Security Inzicht
Met name de risico-analyse is een centraal en essentieel middel om te bepalen waar we staan. In ISO 27001 zijn 14 domeinen omschreven. Per domein wordt er een risk-assessment gemaakt van de bestaande processen met als resultaat een COBIT ‘maturity-level’. De levels zijn geclassificeerd van 0 tot en met 5:
De risicobepaling vindt plaats volgens een standaard methode. Hiervoor wordt een speciale risktool gebruikt. Tijdens de Business Impact Analyse (BIA) maken we een inventarisatie en analyse van de kritische bedrijfsfuncties, de onderlinge verbanden en de bedreigingen op deze functies. De zwaarte van een risico wordt zo in kaart gebracht:
Er wordt een lijst met 56 dreigingen afgewerkt. Deze wordt gekoppeld aan een ISO 27001 lijst met 114 maatregelen. Hierop wordt een analyse losgelaten. Het resultaat is een lijst van maatregelen die nodig is om de dreigingen aan te pakken. De resultante per domein zal worden gerapporteerd.
Het navolgende schema is essentieel en centraal: het is een grafische weergave van een moment waarin de integrale risicopositie van de onderneming is afgebeeld.
Dit schema wordt met het management doorgenomen. Het management geeft haar COBIT-veiligheidsdoelstelling aan. In het schema is dit de horizontale stippel-lineaal. We kunnen deze omhoog, of omlaag verschuiven, naar gelang we een hogere veiligheid of lagere veiligheid nastreven. Aan het reduceren van elk risico in elk domein zijn kosten verbonden. Er kunnen andere factoren een rol spelen waarom het management prioriteit geeft aan risicoreductie op een bepaald gebied. De consultant bepaalt samen met het management wat de risk appetite is, en helpt om een keuze te maken welke risicogebieden het eerst dienen te worden aangepakt. Het uiteindelijke doel is om alle oranje vakjes boven de liniaal te krijgen. In dit voorbeeld verdient het aanbeveling om domeinen 4, 6, 11 en 13 aandacht te geven.