Risicoanalyse: de basis van je ISMS
De risicoanalyse is het fundament van je ISMS volgens ISO 27001 . Voor gedetailleerde richtlijnen biedt ISO 27005 een complete methodiek, en het NCSC publiceert praktische hulpmiddelen. Zonder goed begrip van je risico’s kun je geen goede maatregelen selecteren. Dit artikel legt uit hoe je een risicoanalyse uitvoert.
Wat vraagt ISO 27001?
ISO 27001 stelt eisen aan je risicobeoordeling in hoofdstuk 6.1. Je moet:
- Een risicobeoordeling uitvoeren die reproduceerbaar is
- Risico’s identificeren die de vertrouwelijkheid, integriteit en beschikbaarheid van informatie bedreigen
- Risico’s analyseren op kans en impact
- Risico’s evalueren en prioriteren
- Een risicobehandeling kiezen: mitigeren, accepteren, overdragen of vermijden
- Alles documenteren
De norm schrijft niet voor welke methodiek je moet gebruiken. Je kiest zelf een aanpak die past bij je organisatie, zolang die aan bovenstaande criteria voldoet.
Risicomanagement in vijf stappen
Stap 1: Context bepalen
Voordat je risico’s kunt identificeren, moet je weten waarnaar je kijkt:
- Scope: Welke systemen, processen en informatie vallen binnen je ISMS?
- Assets: Welke informatie-assets heb je? (systemen, data, processen, mensen)
- Dreigingen: Welke bedreigingen zijn relevant? (hackers, menselijke fouten, natuurrampen)
- Kwetsbaarheden: Waar zitten zwakke plekken?
Tip: Begin met een asset-inventarisatie. Je kunt geen risico’s identificeren als je niet weet wat je moet beschermen. Denk aan: klantdata, financiële systemen, intellectueel eigendom, personeelsgegevens, etc.
Stap 2: Risico’s identificeren
Voor elk asset bepaal je welke risico’s er zijn. Een risico is een combinatie van:
- Een dreiging (wat kan er gebeuren?)
- Een kwetsbaarheid (waarom kan het gebeuren?)
- Een impact (wat zijn de gevolgen?)
Voorbeeld:
| Asset | Dreiging | Kwetsbaarheid | Risico |
|---|---|---|---|
| Klantdatabase | Datalek door hacker | Verouderde software, geen MFA | Ongeautoriseerde toegang tot klantgegevens |
| E-mailsysteem | Phishing-aanval | Onvoldoende awareness | Medewerker klikt op malafide link |
| Laptop | Diefstal | Geen encryptie | Gevoelige data op straat |
| Server | Hardware-falen | Geen redundantie | Dienst niet beschikbaar |
Bronnen voor risico-identificatie:
- NCSC dreigingsbeelden
- Incidenthistorie van je organisatie
- Audits en penetratietests
- Input van medewerkers
- Branche-specifieke dreigingen
Stap 3: Risico’s analyseren
Voor elk risico bepaal je de kans dat het optreedt en de impact als het gebeurt.
Kans-schaal (voorbeeld):
| Score | Omschrijving | Frequentie |
|---|---|---|
| 1 | Zeer onwaarschijnlijk | Minder dan 1x per 10 jaar |
| 2 | Onwaarschijnlijk | 1x per 5-10 jaar |
| 3 | Mogelijk | 1x per 1-5 jaar |
| 4 | Waarschijnlijk | 1x per jaar |
| 5 | Zeer waarschijnlijk | Meerdere keren per jaar |
Impact-schaal (voorbeeld):
| Score | Omschrijving | Gevolg |
|---|---|---|
| 1 | Verwaarloosbaar | Nauwelijks merkbaar |
| 2 | Gering | Beperkte hinder, snel opgelost |
| 3 | Matig | Duidelijke impact, herstel kost tijd |
| 4 | Ernstig | Grote schade, langdurig herstel |
| 5 | Catastrofaal | Bedrijfscontinuïteit in gevaar |
De risicoscore = Kans × Impact
Stap 4: Risico’s evalueren
Met de risicoscores kun je prioriteren. Bepaal welke risico’s acceptabel zijn en welke actie vereisen.
Risicomatrix:
| Impact 1 | Impact 2 | Impact 3 | Impact 4 | Impact 5 | |
|---|---|---|---|---|---|
| Kans 5 | 5 | 10 | 15 | 20 | 25 |
| Kans 4 | 4 | 8 | 12 | 16 | 20 |
| Kans 3 | 3 | 6 | 9 | 12 | 15 |
| Kans 2 | 2 | 4 | 6 | 8 | 10 |
| Kans 1 | 1 | 2 | 3 | 4 | 5 |
Interpretatie (voorbeeld):
- 1-4: Laag risico - Accepteren of monitoren
- 5-9: Gemiddeld risico - Maatregelen overwegen
- 10-15: Hoog risico - Maatregelen vereist
- 16-25: Kritiek risico - Directe actie nodig
Bepaal je risicobereidheid vooraf. Wat is acceptabel voor jouw organisatie? Dit verschilt per organisatie en per type informatie. Een bank accepteert minder risico dan een bakker.
Stap 5: Risico’s behandelen
Voor elk risico dat boven de acceptatiegrens valt, kies je een behandeling:
Mitigeren Maatregelen nemen om kans of impact te verlagen. Dit is de meest voorkomende keuze. Je selecteert maatregelen uit Annex A of eigen maatregelen.
Voorbeeld: MFA implementeren om het risico op ongeautoriseerde toegang te verlagen.
