Risicoanalyse is onderdeel van risicomanagement. Het uitvoeren van risicoanalyse heeft als doel inzichtelijk te maken welke dreigingen relevant zijn voor de bedrijfsprocessen en welke risico’s hiermee gepaard gaan. Op basis van de risicoanalyse kan het beveiligingsniveau met de daarbij passende beveiligingsmaatregelen worden vastgesteld. Daarbij is het de kunst een balans te vinden tussen de kosten en de te nemen beveiligingsrisico’s. Een hulpmiddel om hierbij tot goed onderbouwde beslissingen te komen is de risicoanalyse.
Een risicoanalyse helpt organisaties om risico’s juist in te schatten en daarbij juiste en passende beveiligingsmaatregelen te nemen. Het alloceren van budgetten kan hiermee zo efficiënt mogelijke uitgevoerd worden. Een risicoanalyse heeft vier hoofddoelen:
Een risicoanalyse voorziet in een kosten-batenverhouding. De jaarlijkse kosten die de beveiligingsmaatregelen met zich meebrengen worden afgewogen tegen het potentiële verlies dat een organisatie lijdt in het geval dat een dreiging werkelijkheid wordt. De risicoanalyse kan op twee manieren uitgevoerd worden: kwalitatief of kwantitatief.
De kwalitatieve risicoanalyse gaat uit van scenario’s en situaties. Hierbij worden de kansen dat een dreiging werkelijkheid wordt ingeschat op basis van vuistregels en waarschijnlijkheid. Vaak wordt hierbij uitgegaan van een ‘best case’ en ‘worst case’ scenario. Vervolgens wordt gekeken naar de impact op het bedrijfsproces en de eerder genomen beveiligingsmaatregelen. Dit alles leidt tot een ‘subjectief’ dreigingsgevoel, waarop maatregelen genomen kunnen worden om het risico in te perken. Het voordeel van kwalitatieve risicoanalyse is dat het een praktische en pragmatische benadering is om beveiligingsmaatregelen te identificeren en uit te voeren. Het nadeel is dat het een subjectieve methode is. Kwalitatieve risicoanalyse komt dan ook voornamelijk voor in kleinere organisaties.
De kwantitatieve risicoanalyse probeert op basis van risicowaardering te berekenen hoe groot de kans is dat een dreiging een incident wordt en wat de financiële gevolgen van dat incident zijn (uitgedrukt in geld). Voor alle elementen in de kwantitatieve risicoanalyse wordt een waarde vastgesteld (dus ook bijvoorbeeld gebouwen, softwarelicenties en onderdelen als ‘reputatie’). Ook wordt hierbij de tijdspanne betrokken voordat een risico uitkomt, alsmede de effectiviteit van beveiligingsmaatregelen en het risico dat een kwetsbaarheid benut wordt. Zo wordt het totale financiële risico in kaart gebracht en kunnen passende beveiligingsmaatregelen vastgesteld worden.
Een puur kwantitatieve risicoanalyse ins vrijwel onmogelijk omdat overal een waarde aan moet worden toegekend. Hoe moeten bijvoorbeeld ‘reputatie’ en ‘medewerkers’ gewaardeerd worden in geld? In kwantitatieve risicoanalyse zitten ook veel aannames die terugkomen in kwalitatieve risicoanalyses. Toch kiezen grotere organisaties vaak voor de kwantitatieve methode, aangezien deze (vaak) een betere onderbouwing oplevert.
"*" geeft vereiste velden aan