Het hoe en waarom van deze tool

Voordat ik mij met risicoanalyses bezighield was het voor mij onduidelijk hoe je nu eigenlijk een risicoanalyse moet uitvoeren. Op internet is weinig bruikbare informatie te vinden en bedrijven die zich daar mee bezighouden, houden om commerciële redenen hun werkwijze geheim. De onduidelijkheid verdween grotendeels toen ik bij een vorige werkgever met behulp van een externe consultant een risicoanalyse liet uitvoeren. Deze consultant maakte gebruik van een Excel sheet waar een lijst van dreigingen in staan, welke gekoppeld zijn aan een of meerdere maatregelen uit de ISO 27002 norm. Door het doornemen van de dreigingen en daarbij aan te geven in welke mate een dreiging voor jouw organisatie van toepassing is, wordt duidelijk welke maatregel voor jouw organisatie relevant is. Hoewel ik de gehanteerde methode goed vind, was ik minder positief te spreken over de invulling. Sommige dreigingen vond ik veel op andere lijken, andere dreigingen vond ik te technisch en ik miste onderwerpen zoals de cloud en BYOD.

Toen ik de externe consultant vroeg waar deze Excelsheet vandaan kwam, was het antwoord "uit de markt". Ik heb wat rondvraag gedaan bij mensen die ik ken en wat oproepen op forums geplaatst om te horen hoe andere organisaties hun risicoanalyse uitvoeren en welke dreigingen en koppelingen zij daarbij hanteren. Ik kreeg vanuit meerdere mensen / organisaties uit Nederland min of meer dezelfde Excelsheet toegestuurd (alleen de layout verschilde), met daarbij de opmerking: "Ik weet niet waar deze Excelsheet vandaan komt en wat de copyright-status is, dus van mij heb je het niet. Maar deze sheet is wat wij gebruiken / gebruikt hebben." Ik vond het zeer opmerkelijk dat blijkbaar veel organisaties hun risicoanalyse uitvoeren met behulp van een tool waarbij niemand weet waar de inhoud vandaan komt. Na wat verder rondvragen en wat onderzoek kwam ik erachter dat deze afkomstig is uit de PD 3005:2002 standaard (PD 3000 serie). Een heleboel organisaties voeren dus blijkbaar hun risicoanalyse uit op basis van een meer dan 14 jaar oude standaard!

Omdat ik het niet juist vind om een risicoanalyse met behulp van een verouderde standaard of een, om commerciële redenen, geheime methode uit te voeren, heb ik besloten om een eigen, moderne aanpak te ontwikkelen en deze voor iedereen gratis beschikbaar te stellen. Het resultaat is deze tool waarbij ik volledig transparant ben in de dreigingen en koppelingen die binnen deze tool gehanteerd worden. Naast positieve feedback heb ik ook de nodige kritische vragen en opmerkingen gekregen. De belangrijkste vraag hierbij was wat garandeert dat mijn keuze in de dreigingen en koppelingen een juiste keuze is. Ik beaam dat dit een terechte vraag is. Echter, het antwoord is "niks". De dreigingen en koppelingen zijn mijn persoonlijke keuze, gemaakt op basis van mijn kennis en ervaring. Maar deze vraag kan ook gesteld worden voor de dreigingen en koppelingen uit de PD 3005 standaard en zelfs die van grote commerciële bedrijven. Het voordeel van mijn aanpak is dat deze transparant is en dat ik open sta voor opmerkingen en eventuele aanpassingen in mijn aanpak. Heb je dus opmerkingen of een voorstel voor een wijziging in de dreigingen of de koppelingen, laat het mij dan vooral weten.

Dat de risicoanalysemethode zoals die door RAVIB geboden wordt niet 100% perfect is, is geen probleem als je begrijpt hoe je de resultaten van een risicoanalyse moet zien en behandelen. Het is niet meer dan een begin van je aanpak voor verbetering van informatiebeveiliging. Informatiebeveiliging is geen project, maar een proces. Dus iets waar je continu mee bezig moet zijn. Is de organisatie waar je de risicoanalyse voor uitvoert meer vertrouwd met het onderwerp informatiebeveiliging en heeft dit onderwerp een goede plek gekregen binnen de organisatie, dan komen de detailinvullingen van de informatiebeveiliging vanzelf. Ondanks dat het 'slechts' een begin is in de aanpak voor informatiebeveiliging, moet het natuurlijk wel een goed begin zijn. Om die reden heb ik meerdere mensen die ik ken uit het informatiebeveiligingswereldje gevraagd om hun kritisch kijk te geven op de werking van deze tool en de dreigingen en de koppelingen die daarin gebruikt worden en daar zijn de nodige verbeteringen en aanvullingen uit voortgekomen. Het is momenteel dan ook een methode waar ik volledig achter durf te staan en waar ik veel positieve reacties over heb ontvangen.

Hugo Leisink