Risicomanagement van complexe informatie? Houd het simpel.

Een serie blogs over IT & risicomanagement.

In mijn werk kom ik bij vele soorten organisaties over de vloer. Groot en klein, complex of simpel, politiek gevoelig of juist recht door zee. Al deze verschillende organisaties hebben één ding gemeen: ze nemen risico's, want dát is ondernemen! Je investeert in een product of dienst omdat je erin gelooft en kansen ziet. Het grootste risico dat je loopt, is dat je je investering kwijtraakt…

Door Niels Huijpen. Hij is consultant bij adviesbureau Charco & Dique, en was toezichtspecialist bij de AFM en IT Auditor bij de Gemeente Amsterdam.

Risico's beheersen simpel?

Investeringen verliezen accepteer je natuurlijk niet en daarom monitor je nauwkeurig de ontwikkeling van je risico's. Daar waar het risico te groot wordt, tref je maatregelen die de impact mitigeren of de kans dat het risico zich voordoet verkleinen. Periodiek zoals jaarlijks, of wanneer een speciale situatie zich voordoet, check je of de inschatting van de risico's nog volledig en juist is. En natuurlijk of de mitigerende maatregelen nog op niveau zijn en in de praktijk gewerkt hebben. Zo niet, dan voer je de verbeteringen door.

De risicocategorieën van Information Security Risk Management

Helaas is het proces in de praktijk nooit zo simpel als hier beschreven. Het is echter wel de essentie van alle soorten risicomanagement en zo ook bij Information Security Risk Management. Alleen de 'route' van de impact tot het mogelijke verlies van investeringen is langer en de materie (in dit geval de technologie) complexer.

Information Security Risk Management gaat vaak uit van drie categorieën van risico's waar de informatie, systemen, applicaties en processen in geclassificeerd kunnen worden. Dit zijn Beschikbaarheid, Integriteit en Vertrouwelijkheid, ook wel de BIV-criteria genoemd. In de Engelstalige literatuur wordt ook wel gesproken over de 'CIA triad', wat voor Confidentiality, Integrity and Availability staat.

Beschikbaarheid, integriteit en vertrouwelijkheid

Beschikbaarheid gaat in op de informatie die nodig is rondom tijdigheid, robuustheid en continuïteit. Integriteit van informatie kent volgens de definitie een zevental kenmerken, te weten juistheid, volledigheid, geldigheid, authenticiteit, onweerlegbaarheid, nauwkeurigheid en controleerbaarheid. Voor elk van deze elementen zal beredeneerd moeten worden hoe de informatie geborgd is tegen risico's op al deze punten. Tot slot bestaat vertrouwelijkheid uit exclusiviteit en privacy. In het kort zal men hier na moeten gaan of de informatie goed is afgeschermd tegen onbevoegden en of er correct omgegaan wordt met persoonsgegevens (in naleving van de AVG).

Discussie over de impact van risico's

Om de link met mogelijke verliezen en de risk appetite van de business te borgen, wordt binnen de BIV-categorieën een aantal niveaus (laag/middel/hoog/kritiek) gedefinieerd. Deze geven de omvang van de impact weer. Mitigerende maatregelen zijn namelijk alleen nodig  wanneer de verliezen onacceptabel zijn.

De financiële administratie mag bijvoorbeeld best een korte tijd niet beschikbaar zijn. Klanten zullen het waarschijnlijk niet heel erg vinden hun factuur een week later te ontvangen. Wel is het belangrijk dat het juiste bedrag op de factuur komt te staan. Toch is het ook weer niet zo dat een foutief bedrag direct impact heeft op het voortbestaan van het bedrijf. Wellicht is het ernstiger als de factuur bij de verkeerde klant terecht komt. Het is in ieder geval belangrijk dat niet iedereen dergelijke gegevens mag invoeren of de facturen mag versturen. Een dergelijke discussie over mogelijke impact als er iets verkeerd gaat, bepaalt de classificatie. Dit is niet alleen de exercitie van de Information Security Risk Manager, maar een samenwerking met de business.

De complexiteit van dit proces en classificatie neemt toe naarmate de organisatie groter en complexer wordt. Een IT of Information Security Risk Manager met een goed gevoel voor pragmatiek kan goud waard zijn. Mijn tip is om 'door de risico's heen' te blijven kijken en de impact simpel te blijven verwoorden. Wat voor soort verstoring treedt er op in het (primaire) bedrijfsproces? Dat is wat een ondernemer wil horen en waar directies gevoelig voor zijn, en dat bepaalt hoeveel geld er besteed mag worden aan een mitigerende maatregel.

Risicomanagement zal helaas nooit simpel worden. Maar door de risico's simpel te verwoorden gaan ze tot de verbeelding spreken en wordt het eenvoudiger risicoclassificaties te maken.

De blogs in deze serie:

• Noors staatsfonds gehackt: lessons learned?
• Risicomanagement van complexe informatie? Houd het simpel.