Handleiding

Inleiding

De RAVIB website biedt een gratis hulpmiddel voor de uitvoering van een risicoanalyse voor informatiebeveiliging. Hierbij worden, door middel van het doornemen van een lijst met mogelijke dreigingen, maatregelen uit de ISO 27002 standaard, of een standaard die daarvan is afgeleid, geselecteerd die doorgevoerd kunnen worden om de vastgestelde dreigingen tegen te gaan.

Zo’n hulpmiddel is echter niet veel waard als het niet op de juiste wijze wordt ingezet. Het proces van de risicoanalyse is namelijk belangrijker dan het hulpmiddel dat daarbij ingezet wordt. Om RAVIB op de juiste wijze in te kunnen zetten is deze handleiding geschreven. De beschreven stappen zijn: de voorbereiding; een eerste bijeenkomst; de daadwerkelijke risicoanalyse; het doornemen van de geselecteerde maatregelen en het verwerken van de resultaten.

Deze handleiding is bedoeld voor degene die de risicoanalyse gaat begeleiden. Dit kan bijvoorbeeld een information security officer of een security consultant zijn. Van deze persoon wordt in ieder geval verwacht dat hij/zij voldoende kennis heeft van informatiebeveiliging in het algemeen.

De voorbereiding

De eerste stap die genomen moet worden voordat men kan beginnen aan een risicoanalyse is het bepalen van de scope. Zeker bij grote organisaties is het ondoenlijk om één risicoanalyse voor de gehele organisatie uit te voeren. Het dan verstandiger om meerdere risicoanalyses uit te voeren waarbij je je per risicoanalyse richt op een beperkt onderdeel van de organisatie. Concreet betekent het bepalen van de scope, bepalen welke informatiesystemen je meeneemt in de risicoanalyse. De scope kan bestaan uit de informatiesystemen behorende bij bijvoorbeeld een proces of een afdeling of een om andere reden bij elkaar horende verzameling van informatiesystemen. Wees voorzichtig met het te ruim kiezen van je scope. Het gevaar van een te ruime scope is dat je daardoor niet diep genoeg op belangrijke details ingaat en dus een te oppervlakkig beeld krijgt van de feitelijke risico’s.

Nadat de scope is vastgesteld, dient bepaald te worden met wie de risicoanalyse wordt uitgevoerd. Het is zeer belangrijk om te beseffen dat kennis over risico’s niet kan voortkomen uit een hulpmiddel of een methodiek, maar slechts uit de mensen die aanwezig zijn bij de risicoanalyse. Zij zijn namelijk degene die weten wat er speelt. Een risicoanalyse is niet meer dan een manier om deze kennis op een gestructureerde manier te verzamelen. De risicoanalyse valt of staat bij de selectie van de deelnemers. Ga dus opzoek naar mensen die goed zicht hebben op wat echt belangrijk is voor de organisatie, maar daarbij nog voldoende zicht hebben op wat er speelt op de werkvloer. Ga opzoek naar mensen die verantwoordelijk zijn voor de zaken die binnen de gekozen scope vallen, mensen die direct de nadelen ondervinden van problemen die zich binnen de gekozen scope voordoen. Realiseer je daarbij dat personen die goed zijn in het inschatten van de kans op een incident, niet per se de personen die ook de juiste impact ervan kunnen inschatten en andersom. Vaak zijn mensen uit de business beter in het inschatten van de impact en techneuten beter in het inschatten van de kans. Zorg tevens voor aanwezigheid van het voor de scope verantwoordelijke management, om ervoor te zorgen dat de uitkomst van de risicoanalyse gedragen wordt.

Voorafgaand aan de risicoanalyse dient aan de waarden voor impact een bedrag gekoppeld te worden. Dit is in RAVIB niet vast ingevuld, omdat dit voor iedere organisatie anders is. Een schadepost van €10.000,- kan voor een kleine onderneming een groot bedrag zijn en voor een multinational een niet noemenswaardig bedrag. Deze waarden kunnen het beste bepaald worden met iemand met gedegen kennis van de financiële situatie van de organisatie. Hierbij is het belangrijk om te beseffen dat deze waarden niet bedoeld zijn om een schadebedrag aan de uiteindelijke risico's te koppelen, maar slechts om de impact van een risico goed te kunnen plaatsen ten opzichte van de impact van de andere risico's. De impact hoeft per risico dan ook niet met een berekening of harde cijfers aangetoond te worden. Een goed onderbouwd gevoel is voldoende. Een helder ingevulde impact is belangrijk om een risicoanalyse op een later moment te kunnen herhalen en de resultaten te kunnen vergelijken met de eerder uitgevoerde analyse.

Een eerste bijeenkomst

Een goede risicoanalyse doe je niet in tien minuten. De daarvoor benodigde tijd ligt meer in de buurt van een halve tot een gehele dag. De feitelijk benodigde tijd is uiteraard afhankelijk van de gekozen scope, het aantal deelnemers en hun ervaring met het uitvoeren van een risicoanalyse. Het is daarom belangrijk dat de deelnemers goed beseffen wat er van hen verwacht wordt. Spreek met hen het proces door en geef ze een beeld van de vragenlijst die hen te wachten staat. Voer alleen een risicoanalyse uit met mensen die bereid zijn deze hoeveelheid tijd en energie erin te steken, anders is het zonde van de tijd.

