen een asset of groep van assets (bedrijfsmiddelen) die misbruikt kan worden door een of meer bedreigingen. Een typische vorm van een zwakheid is de afwezigheid van maatregelen waardoor een zwakheid uitgebuit kan worden. Denk hierbij aan een open poort in een firewall of het gebrek aan sleuteldiscipline in een serverruimte.

2. Dreigingen

Een dreiging komt voor uit een niet-gewenst incident en kan schade berokkenen aan een systeem of aan de organisatie. Een dreiging wordt werkelijkheid als een incident optreedt. De entiteit die gebruik maakt van een zwakheid wordt dan aangeduid aan de ‘threat agent.’ Voorbeelden van ‘threat agents’ zijn hackers of kwaadaardige software. Dreigingen kunnen verschillen per land, afhankelijk van de mate van ontwikkeling of bijvoorbeeld internet gebruik.

3. Risico’s

Een risico is de kans dat een dreiging gebruikmaakt van een zwakheid en de bijbehorende impact voor de organisatie. Een risico verschilt dus van een dreiging in de zin dat bij een risico het element ‘kans’ een essentiële rol speelt. Risico bindt de zwakheid, de dreiging en de waarschijnlijkheid samen tot een resulterende business impact.

4. Blootstelling

Een blootstelling is een toestand waarin schade geleden wordt door toedoen van een threat agent. Een zwakheid stelt een risico bloot aan mogelijke schade. De blootstelling treedt dus in op het moment dat zich een incident heeft gemanifesteerd. Een zwak wachtwoord beleid kan er bijvoorbeeld toe leiden dat een hacker zich op de systemen begeeft (= incident) en gedurende en bepaalde tijd (= blootstelling) toegang heeft tot klantgegevens.

Voor het uitvoeren van informatiebeveiliging is het belangrijk dat iedereen dezelfde terminologie gebruikt. Deze terminologie komt ook terug in de Code voor Informatiebeveiliging (ISO27000®).

Gerelateerde artikelen

  • iso27000

    Risicoanalyse

    ISO 27002®

    Risicoanalyse is onderdeel van risicomanagement. Het uitvoeren van risicoanalyse heeft als doel inzichtelijk te maken welke dreigingen relevant zijn voor…

    Lees meer
  • iso27000

    IT Beveiliging

    ISO 27002®

    Een op IT beveiliging gerichte risicoanalyse resulteert in een verzameling van beveiligingsmaatregelen die passen bij het risicoprofiel van een organisatie.

    Lees meer
  • iso27000

    ISO 27002® Informatiebeveiliging

    ISO 27002®

    In een wereld die steeds sneller verandert en steeds meer afhankelijk wordt van IT systemen en processen, wordt informatiebeveiliging een…

    Lees meer
  • iso-sec-2000

    ISO 27001® Implementatie

    ISO 27002®

    Over de ISO 27001® Standaard De norm ISO 27001® norm is dé standaard voor informatiebeveiliging. ISO 27001® certificering toont aan dat…

    Lees meer
  • iso-sec-2000

    ISO 27001® Assessment

    ISO 27002®

    ISO 27001® Assessment: Zicht op IT Security Streeft u naar meer controle over uw IT organisatie, of compliance van uw…

    Lees meer
  • iso27000

    Informatiebeveiligingsincidenten

    ISO 27002®

    Medewerkers hebben een belangrijke rol in het waarnemen van zwakheden in de beveiliging en informatiebeveiligingsincidenten. Zij zijn immers de eerste…

    Lees meer
  • iso27000

    Informatiearchitectuur

    ISO 27002®

    Informatiebeveiliging is zeer sterk gerelateerd aan informatiearchitectuur. Tijdens het ontwerp van een informatiesysteem, is het noodzakelijk om de beveiliging van…

    Lees meer
  • iso27000

    Fysieke Beveiliging

    ISO 27002®

    Fysieke beveiliging is een onderdeel van informatiebeveiliging omdat alle bedrijfsmiddelen (naast een IT Beveiliging) ook fysieke beveiliging nodig hebben. Fysieke…

    Lees meer