Risicobeoordelingsproces van groot belang

Naast het feit dat ISO27001 natuurlijk dient als fundering voor een verder vervolg in de vorm van ISO27002 is het ook van belang dat er een risicobeoordelingsproces wordt opgezet. Dit proces is van enorm groot belang, zeker voor bedrijven die niet vermogend genoeg zijn om ‘alles’ aan te pakken. Hoe het werkt? We leggen het u graag uit.

Het risicobeoordelingsproces is essentieel om te kunnen omgaan met alle verschillende IT-risico’s die de gemiddelde organisatie loopt. Zoals je begrijpt weegt niet elk risico even zwaar, alhoewel dit ook weer verschilt per bedrijf. Zo kan risico A voor jouw bedrijf veel impactvoller zijn dan voor bedrijf B. Om hier achter te komen dient er echter een risicoanalyse te worden uitgevoerd. Deze analyse helpt jou (en ons) vervolgens om op basis van de juiste prioriteit aan de slag te gaan.

Om hier een duidelijk beeld over te schetsen dient er eerst inzicht te komen in de bedrijf kritische processen. Ofwel, waar lopen de slagaderen en waar klopt het hart van de organisatie? Zodra dit ontleed is, is het devies om risicoanalyses uit te voeren op die kritische processen en applicaties. In het geval er nu risico’s gevonden worden dienen deze op basis van impact te worden aangepakt. Hierbij geldt uiteraard dat het grootste risico als eerst zal moeten worden gemitigeerd.

Risk-based approach de norm bij Beschermheren

Bij Beschermheren werken wij eigenlijk al sinds jaar en dag volgens deze risk-based aanpak. Wij begrijpen als geen ander dat elk bedrijf uniek is en dat een risico niet overal hetzelfde risico is. Daarom gaan we altijd met u in gesprek en beginnen we met een nulmeting. Waar staat het bedrijf nu, wat zijn de meest bedrijf kritische processen en waar willen we heen? Op basis van de hierop volgende analyses gaan we pas aan de slag. Zo weten we zeker dat we zo efficiënt mogelijk met jouw en onze tijd omgaan.

Natuurlijk is het altijd afhankelijk van de financiële draagkracht, de tijd en de bereidwilligheid van de mensen wat we precies kunnen doen. Ook dit weegt mee in het uiteindelijke besluit omtrent het aanpakken van gevonden risico’s. Zo kan het ook zo worden bepaald dat het risico (tijdelijk) wordt geaccepteerd omdat er simpelweg niet genoeg middelen voorhanden zijn om dit aan te pakken. Natuurlijk wordt dit op een later moment dan wel alsnog opgepakt.

Omdat sommige risico’s dus voorlopig even worden bevroren is het van belang om het genomen besluit alsmede de te nemen maatregelen goed vast te leggen. Dit om te zorgen dat de risico’s worden bewaakt en dat de te nemen maatregelen ook daadwerkelijk worden gerealiseerd. Om dit nog meer kracht bij te zetten wordt ook vaak een ‘risico-eigenaar’ aangesteld, feitelijk de verantwoordelijke voor de het uitvoeren van de maatregelen welke zijn overeengekomen tijdens het uitvoeren van het risicobeoordelingsproces. Hij of zij draagt zorg voor het uiteindelijk mitigeren van het risico.

Realistische aanpak met concrete doelstellingen

Wij zijn van mening dat elk proces, bijvoorbeeld een certificeringstraject, altijd uniek is. Hiermee bedoelen we te zeggen dat onze klanten geen nummers zijn maar een volwaardig bedrijf met haar eigen middelen, mensen en doelen. Het is aan ons om dit goed in kaart te brengen en met een realistisch plan te komen dat echt gemaakt is om de specifieke risico’s aan te pakken.

Weten hoe je Informatiebeveiliging als Business Enabler kunt inzetten binnen jouw organisatie? Join dan ons gratis webinar aanstaande 1 april om 13:00. U schrijft zich hier gratis in.