Beheer de risico's van uw essentiële assets

Informatie is belangrijk voor iedere organisatie. Ze hoort bijgevolg correct beveiligd te worden. Inventariseer daarom de essentiële assets en bepaal de veiligheidsvereisten die nodig zijn om ze te beschermen.

De inventaris van de assets en de risicoanalyse

  • Identificeer de essentiële informatieassets.
  • Beheer de risico’s om de prioriteiten te bepalen en de gepaste maatregelen nemen om de potentiële risico’s te beperken (door ze op een aanvaardbaar niveau te brengen), en om de impact voor de assets op de informatieprocessen te beperken.

 

De risicoanalyse in 6 punten

Voor elke essentiële asset is het belangrijk een risicoanalyse te maken. Artikel 3 van de EU General Data Protection Regulation (GDPR) beveelt aan om een risicoanalyse te  maken voor elke risicovolle verwerking van persoonsgegevens.

  1. De context van uw organisatie bepalen
    1. Wat is de specifieke context van uw organisatie/specifieke sector?
    2. Welk risiconiveau is aanvaardbaar voor uw organisatie?
  2. Modellering van de context
    • Identificatie van de essentiële assets
      • De informatie verzamelen, bijvoorbeeld de processtroom, infrastructuur, databanken, octrooien 
      • De contracten met derde partijen verzamelen (leveranciers, onderaannemers, IT-provider, cloud – elke externe partij die voor uw organisatie infrastructuren, toepassingen of databanken beheert) 
    • De kwetsbaarheden en dreigingen identificeren
      • De mogelijke risico’s identificeren op het gebied van vertrouwelijkheid, integriteit, beschikbaarheid en authenticiteit van de gegevens
      • In de literatuur beschrijft men het begrip 'risico' meestal als de mogelijkheid ('waarschijnlijkheid') dat een bepaalde dreiging (die gebruikmaakt van een kwetsbaarheid) zich voordoet, met als gevolg een bepaalde impact ('ernst')
      • Een risico wordt vaak uitgedrukt in termen van de combinatie met de gevolgen van een voorval (waarbij rekening wordt gehouden met wijzigende omstandigheden) en van de waarschijnlijkheid ervan 
    • Een beoordeling maken van de impact
      • Vergelijkingsproces van de resultaten van de risicoanalyse met de risicocriteria om te bepalen of het risico en/of het belang ervan aanvaardbaar of toelaatbaar zijn 
  3. Evaluatie en behandeling van de risico’s 
    • Identificatie van de organisatorische, operationele en technische veiligheidsmaatregelen die al zijn genomen om de betrokken asset te beveiligen 
    • Identificatie van de bijkomende organisatorische, operationele en technische veiligheidsmaatregelen om de veiligheid te versterken 
    • Het resterende risiconiveau evalueren. Ligt dit op een voor uw organisatie aanvaardbaar niveau?
    • Inzake risicobeheer kan een onderscheid worden gemaakt tussen het 'inherente' en het 'resterende' risico. Het 'inherente' risico verwijst naar de waarschijnlijkheid van een negatieve impact wanneer er geen beschermingsmaatregelen worden genomen. Het 'resterende' risico verwijst daarentegen naar de waarschijnlijkheid dat er een negatieve impact is, ondanks de maatregelen die werden genomen om het (inherente) risico te beïnvloeden (beperken). De analyse van het resterende risico zal nuttig zijn om de te plannen acties/maatregelen te bepalen en te ontwikkelen.  
  4. Implementatie van de controles
  5. Monitoring: de implementatie van de maatregelen & van de risico’s evalueren
  6. De risicoanalyse verrijken met nieuwe assets (punt 1 herhalen)

Uw risicoanalyse is een dynamisch element dat voortdurend bijgewerkt moet worden in het licht van incidenten, wijzigingen van de verwerking, onderhoud van de tools, wijziging van de essentiële assets etc.

Welke methode gebruiken?

Een mogelijke methode van risicoanalyse is de 'Geoptimaliseerde Methode voor Risicoanalyse CASES' ('Méthode optimisée d'analyse des risques CASES' of MONARC). Een meer gedetailleerde benadering vindt u ook in de ISO 27005:2011-norm.

Uw risicoanalyse kan heel eenvoudig zijn, maar net zo goed heel gedetailleerd. Alles hangt af van de omvang van uw organisatie, de complexiteit van de projecten en de gevoeligheid van de gegevens die u verwerkt. Onderschat het werk niet: zelfs als een project eenvoudig lijkt, kunnen de risico’s die eraan verbonden zijn, groot zijn. Er is dus geen evenredigheidsverband tussen de omvang van het project en de risico’s die eraan verbonden zijn. Om de correctheid en de volledigheid van uw risicoanalyse na te gaan, laat u ze best controleren door verschillende leden van uw organisatie. 

Over het algemeen staat het elke organisatie vrij de methodologie te kiezen die ze wenst te gebruiken, op voorwaarde dat die voldoet aan een aantal minimumkenmerken van vertrouwelijkheid en objectiviteit.

Het resultaat van uw risicoanalyse zal uw veiligheidsplan zijn. Hiertoe moet u prioritair de veiligheidsmaatregelen vastleggen die u wil doorvoeren om te komen tot een implementatieplan dat de directie kan goedkeuren.