Hoe Doe Je Een Risicoanalyse – Een Stapsgewijze Handleiding (Gratis Template)

Joanna Kwong
By: Joanna Kwong AVG,Cybersecurity | 2 december

In deze blogpost leggen we uit wat een risicoanalyse is en waarom dit relevant is voor jouw organisatie. Ook bieden we je een eenvoudige stapsgewijze gids aan waarin wordt uitgelegd hoe jij met onze template aan de slag kunt gaan.

Wat is een risicoanalyse?

Een risicoanalyse is een nuttig instrument voor elke organisatie die incidenten wil anticiperen en wil plannen hoe daarbij horende risico’s kunnen worden beperkt. Het omvat het identificeren en analyseren van potentiële gebeurtenissen die een negatieve invloed kunnen hebben op personen, bedrijfsmiddelen of de organisatie. We gebruiken een risicoanalyse om een beter zicht te krijgen op onze risicotolerantie en zodat we er beter op voorbereid kunnen zijn. Bovendien laat een risicoanalyse ons toe om prioriteiten te kunnen stellen op het gebied van beveiligingsmaatregelen.

Bij CyberPilot maken we gebruik van een template om organisaties te helpen bij het uitvoeren van een risicoanalyse op het gebied van informatiebeveiliging. Het is hier gratis te downloaden.

Smart CTA Risk NL

Een risicoanalyse kan het waard zijn voor jouw organisatie door:

  • Kwetsbaarheden te identificeren

  • Een duidelijk overzicht te verschaffen

  • Betere processen en vereisten te bepalen, waardoor beter gepland kan worden

  • Due diligence te documenteren

Het kan ook verbanden leggen tussen theoretische risico’s en de waarschijnlijkheid voorspellen dat deze in het echt zouden plaatsvinden.

Op deze manier leer je beter begrijpen hoe best middelen toe te wijzen om de risico’s te voorkomen. Hieronder geven we twee voorbeelden:

Risico 1:

Een tornado treft het hoofdkwartier van het bedrijf en beschadigt alle IT-apparatuur.

Hoewel dit zeker een risico is dat kan voorkomen en een grote negatieve impact kan hebben, is het onwaarschijnlijk dat dit gebeurt als er over het algemeen geen tornado’s voorkomen in Nederland. Daarom besteed je beter je inspanningen aan het bedenken van oplossingen voor andere risico’s.

Impact: GROOT

Waarschijnlijkheid: LAAG

Risico 2:

Een medewerker reist met IT-apparatuur van het bedrijf die vervolgens beschadigd raakt op de bagageband.

Hoewel het verlies van de IT-apparatuur van één personeelslid niet catastrofaal is voor het bedrijf, is de kans groter dat dit gebeurt als het personeel regelmatig reist. Daarnaast is de impact van het verlies van de specifieke apparatuur mogelijk niet alleen beperkt tot de kosten van de laptop, smartphone enz., maar kan dit potentieel ook leiden tot gegevensverlies.

Impact: GEMIDDELD

Waarschijnlijkheid: GEMIDDELD

Wij raden aan wat tijd te besteden aan het verkleinen van dit risico.

Uiteindelijk kunnen risicoanalyses je helpen elke storm te doorstaan, of er in ieder geval beter op voorbereid te zijn.

Risicoanalyse voor informatiebeveiliging

Voor informatiebeveiliging kunnen we beginnen met het kijken naar potentiële gebeurtenissen die jouw organisatie negatief zouden kunnen beïnvloeden. Een aantal voorbeelden:

Je kan aan jezelf de vraag stellen:

  • Wat betekenen deze gebeurtenissen voor mijn bedrijf?

  • Welke bedrijfsmiddelen en activa zou ik verliezen bij deze gebeurtenis en bij het trachten van het oplossen van de problemen?

  • Wat zouden we doen als een van deze gebeurtenissen nu, op dit moment zou plaatsvinden?

Hieronder we bespreken hoe je je eigen risicoanalyse kan creëren met onze gratis template.

Hoe kan je een risicoanalyse creëren

Je kan onze template hier downloaden en meevolgen.

image-2

 

Stap 1 – Creëer een schaal voor de risicobeoordelingsmatrix

Allereerst stellen we de schalen vast die we kunnen gebruiken voor onze risicobeoordeling. In onze template kan je dit zien in het eerste tabblad.

image-3

In de template categoriseren we de risiconiveaus als laag, gemiddeld of hoog. Eén manier om naar de risiconiveaus te kijken is de ernst van de gevolgen die het risico voor jouw organisatie met zich zou meebrengen. Hieronder definiëren we wat ieder risiconiveau zou kunnen inhouden als we het hebben over IT-systemen.

