Onze visie op Risico Management

Wat is Risico Management

Risico Management omvat zowel het stelselmatig analyseren van de Risico's in de organisatie als ook het beheersen van deze risico's door het treffen en onderhouden van een adequaat pakket van maatregelen. Risico Management volgt hierbij de Management Cyclus van Plan-Do-Control-Act, ook wel de cirkel van Deming genoemd

De cirkel van Deming

De cirkel van Deming geeft een cyclisch proces weer, waarbij verbeteringen iteratief tot stand komen.

Fase PLAN

In de fase “PLAN” wordt de security policy ontwikkeld (of bijgesteld). Dit is het strategisch beveiligingsbeleid wat richtinggevend behoord te zijn voor de wijze waarop en de middelen waarmee informatiebeveiliging wordt ingericht. Onderwerpen binnen het strategisch beveiligingsbeleid zijn:

• De beleidskaders van informatiebeveiliging (afgeleid van de missie en doelstellingen van de organisatie)
• De afbakening en samenhang met andere beleidsterreinen
• Afhankelijkheden en omgevingsfactoren
• Het basis beveiligingsniveau
• De inrichting van de beveiligingsfunctie
• De wijze waarop informatiebeveiliging wordt ingevoerd en geborgd
• De kosten van informatiebeveiliging

Tevens wordt in deze fase de Process Dependency Analysis uitgevoerd. De Process Dependency Analysis heeft als output een stelsel van beveiligingscontrols op tactisch niveau.

Fase DO

In de fase “DO” wordt nagegaan in hoeverre de organisatie “voldoet” aan de beveiligingscontrols uit de vorige fase. Hierbij worden de volwassenheidsstadia “opzet”, “bestaan” en “werking” van een control gehanteerd.
De verschillen tussen de situatie zoals deze zou moeten zijn en de werkelijke situatie geeft aan in welke mate de organisatie kwetsbaar is voor verstoringen. Deze informatie wordt vervolgens gebruikt om een implementatieplan op te stellen en om prioriteiten te kunnen stellen.
Het product Compliance kan u helpen bij het uitvoeren van deze compliance analyse.
Een compliance analyse is een sturingsinstrument bij het invoeren van controls in uw organisatie. De uitkomsten van deze check kunnen worden gebruikt bij het vaststellen van de prioriteiten bij het invoeren van de controls.
Een Compliance Analyse is een doorlopende activiteit die bij voorkeur meerdere keren per jaar (bijvoorbeeld eenmaal per kwartaal) dient te worden uitgevoerd.

Fase CONTROL

In de fase “CONTROL” wordt een controle uitgevoerd op de daadwerkelijke situatie nadat implementatie heeft plaatsgevonden. Er wordt nagegaan in hoeverre wordt voldaan aan de situatie zoals deze zou moeten zijn. Over de afwijkingen wordt gerapporteerd.
Veelal wordt dit in de vorm van een audit uitgevoerd. Een audit is meer dan alleen een analyse van de mate van compliancy met controls, maar omvat ook een onderzoek naar de toereikendheid van het gehele stelsel van informatiebeveiliging. Een audit geeft dus ook antwoord op de vraag of de wijze waarop de risico-analyse, de invoering van controls en de controle op naleving adequaat zijn.
Een audit wordt veelal jaarlijks uitgevoerd.

Fase ACTION

In de fase “ACTION” worden de afwijkingen geanalyseerd en wordt besloten om de afwijkingen alsnog weg te werken, dan wel te accepteren. Indien een afwijking niet kan worden weggewerkt of alleen tegen zeer hoge (onevenredige) kosten kan worden weggewerkt, kan worden besloten om een uitzondering te maken en eventueel andere, aanvullende maatregelen te nemen ter reductie van de risico’s.
Ook is het mogelijk dat vanuit deze analyse voorstellen komen om het beleid of de tactische controls aan te passen.

De hierboven beschreven cyclus is de PDCA cyclus op tactisch niveau. Op operationeel niveau is er ook een dergelijke cyclus te onderkennen. De beschreven tactische controls zijn dan vaak vertrekpunt voor het opstellen van operationele maatregelen en procedures.

De producten van Secure Connection kunnen een waardevolle bijdrage leveren in het succesvol invoeren van bovengenoemde PDCA cyclus, zodat u uw beveiligingsrisico’s aantoonbaar beheerst. Dit zal een positief effect hebben op de kwaliteit van de bedrijfsprocessen. Bovendien voldoet u hiermee aan vigerende wet- en regelgeving en normen.