Nu een groot gedeelte van ons leven digitaal is, is onze digitale veiligheid ook een stuk belangrijker geworden. Natuurlijk wil je zorgen dat al je informatie veilig is, maar waar moet je dan beginnen? Bij het in kaart brengen van je informatiebeveiliging (IB) risico’s, aan de hand van een risicoanalyse. Waar liggen de kwetsbaarheden binnen je bedrijf? Heb je de juiste processen, procedures en anderen maatregelen om je veiligheid te borgen? Tijd om antwoord te krijgen op dat en nog veel meer vragen.
Hoe Maak ik een risicoanalyse?
Je wil dus aan de slag met een risicoanalyse voor informatiebeveiliging. Uit eigen ervaring weten wij: dat is een hele klus! Maar ontzettend nuttig om het juiste IB-beleid te kunnen realiseren.
Je kunt je risicoanalyse uitvoeren op twee niveaus: strategisch en operationeel. Strategisch is meer naar buitengericht, denk bijvoorbeeld aan een SWOT-analyse. Operationeel is een risicoanalyse op procesniveau. Goed om te weten: in deze blog hebben we het over een risicoanalyse op procesniveau.
Tip: Het is belangrijk dat het een multidisciplinair team is zodat mensen met een verschillende blik naar de risico’s kunnen kijken.
Tip: Brainstorm zonder beperkingen! Het is makkelijk om snel in één richting te denken en risico’s over het hoofd te zien. Maak gebruik van de verschillende kennisgebieden van je team en vergeet niet ook risico’s te noemen die al gedekt zijn. Bekijk pas na de brainstorm de ISO 27001 norm om nu nog niet te veel gestuurd te worden.
Tip: Met de ISO 27001 norm weet je precies wat er gevraagd wordt voor certificering op het gebied van informatiebeveiliging (zoals een goede risicoanalyse ;)), maar kijk ook eens naar de ISO 27002. Hierin staat handige verdieping en best practices om gebruik van te maken tijdens de implementatie.
Tip: Probeer alle mogelijke oorzaken en gevolgen te noemen en stop dus niet als je er één “ingevuld” hebt.
Tip: Omdat het belangrijk is om al je processen en bijbehorende risico’s op één plek te hebben, is het handig om dat met software te doen. Zo is het voor iedereen toegankelijk en weten alle medewerkers die werken met een bepaald proces waar ze op moeten letten om de risico’s te beperken
Tip: De maatregelen worden verdeeld in de categorieën technisch of organisatorisch. Zo kan je bijvoorbeeld een nieuwe virusscanner aanschaffen maar kan je ook iemand aanwijzen die verantwoordelijk is voor de updates. Vergeet niet dat je vast al veel doet om een aantal risico’s te beheren. Kijk ook naar wat je al doet!
Tip: Daar zijn handige modellen voor! Wij gebruiken bijvoorbeeld deze:
Tip: Niet alleen een heel klein risico kan acceptabel zijn. Het kan ook zo zijn dat iets gewoon te duur is, of te ingewikkeld. Je kan nu eenmaal niet alles verbeteren.
Tip: Zorg dat de eigenaren weten wat er van ze verwacht wordt en waar ze dat terug kunnen vinden.
Tip: Stel jezelf bij het vaststellen van de maatregelen de vragen wie, wat, wanneer?
Tip: Om te kunnen checken of er gedaan is wat er moet gebeuren, moet je eerst zorgen dat er een duidelijk overzicht is van de taken.
Tip: Niet alleen jaarlijks maar ook als er bijvoorbeeld iets veranderd in je processen of organisatie of als er een verbetering doorgevoerd is. Richt een goed dashboard in waar je in een overzicht ziet hoe het ervoor staat met je belangrijkste risico’s.
Je weet nu waar je moet beginnen om je IB op orde te krijgen. Sterker nog, dat weet je niet alleen voor informatiebeveiliging, maar op ieder vlak. Want deze methode is op elke risicoanalyse toe te passen.
Wil je meer informatie over dit onderwerp, of zoek je nog een makkelijke manier om al dit onderzoek en de vervolgstappen in goede banen te leiden? Dan horen we graag van je. We delen graag onze kennis, ook als je gewoon een keer wil sparren!