Laag risico

  • Het systeem kan eenvoudig worden hersteld

  • Het systeem levert een niet-essentiële dienst

Gemiddeld risico

  • Het systeem levert een standaarddienst

Hoog risico

  • Het systeem levert een essentiële dienst voor de algehele organisatie

Daarnaast kan je van deze gelegenheid gebruikmaken om met je organisatie te bespreken hoeveel middelen moeten worden ingezet om deze problemen op te lossen als ze zich ooit voordoen. Onze template biedt je de mogelijkheid om de potentiële gevolgen in te vullen. Het kan bijvoorbeeld gaan om financiële gevolgen, maar ook om tijdsgerelateerde gevolgen: hoeveel tijd zou je nodig hebben om dit probleem op te lossen?

Aangezien de risico’s en gevolgen verschillen van organisatie tot organisatie, raden wij je ten zeerste aan om de risicobeoordelingsmatrix aan te passen aan je eigen behoeften. Als je bijvoorbeeld deel uitmaakt van een bedrijf waarvan de inkomsten uitsluitend afkomstig zijn van de e-shop op de website, dan wordt het crashen van de website als een veel groter risico beschouwd. Als je website daarentegen enkel dient als landingspagina zonder al te veel functionaliteiten of gevolgen voor de dagelijkse activiteiten, dan vormt het crashen van de website een kleiner risico omdat de gevolgen kleiner zijn.

Risk Chart

Stap 2 – begin met het inventariseren van al je bedrijfsmiddelen

Vul de risicobeoordeling in

Om de risicobeoordeling te voltooien, bieden we verschillende kolommen om in te vullen:

  • Bedrijfsmiddellen

  • Korte omschrijving

  • Afdeling

  • Dreiging

  • Kwetsbaarheid

  • Ingevoerde maatregelen

  • Impact

  • Waarschijnlijkheid

  • Voorstellen voor betere beveiliging

Bedrijfsmiddelen

Wanneer we het in deze context over bedrijfsmiddelen hebben, bedoelen we meestal middelen die verband houden met de ICT in je organisatie. Dit kan hardware omvatten, zoals laptops en mobiele apparaten. Daarnaast kan het gaan om de ICT-diensten die de organisatie aanbiedt, zoals interne communicatiesystemen (bijv. Microsoft Teams of Slack) of klantgerichte diensten zoals de bedrijfswebpagina. Behalve ICT-middelen hebben we ook personeel opgenomen als bedrijfsmiddel, omdat zij veel invloed hebben op de staat van de informatiebeveiliging. Als je meer wil weten over het belang van je medewerkers voor informatiebeveiliging, kan je er over lezen in ons e-book.

Ten slotte, als je een vorm van asset management (middelenbeheer) hebt geïmplementeerd is het heel gemakkelijk om dat document ter referentie te gebruiken. Je hoeft niet alle middelen op te sommen, maar je kan de belangrijkste of meest gebruikte kiezen om mee te beginnen.

Korte omschrijving

Hoewel deze kolom voor zich spreekt kan hij zeer nuttig zijn om te definiëren wat je net bedoelt met het vermelde bedrijfsmiddel. Wanneer wij bijvoorbeeld personeelsleden als bedrijfsmiddel opvoeren, kunnen wij dit definiëren als zowel fulltime- als parttime-werknemers. Je kan ook definiëren wie hier niet onder valt, bijvoorbeeld consultants, die als externe adviseurs van de organisatie optreden, maar officieel geen deel uitmaken van de organisatie.

Afdeling

Het definiëren van de afdeling is handig omdat het de onderneming voorbereidt op het moment waarop de problemen moeten worden opgelost. Ten eerste kan dit je een beter begrip of een opfrissing geven van de verantwoordelijkheden van elke afdeling of onderafdeling. Ten tweede helpt het de organisatie sneller te reageren wanneer er sprake is van een risico.

Wij raden echter aan niet te veel tijd te besteden aan deze kolom, omdat afdelingen gemakkelijk kunnen overlappen en dit in de loop der tijd kan veranderen. We raden aan een algemeen begrip op te doen en flexibel te zijn voor wanneer het tijd wordt om het probleem op te lossen.

Stap 3 – som dreigingen en kwetsbaarheden op

Dreiging

De dreiging is potentiële schade die kan worden toegebracht aan een bedrijfsmiddel, wat gevolgen kan hebben voor de organisatie. Als er in het verleden inbreuken op de beveiliging zijn geweest of incidenten hebben plaatsgevonden, kan je die in deze kolom vermelden. Zo kunnen bijvoorbeeld ransomware of ongeoorloofde toegang tot vertrouwelijke gegevens als een dreiging worden beschouwd. Hierna bespreken we kwetsbaarheden die samenvallen met deze dreigingen.

