Documentatie - Risicoanalyse

De voorbereiding

Het is zeer belangrijk om te beseffen dat kennis over welke risico’s een organisatie loopt niet kan voortkomen uit een hulpmiddel of een methodiek, maar slechts uit de mensen die aanwezig zijn bij de risicoanalyse. Zij zijn namelijk degene die weten wat er speelt. Een risicoanalyse is niet meer dan een manier om deze kennis op een gestructureerde manier te verzamelen. De risicoanalyse valt of staat bij de selectie van de deelnemers. Ga dus opzoek naar mensen die goed zicht hebben op wat echt belangrijk is voor de organisatie, maar daarbij nog voldoende zicht hebben op wat er speelt op de werkvloer. Ga opzoek naar mensen die verantwoordelijk zijn voor de zaken die binnen de gekozen scope vallen, mensen die direct de nadelen ondervinden van problemen die zich binnen de gekozen scope voordoen. Realiseer je daarbij dat personen die goed zijn in het inschatten van de kans op een incident, niet per se de personen die ook de juiste impact ervan kunnen inschatten en andersom. Vaak zijn mensen uit de business beter in het inschatten van de impact en techneuten beter in het inschatten van de kans.

Voorafgaand aan de risicoanalyse dient aan de waarden voor impact een bedrag gekoppeld te worden. Dit is in RAVIB niet vast ingevuld, omdat dit voor iedere organisatie anders is. Een schadepost van €10.000,- kan voor een kleine onderneming een groot bedrag zijn en voor een multinational een niet noemenswaardig bedrag. Deze waarden kunnen het beste bepaald worden met iemand met gedegen kennis van de financiële situatie van de organisatie. Hierbij is het belangrijk om te beseffen dat deze waarden niet bedoeld zijn om een schadebedrag aan de uiteindelijke risico's te koppelen, maar slechts om de impact van een risico goed te kunnen plaatsen ten opzichte van de impact van de andere risico's. De impact hoeft per risico dan ook niet met een berekening of harde cijfers aangetoond te worden. Een goed onderbouwd gevoel is voldoende. Een goed overwogen impact is ook belangrijk om een risicoanalyse op een later moment te kunnen herhalen en de resultaten te kunnen vergelijken met de eerder uitgevoerde analyse.

Een eerste bijeenkomst

Een goede risicoanalyse doe je niet in tien minuten. De daarvoor benodigde tijd ligt meer in de buurt van een halve dag. De daadwerkelijk benodigde tijd is uiteraard afhankelijk van de gekozen scope, het aantal deelnemers en hun ervaring met het uitvoeren van een risicoanalyse. Het is daarom belangrijk dat de deelnemers goed beseffen wat er van hen verwacht wordt. Spreek met hen het proces door en geef ze een beeld van het soort vragen dat hen te wachten staat. Voer alleen een risicoanalyse uit met mensen die bereid zijn deze hoeveelheid tijd en energie erin te steken, anders is het zonde van de moeite.

Hoewel de scope van de risicoanalyse een proces of een afdeling kan zijn, voer je de risicoanalyse uit op de daarbij behorende informatie en informatiesystemen. Want hoewel een risico kan voortkomen uit, bijvoorbeeld, een verkeerd ingericht of ontbrekend proces, dient gekeken te worden naar de risico’s ten aanzien van informatie. We hebben het hier ten slotte over informatiebeveiliging en niet over procesbeveiliging.