Accepteren Het risico bewust accepteren zonder verdere actie. Dit is valide als de kosten van maatregelen niet opwegen tegen de risicoreductie, of als het risico binnen je risicobereidheid valt.
Voorbeeld: Het risico van een korte storing accepteren als de kosten van volledige redundantie niet opwegen tegen de impact.
Overdragen Het risico (deels) overdragen aan een andere partij, meestal via verzekering of uitbesteding.
Voorbeeld: Cyberverzekering afsluiten voor de financiële gevolgen van een datalek.
Vermijden De activiteit die het risico veroorzaakt stoppen of anders inrichten.
Voorbeeld: Stoppen met het verwerken van bepaalde gevoelige gegevens als het risico te hoog is.
Methodieken
Er zijn verschillende methodieken voor risicobeoordeling. Je hoeft geen specifieke methode te gebruiken, maar een erkende methodiek helpt bij consistentie.
ISO 27005
ISO 27005 is de ISO-standaard voor risicomanagement specifiek voor informatiebeveiliging. Het sluit naadloos aan op ISO 27001 en beschrijft het proces in detail.
Voordelen: Perfecte aansluiting op ISO 27001, internationaal erkend Nadelen: Relatief abstract, je moet zelf invullen
FAIR
FAIR (Factor Analysis of Information Risk) is een kwantitatieve methodiek die risico’s uitdrukt in financiële termen.
Voordelen: Concrete cijfers, goed voor business cases Nadelen: Complexer, vereist goede data
OCTAVE
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) is ontwikkeld door Carnegie Mellon University.
Voordelen: Goed gestructureerd, organisatiegericht Nadelen: Kan tijdrovend zijn
Pragmatische aanpak
Veel organisaties, vooral in het mkb, kiezen voor een pragmatische aanpak: een spreadsheet met assets, dreigingen, kansen, impacts en maatregelen. Dit is prima zolang je consistent bent en alles documenteert.
Het risicoregister
Al je risico’s documenteer je in een risicoregister. Dit is een levend document dat je regelmatig bijwerkt.
Minimale inhoud per risico:
- Uniek ID
- Beschrijving van het risico
- Gerelateerde assets
- Kans-score
- Impact-score
- Risicoscore
- Gekozen behandeling
- Geplande of geïmplementeerde maatregelen
- Risico-eigenaar
- Status
- Datum laatste review
Voorbeeld:
| ID | Risico | Asset | Kans | Impact | Score | Behandeling | Maatregel | Eigenaar |
|---|---|---|---|---|---|---|---|---|
| R001 | Ongeautoriseerde toegang | Klantdatabase | 3 | 4 | 12 | Mitigeren | MFA, logging | IT Manager |
| R002 | Ransomware | Alle systemen | 4 | 5 | 20 | Mitigeren | Backups, EDR, training | CISO |
| R003 | Korte storing | Website | 3 | 2 | 6 | Accepteren | - | IT Manager |
Praktische tips
Begin simpel
Je hoeft niet met de meest geavanceerde methodiek te beginnen. Een spreadsheet met 20-30 risico’s is voor veel organisaties een goede start. Je kunt later verfijnen.
Betrek de juiste mensen
Risico-identificatie is geen solo-activiteit van de security officer. Betrek:
- IT (technische risico’s)
- HR (personele risico’s)
- Operations (procesrisico’s)
- Management (strategische risico’s)
- Eindgebruikers (praktijkkennis)
Wees realistisch
Overdrijf kansen en impacts niet om budget te krijgen, maar onderschat ze ook niet. Een eerlijke beoordeling is waardevoller dan een politiek gekleurde.
Documenteer je aannames
Waarom schat je de kans op 3? Waarom de impact op 4? Leg je redenering vast. Dit helpt bij reviews en maakt je beoordeling reproduceerbaar.
Review regelmatig
Risico’s veranderen. Nieuwe dreigingen ontstaan, systemen veranderen, maatregelen worden geïmplementeerd. Plan minimaal jaarlijks een volledige review, en ad-hoc bij grote veranderingen.
Link aan maatregelen
Elk risico dat je mitigeert, moet gekoppeld zijn aan concrete maatregelen. Die maatregelen documenteer je in je Statement of Applicability.
Veelgemaakte fouten
Te technisch
Alleen focussen op IT-risico’s en de menselijke en organisatorische kant vergeten. Een medewerker die een USB-stick kwijtraakt is ook een risico.
Te theoretisch
Risico’s benoemen die in theorie bestaan maar in jouw context niet relevant zijn. Meteorietinslag is technisch een dreiging, maar niet waar je je op moet focussen.
Geen eigenaarschap
Risico’s identificeren maar niemand verantwoordelijk maken. Elk risico moet een eigenaar hebben die verantwoordelijk is voor de behandeling.
Set and forget
De risicobeoordeling één keer doen voor de audit en daarna in de la leggen. Risicomanagement is een doorlopend proces.
Kopiëren
Een risicolijst van internet overnemen zonder deze aan te passen aan je eigen situatie. De auditor prikt hier doorheen, en belangrijker: het helpt je niet.
Meer informatie
- Eisen van de norm – Wat vraagt ISO 27001 over risico’s?
- Het ISMS – Hoe past risicomanagement in het geheel?
- Annex A maatregelen – Welke controls kun je selecteren?
- Stappenplan – De risicobeoordeling in het totaalproces
- ISO 27005 – De ISO-standaard voor risicomanagement
- NCSC Risicoanalyse – Nederlandse richtlijnen