Risico Analyse

Risico Management neemt in populariteit gestaag toe. Daarmee ook het uitvoeren van risico inventarisaties. Regelmatig word ik geconfronteerd met vragen betreffende het proces rond Risico Analyse. In onderstaande tracht ik hier enige duidelijkheid in te geven.

Het Risico Analyse proces kent de volgende stappen:

Stap 1: Samenstelling participanten

De samenstelling van het analyseteam bepaalt voor een groot deel de kwaliteit van de uitkomst. Een eenzijdige samenstelling resulteert in een zekere ‘blindheid’ (voorbeeld: samenstelling enkel techneuten dan resultaat: dreigingen en maatregelen voornamelijk technisch van aard).
RA stap1

Stap 2: Schets oplossing

Alvorens te starten met de werkelijke identificatie van de dreigingen / risico’s dienen de deelnemers een juist en volledig beeld te hebben van de oplossing / omgeving in zowel technologisch, organisatorisch als procedureel perspectief.
RA stap2

Stap 3: Identificeer dreigingen

Elke participant schrijft alle voor hem relevante dreigingen op een gele post-it plakker. De dreigingen (post-it plakkers) worden door de facilitator opgehaald en geclusterd tot meer generieke dreigingen. Deze generieke dreigingen worden in een tabel geplaatst en gepresenteerd aan de groep. Bij het identificeren van dreigingen kan er gebruik gemaakt worden van een dreigingscatalogus, dit ter inspiratie.
RA stap3

Stap 4: Kwalificeer dreigingen

Per geïdentificeerde dreiging wordt door alle participanten afzonderlijk de kans en impact bepaald. Deze worden per dreiging op een gele post-it plakker geschreven: de kans geeft de frequentie aan waarop deze dreiging kan optreden, de impact geeft de schade aan als deze dreiging realiteit wordt. De kans / impact schatting (post-it plakkers) worden door de facilitator opgehaald. Het gemiddelde wordt opgenomen bij de dreiging / risico en wederom gepresenteerd aan de groep. Opmerking: Bij Kans en Impact bepaling bestaat er de mogelijkheid dat deze zeer uiteenlopend zijn. Dit dient in de groep te worden bediscussieerd. Consensus heeft de voorkeur, als dit niet lukt dan gelden de meeste stemmen.

Stap 5: Plot dreigingen

Om in één overzicht te kunnen bepalen wat de onderlinge verhouding van de geïdentificeerde dreigingen zijn, worden de dreigingen geplot op de Risico Analyse Matrix. Hierdoor wordt meteen duidelijk waar de grootste risico’s liggen. Aanpak: De facilitator plot de dreigingen conform de vastgestelde kans / impact op de Risico Analyse Matrix. Deze wordt gepresenteerd aan de groep. De groep krijgt nu een duidelijk overzicht van de onderlinge verhoudingen van de dreigingen / risico’s en dus waar ligt de grootste dreiging.
RA stap5

Stap 6: Mitigeer dreigingen

Voor dreigingen / risico’s die zich buiten het acceptabele (groene) kwadrant bevinden wordt gekeken of er maatregelen genomen kunnen worden waardoor deze gemitigeerd worden naar een acceptabel niveau. Aanpak: Voor alle dreigingen / risico’s die zich buiten het acceptabele (groene) kwadrant bevinden worden (reeds bestaande dan wel geadviseerde nieuwe) maatregelen door de participanten benoemd. Per maatregel wordt ook een inschatting afgegeven qua kosten / tijd om deze te implementeren. Vervolgens wordt het restrisico bepaald in het geval de maatregelen geïmplementeerd worden. Als het restrisico nog steeds onacceptabel is, dient deze gewoon weer in de tabel ‘Dreiging / Risico’ opgenomen te worden. Opmerking: Hier hoeft niet per se rekening gehouden te worden met reeds genomen maatregelen, immers deze komen toch wel aan de orde bij het mitigeren van de dreigingen. In de template wordt per risico een cel opgenomen voor ‘Reeds bestaande maatregelen’ en ‘Geadviseerde maatregelen’.

Stap 7: Uitwerken en opleveren Risico Analyse

De uitkomst van de verschillende stappen worden in een einddocument samengevoegd en aangeboden aan de eigenaar / opdrachtgever / verantwoordelijke. Aanpak: De facilitator vat de uitkomsten samen in een Risico Analyse document. De uitgewerkte Risico Analyse wordt naar de participanten gestuurd. Commentaar van participanten wordt verwerkt en de definitieve versie wordt vastgesteld. Pas na accordering van de participanten wordt het document en dus haar uitkomsten aangeboden als advies aan de eigenaar / opdrachtgever én de verantwoordelijke dienstverlener.

Advertenties

Over Ramses Sloeserwij

Visionairy on Security ● Cybercrime ● Cyberwar ● Architecture ● Identity & Access Management ● Compliance ● Risk Management ● Governance ● Mobile Security
Dit bericht werd geplaatst in Risico Management, Security en getagged met , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s