Om een voorbeeld te geven: de dreiging van ransomware is aanwezig wanneer medewerkers voor hun werk op websites surfen. Zij kunnen onvermoed op een nepwebsite stuiten en per ongeluk ransomware installeren, waardoor de toegang tot de bestanden en computer van de organisatie wordt geblokkeerd totdat zij de cybercriminelen betalen.

Kwetsbaarheid

Kwetsbaarheden kunnen worden omschreven als de reden waarom dreigingen zich voordoen. In het geval van ransomware kan dat bijvoorbeeld zijn omdat het personeel onvermoed op een valse website stuit en per ongeluk ransomware installeert. Wanneer het aankomt op ongeoorloofde toegang tot vertrouwelijke gegevens kan het zijn dat iemand tijdens een videogesprek is vergeten enkele vensters te sluiten en de klant per ongeluk interne communicatie te zien heeft gekregen.

Dit gedeelte is niet bedoeld om de schuldigen aan te wijzen, maar om theoretische scenario’s en de redenen waarom een dreiging zich zou kunnen voordoen te bedenken. Door te begrijpen hoe dreigingen zich voordoen, kunnen we a) begrijpen hoe groot de dreiging is, b) de waarschijnlijkheid dat deze zich voordoet, en c) manieren bedenken om deze proactief te vermijden. Het begrijpen en vermijden van dergelijke bedreigingen is ook een goede manier om ervoor te zorgen dat je aan de AVG blijft voldoen.

Ingevoerde maatregelen

In dit gedeelte beschrijf je of je momenteel al maatregelen hebt genomen om dit risico te vermijden. Als je bijvoorbeeld al eerder hebt meegemaakt dat belangrijke bestanden zoekraakten en dat je daarom hebt verplicht om een cloud-opslag te gebruiken voor back-ups, dan is dat een ingevoerde maatregel.

Stap 4 – evalueer risico’s

Impact

Na het opschrijven van de dreigingen kan je beter inschatten wat en hoe groot de gevolgen zijn als de dreigingen zouden plaatsvinden. Dit is uiteraard een subjectieve beoordeling. Daarom bespreek je dit best met je collega’s. Je zal merken dat je vaak een verschillende kijk hebt op de impact van de gevolgen van een bepaalde dreiging. Misschien zal de marketingafdeling een ‘GROTE’ impact verbinden aan iets wat gebeurt met de bedrijfswebsite, aangezien dat de verkoop kan beïnvloeden. De IT-afdeling zal het echter anders zien, omdat dit geen invloed heeft op de dagelijkse gang van zaken binnen het bedrijf. Daarom is het belangrijk om veel verschillende perspectieven te raadplegen.

Waarschijnlijkheid

Niet alle dreigingen zijn gelijk. Sommige komen waarschijnlijk een paar keer per maand voor, terwijl andere misschien slechts eens in de paar jaar een probleem vormen. Door de waarschijnlijkheid van een dreiging te beoordelen, kan je beter prioriteiten stellen en misschien een aantal dreigingen weglaten die zeer onwaarschijnlijk zijn.

Voorstellen voor betere beveiliging

Nadat je de andere onderdelen van de template hebt ingevuld, heb je een beter idee gekregen van elk bedrijfsmiddel en welke risico’s daarmee verbonden zijn. Vanuit die conclusie kan je dit onderdeel gebruiken om verdere voorstellen te noteren voor een verbeterde beveiliging.

Je risicobeoordeling is voltooid!

Wanneer elk onderdeel is ingevuld met de bedrijfsmiddelen en de dreigingen die je kunt bedenken, heb je een beter overzicht van de risico’s. Aan de hand van de risicoanalyse kan je zien welke dreigingen waarschijnlijker zijn en wat de mogelijke gevolgen zijn als deze zich voordoen. Natuurlijk kun je dit document best bij de hand houden en regelmatig bijwerken.

Wij hopen dat deze blog jou heeft geholpen te begrijpen wat een risicoanalyse is en hoe je er zelf een kunt uitvoeren. In feite gebruiken wij deze template zelf om veel organisaties te helpen die een beter inzicht willen krijgen in de risico’s voor de informatiebeveiliging van hun IT-middelen.

Als je hulp wilt bij het samenstellen van jouw risicoanalyse, gaan we daar graag met je over in gesprek. Download onze template hier en neem contact met ons op via info@cyberpilot.io.