In dit artikel wordt ingegaan op hoe een risicobeoordeling voorbereid kan worden zodat de jaarlijkse beoordeling ook zinvol is.
Tijdens audits merk ik dat voor veel bedrijven de jaarlijkse risicobeoordeling glazige oogjes opleveren. De dreigingen veranderen niet of nauwelijks, de kans met de al ingerichte maatregelen veranderen niet en voor de impact geldt hetzelfde. We doen het elk jaar, maar dat is eigenlijk alleen maar omdat het moet. Ik zie dat hierdoor regelmatig de beoordelingssystematiek geminimaliseerd wordt.
De ISO 27001 norm is risico gebaseerd. De risicobeoordeling zou dus eigenlijk de basis moeten zijn voor alles wat rond informatiebeveiliging wordt gedaan. Toch is de systematiek daarbij vaak niet zo ingericht. Dat komt met name doordat in de procedure een degelijke voorbereiding ontbreekt.
Hoe bereid je de beoordeling voor zonder dubbel werk?
Het uitvoeren van een herhaalde risicobeoordeling is alleen zinnig als je vooraf een beeld hebt van wat er in de buitenwereld en binnen de organisatie veranderd is. De omschrijving van de buitenwereld en de eigen organisatie is bij de eerste inrichting opgenomen in hoofdstuk 4, de context. Hier is opgenomen welke externe en interne onderwerpen relevant zijn voor de informatiebeveiliging.
In de (meestal jaarlijkse) directiebeoordeling is een vast agendapunt dat de externe en interne wijzigingen moeten worden besproken. Het is dus heel zinnig om deze wijzigingen niet pas bij de directiebeoordeling in kaart te brengen, maar juist voor de risicobeoordeling. Met deze wijzigingen in beeld zijn drie stappen te zetten die zinvol zijn:
- Zijn er nieuwe dreigingen die nog niet opgenomen zijn in de al opgenomen dreigingen?
- Hebben de wijzigingen effect op de kans dat een dreiging werkelijkheid kan worden?
- Veranderd de impact door de wijzigingen op het moment dat een dreiging werkelijkheid wordt?
In de 2022/2023 versie van de norm is een nieuwe maatregel opgenomen die hierbij helpt. De dreigingsanalyse die gemaakt moet worden geeft een goed beeld van de wijzigingen en is dus zinvolle input bij de voorbereiding. Eigenlijk is het verstandig om de risicobeoordelingsprocedure toe te voegen hoe de beoordeling wordt voorbereid. Deze informatie kan dan ook als input gebruikt worden voor de directiebeoordeling. En ik vermoed dat het ook zinvollere informatie gaat zijn.