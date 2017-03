Hier is onze leidraad voor het uitvoeren van een risico-inventarisatie, dat ervoor zorgt dat uw systeem effectief wordt beschermd.

1. Voorbereiding

De risicomanagementprocedure is het eenvoudigst te implementeren als daar de juiste mensen bij betrokken worden. Er moet een adviescommissie worden ingesteld met daarin vertegenwoordigers van risicovolle activiteiten en van mensen die kunnen weten hoe deze risico's in bedwang te krijgen.

Checklists voor een veiligheidsrisicoanalyse en een audit zijn nuttige hulpmiddelen om de risico's te beoordelen. Webbased hulpmiddelen bieden meer geavanceerde mogelijkheden om deze ook te berekenen.

2. Gegevens verzamelen

Iedere risicoanalyse begint met een beoordeling van de huidige infrastructuur. Zowel van de hard- als de software moet een sterkte-zwakteanalyse gemaakt worden.

Door de organisatie in kaart te brengen en de resultaten ter beoordeling naar de IT-afdeling te sturen worden bedrijfsmiddelen met veiligheidsrisico's geïnventariseerd en beoordeeld.

De resultaten zullen de basis vormen van een nieuw onderzoek over het doel, de reikwijdte, gegevensstromen en verantwoordelijkheden die in de risicoanalyse worden verwacht.

3. Kwetsbaarheidsanalyse

Ieder potentieel onderkend risico vereist een gedetailleerd inzicht in de dreiging. Het gebruik van op de realiteit gebaseerde scenario's' is een effectieve manier om de waarschijnlijke consequenties voor een organisatie te laten zien.

Voor de zwakke punten die als risicogebieden moeten worden aangeduid, dient door de afdeling IT met zowel geautomatiseerde als handmatige hulpmiddelen een kwetsbaarheidsanalyse te worden uitgevoerd.

Uit de analyse moeten de huidige veiligheidstoestand die de bescherming waarborgt en alle partieel ongedekte hiaten blijken.

4. Risicoanalyse

Voor elke vastgestelde zwakke plek is een plan van aanpak nodig, om ze zo tegen mogelijk ernstige gevolgen te beschermen.

De specifieke kwetsbaarheid, de dreiging die er vanuit gaat en de kans dat het gebeurt moeten voor ieder specifiek gebied in zijn geheel bestudeerd worden.

Zaken waarop gelet moet worden zijn de kans en de omvang van schade door ongewenste toegang tot de systemen en de informatie die zij verwerken.

5. Aanbevelingen en beoordeling per afdeling

De uiteindelijke aanbevelingen moeten vervolgens in een rapport worden verwerkt en met alle belanghebbenden worden gedeeld. Het rapport bevat de resultaten van de analyse en het strategisch plan van aanpak.

Van iedere afdeling die het rapport ontvangt wordt verwacht dat zij de risico's die in het rapport beschreven staan bestudeert. Afhankelijk van de aard van het bedrijf en de specifieke risico's moet zij vervolgens een eigen strategie bepalen om de gevaren te verminderen of te voorkomen.

6. Risicobeperkingsplan

De strategie is alleen effectief als deze geïntegreerd is in een risicobeperkingsplan van de afdeling die haar heeft opgesteld.

In dit plan moet een tijdlijn opgenomen zijn die bij de uitvoering van het risicobeperkingsplan gevolgd wordt. Zodra opgesteld moet het plan ter beoordeling naar de IT-afdeling gestuurd worden.

7. IT-beoordeling

Het IT-team moet het risicobeperkingsplan bestuderen om ervoor te zorgen dat het allesomvattend en doeltreffend is. Ieder onderdeel in het plan dient te worden beoordeeld en goedgekeurd.

Indien nodig kunnen dan toevoegingen of aanpassingen worden doorgevoerd.

8. Implementatie

Het uiteindelijke risicoanalyseprotocol is een handleiding voor het vaststellen van de reactie op en beheersen van de risico's. Hiermee worden de mogelijkheid dat het gebeurt en de gevolgen als het gebeurt uitgesloten.

De gevolgen voor derden zoals verzekeringsmaatschappijen en garanties moeten ook in het beleid zijn opgenomen. Iedere afdeling is verantwoordelijk voor het toezicht op de naleving ervan en dient minstens eenmaal per jaar haar bevindingen en eventuele nieuwe risico's bij systeemaanpassingen te bespreken.

9. Onderhoud

Een proactieve benadering van risicomanagement vormt de meest effectieve barrière voor bedreigingen. Alle bedrijfsmiddelen die van IT-besturing afhankelijk zijn, dienen periodiek op hun risicopotentieel beoordeeld te worden.

Het verstandigst is om de risicoanalyse rond het protocol om de twee jaar te herzien, maar het exacte schema voor de analyses moet door de CIO worden vastgesteld. Eventuele aanvullende analyses om nieuwe risico's te beoordelen moeten naar behoefte worden uitgevoerd.