Informatiebeveiliging voor woningcorporaties: de risico analyse

Geplaatst door CorporatieMedia op
 

Informatiebeveiliging – ook wel information security – is hot. En niet omdat we het nou zo leuk vinden, maar omdat we steeds vaker horen van incidenten op dat gebied.

Laten we ervan uitgaan dat u aan het begin staat van een traject om informatiebeveiliging op een gestructureerde wijze naar een hoger niveau te brengen. U heeft een assessment of quick scan uitgevoerd en bent toe aan de volgende stap. Dit is het juiste moment om een risico analyse uit te voeren.

Aangezien de wereld om ons heen voortdurend verandert, is het goed om de risico analyse met enige regelmaat te herhalen. Ieder jaar blijkt in de praktijk lastig (er moeten ook nog andere dingen gedaan worden), maar iedere twee jaar is wel het minimale. Niet omdat u om werk verlegen zit, maar omdat u zich wil richten op de juiste risico’s. Anders gaat het ook tegen u werken: een verouderde risico analyse geeft schijnveiligheid.

Risico analyse: wat en hoe?
In de risico analyse wordt uitgegaan van de dreigingen die er gelden voor de organisatie. Binnen de scope van informatiebeveiliging gaat het om dreigingen die de beschikbaarheid, integriteit en/of vertrouwelijkheid van informatie kunnen schaden. Denk hierbij aan hacking, maar ook aan brand, overstroming, faillissement van een (software-)leverancier of het lekken van informatie door medewerkers. Ook een verouderde ICT-infrastructuur kan een dreiging vormen.

Dit betekent dat het een behoorlijke lijst kan worden met mogelijke dreigingen. Bij iedere dreiging wordt aangegeven wat de kans en de impact van de dreiging kunnen zijn. De kans en de impact vermenigvuldigd leiden tot de risico-score (effect). Oftewel: Risico/effect = K x I.

Aangezien het gaat om mógelijke dreigingen, zijn inschattingen van K en I bijna per definitie subjectief. Daarom is het ook goed om zo veel mogelijk meningen uit zo veel mogelijk verschillende lagen van de organisatie te verzamelen.

Vervolgens is het een kwestie van de lijst aanpakken. Dreigingen met de hoogste score worden het eerst bezien en maatregelen om de kans, de impact óf het totale risico te verminderen worden in kaart gebracht. Veel zal al geregeld zijn, maar dat is niet altijd bekend of staat niet gedocumenteerd. Dan resteert het rest-risico of netto risico. Het is goed om deze scores voor te leggen en te bepalen of het risico nog verder verlaagd moet worden (wat tijd en geld kost), of dat het risico aanvaardbaar is en geaccepteerd wordt. Een tip: leg keuzes vast, dat voorkomt een herhalende discussie.

Deze aanpak zorgt ervoor dat u zich richt op de risico’s die er toe doen en niet álle risico’s aanpakt.

Nu kent u de risico’s waar u de aandacht op moet richten. Maar er is meer… We gaan in op de business impact analyse en de kritieke processen in deel 4 van deze serie.

Door: Jorrit van de Walle, CISA CISM Audittrail

Klik hier om de bedrijfsprofielpagina van Audittrail in de CorporatieGids 2015 te bekijken.