Selecteer een methode voor risicobeheer

Een risicoanalysemethode is te vinden in de 'Méthode Optimisée d’analyse des risk Cases' (Monarc), een meer gedetailleerde aanpak is te vinden in ISO 27005:2011.

Uw risicoanalyse kan heel eenvoudig zijn of zeer gedetailleerd. Alles hangt af van de grootte van uw organisatie, de complexiteit van de projecten en de gevoeligheid van de gegevens die u verwerkt.

Onderschat echter de werkdruk niet, want zelfs als een project eenvoudig lijkt, kunnen de bijbehorende risico's aanzienlijk zijn. Daarom is er geen verband tussen de omvang van een project en de bijbehorende risico's. Om de juistheid en volledigheid van uw risicoanalyse te controleren, moet deze door verschillende mensen in uw organisatie worden geverifiëerd.

Risico's worden:     

Geaccepteerd:

de impact en waarschijnlijkheid is te onbeduidend om verdere actie te ondernemen     

Vermeden:

Op basis van de potentiële impact en waarschijnlijkheid besluit u uw project niet voort te zetten     

Overgedragen:

u contracteert een derde partij om de impact van het risico te behandelen. Dit kan een verzekering zijn of b.v. een externe dienstverlener     

Gesaneerd:

U implementeert voldoende controles om het risico tot een acceptabel niveau te verminderen

 

Het resultaat van uw risicoanalyse is uw beveiligingsplan. U geeft prioriteit aan beveiligingsmaatregelen die moeten worden gesaneerd om een ​​implementatieplan te hebben dat door het management kan worden goedgekeurd.

Kwalitatieve IT-risicobeoordeling

Kwalitatieve risicobeoordeling is op een appreciatie gebaseerd. Het is gebaseerd op oordeelsvorming om risico's te categoriseren op basis van waarschijnlijkheid en impact en gebruikt een score om de risico's te beschrijven:    

  •  laag - het is onwaarschijnlijk dat dit optreedt of uw bedrijf beïnvloedt     
  • gemiddeld - kan optreden en impact hebben     
  • hoog - waarschijnlijk en met een aanzienlijke impact op uw bedrijf

U kunt bijvoorbeeld iets classificeren als 'met grote waarschijnlijkheid' dat u meerdere keren per jaar verwacht. U doet hetzelfde voor potentiële kosten / impact

bijvoorbeeld:     

  • laag - zou tot een half uur productie verliezen     
  • gemiddeld - zou leiden tot volledige uitschakeling gedurende ten minste drie dagen     
  • hoog - zou onherroepelijk verlies voor het bedrijf veroorzaken

 

Kwantitatieve IT-risicobeoordeling

Kwantitatieve beoordeling meet het risico met behulp van geldbedragen. Het maakt gebruik van wiskundige formules om u de waarde te geven van verwachte verliezen voor een bepaald risico, gebaseerd op:     

  • de activawaarde     
  • de frequentie van het optreden van risico's     
  • de waarschijnlijkheid van bijbehorend verlies

In geval van een server storing, zou kwantitatieve beoordeling betrekking hebben op:     

  • de kosten van een server of de inkomsten die deze genereert     
  • hoe vaak crasht de server    
  • het geschatte verlies elke keer dat het crashte

 

Op basis van deze waarden kunt u verschillende sleutelberekeningen uitwerken:     

éénmalige  verliesverwachting: kosten die u zou maken als het incident één keer voorkomt    

waarschijnlijkheid  - hoe vaak per jaar kunt u dit risico verwachten     

jaarlijkse verliesverwachting - de totale risicowaarde in de loop van een jaar

Deze monetaire resultaten kunnen u helpen voorkomen dat u te veel tijd en geld besteedt aan het verminderen van verwaarloosbare risico's. Als het bijvoorbeeld onwaarschijnlijk is dat een dreiging zich voordoet of weinig of niets kost om te verhelpen, vormt dit waarschijnlijk een laag risico voor uw bedrijf. Als het echter waarschijnlijk is dat uw belangrijkste IT-systemen worden bedreigd, en het kan duur zijn om dit op te lossen of uw bedrijf ongunstig kan beïnvloeden, moet u dit als een hoog risico beschouwen.

Misschien wilt u deze risico-informatie gebruiken om een ​​kosten-batenanalyse uit te voeren om te bepalen welk investeringsniveau een risicobehandeling de moeite waard maakt. Houd er rekening mee dat kwantitatieve risicomaatregelen alleen zinvol zijn als u over goede gegevens beschikt. Het is mogelijk dat u niet altijd over de nodige historische gegevens beschikt om de waarschijnlijkheid en kostenramingen van IT-gerelateerde risico's te berekenen, omdat deze zeer snel kunnen veranderen.