Hoewel de scope van de risicoanalyse een proces of een afdeling kan zijn, voer je de risicoanalyse uit op de daarbij behorende informatie en informatiesystemen. Want hoewel een risico kan voortkomen uit, bijvoorbeeld, een verkeerd ingericht of ontbrekend proces, dient gekeken te worden naar de risico’s ten aanzien van informatie. We hebben het hier ten slotte over informatiebeveiliging.

De risicoanalyse

De daadwerkelijke risicoanalyse bestaat uit twee stappen: de business impact analyse en de dreigingsanalyse.

Business Impact Analyse

De eerste stap van de risicoanalyse is het uitvoeren van de business impact analyse (BIA). In deze stap wordt per informatiesysteem bepaald hoe belangrijk dit systeem is voor de organisatie. Bespreek wat de impact is voor de organisatie in het geval van een probleem met de beschikbaarheid, integriteit en/of vertrouwelijkheid van het systeem en de daarin opgeslagen informatie.

Wellicht is het verstandig om voorafgaand aan de gehele risicoanalyse de namen van de informatiesystemen die binnen de scope vallen, al in te vullen in het BIA overzicht.

De dreigingsanalyse

Tijdens de dreigingsanalyse dient voor iedere dreiging bepaald te worden wat de kans op optreden is en welke impact daarbij hoort. Vervolgens dient bepaald te worden hoe omgegaan moet worden met het vastgestelde risico. Daarbij mag de aanpak 'accepteren' niet gekozen worden indien als impact 'groot' of 'desastreus' of als kans 'wekelijks' of 'dagelijks' gekozen is. Belangrijk hierbij is dat de maatregelen die de kans of impact terugdringen, mee worden genomen. Met andere woorden, er dient gekeken te worden naar het zogenoemde restrisico. Het doel is namelijk dat uiteindelijk voor iedere dreiging het restrisico geaccepteerd kan worden doordat afdoende maatregelen genomen zijn. Een handige aanpak hierbij is om per risico toch te beginnen met het bespreken van de dreiging, los van de reeds genomen maatregelen, en pas als deze voor iedereen helder en duidelijk is de reeds genomen maatregelen te benoemen. Hierdoor wordt het restrisico makkelijker inzichtelijk en heb je minder kans dat dit restrisico door de reeds genomen maatregelen onterecht wordt afgedaan als zijnde 'verwaarloosbaar klein'.

Per dreiging zijn drie invulvelden beschikbaar; 'Gewenste situatie / te nemen acties', 'Huidige situatie / huidige maatregelen' en 'Argumentatie voor gemaakte keuze'. Deze velden kunnen gebruikt worden voor respectievelijk een nulmeting, het latere plan van aanpak en argumentatie over de gekozen kans, impact en aanpak. De argumentatie is belangrijke informatie bij een eventuele certificering. De inhoud van deze velden is daardoor belangrijker dan de kans, impact en aanpak velden. Deze laatste geven in feite niet meer dan een prioritering of urgentie aan.

Denk bij kans aan of uberhaupt sprake is van de dreiging, de benodigde kennis voor de dreiging, het kennisniveau van de mogelijke aanvaller en de motivatie van de aanvaller om de organisatie aan te vallen.

Denk bij impact aan de mogelijke gevolgen voor de beschikbaarheid, integriteit en vertrouwelijkheid, de imagoschade en financiële schade.

Bij de aanpak betekent 'beheersen' het tegengaan van zowel de kans als de impact, 'ontwijken' het tegengaan van de kans, 'verweren' het tegengaan van de impact en 'accepteren' het niet nemen van actie om het risico te verlagen.

Doornemen van geselecteerde maatregelen

Het uitvoeren van een risicoanalyse in RAVIB resulteert in een lijst van geselecteerde maatregelen uit de gekozen standaard. In de één na laatste stap kan deze selectie aangepast worden door geselecteerde maatregelen geforceerd weg te laten of niet-geselecteerde maatregelen alsnog toe te voegen. Dit is een stap die het beste overgelaten kan worden aan iemand die goed thuis is in deze standaarden. Zorg ervoor dat deze persoon bij het maken van deze keuzes in overleg treedt met het management.

Verwerken van de uitkomsten

De laatste stap in het hele proces is het opstellen van een plan van aanpak op basis van de rapportage die door RAVIB gegenereerd kan worden. Dit is een kwestie van het kritisch doornemen van alle geselecteerde maatregelen. Indien de 'Gewenste situatie / te nemen acties' en de 'Huidige situatie / huidige maatregelen' zorgvuldig zijn ingevuld, geven deze een goed beeld van de te nemen stappen.

Omdat een systeemeigenaar te allen tijde verantwoordelijk is voor de beveiliging van de systemen waar hij of zij eigenaar van is, dienen de te nemen stappen ten aanzien van een informatiesysteem met de eigenaar doorgesproken te worden. De systeemeigenaar is verantwoordelijk voor het laten uitvoeren van eventuele wijzigingen. Als beveiligingsadviseur of information security officer heb je niet meer dan een adviserende en controlerende rol. Maak met de eigenaar afspraken over wat er gewijzigd wordt en wanneer dit gebeurt en zie daar op toe. Wijzigingen die een systeemeigenaar niet wenst door te voeren, maar die vanuit de risicoanalyse wel als belangrijk of noodzakelijke worden gezien, dienen aan de directie voor een eindbeslissing te worden voorgelegd.