Risicoanalyse ICT en informatiebeveiliging

De risicoanalyse als instrument om bedrijfsschade en rampen te voorkomen en te beperken

De risico-inventarisatie en risicoanalyse helpen bij het nemen van de noodzakelijke maatregelen voordat een project operationeel is. De maatregelen worden in het project meegenomen als integraal onderdeel. Risicoanalyses en -inventarisaties vormen een vast onderdeel van risicomanagement ofwel risicobeheer.

Bij de risicoanalyse zijn er twee dimensies die de potentiële schade classificeren: dit zijn de kans dat iets gebeurd en de impact op de organisatie. In de praktijk worden deze vaak in drie niveau's verdeeld: Laag, Middel en Hoog. De twee onderzoeken: risico-inventarisatie en analyse van de impact op de organisatie wordt wordt een Business Impact Analysis (BIA) genoemd.

Het resultaat van een risicoanalyse

Het resultaat van een risicoanalyse bestaat uit:

  1. Overzicht van risico's en classificatie van deze risico's
  2. Overzicht van maatregelen gekoppeld aan de risico's

De maatregelen worden geclassificeerd in:

  1. Preventieve maatregelen
  2. Detectie
  3. Suppressie (schade beperken)
  4. Correctieve maatregelen

Het project wordt verder opgenomen in het disaster recovery plan

Toepassingen risicoanalyse

Binnen de ICT worden veel projecten gestart die van invloed zijn op de bedrijfsprocessen. Informatie (beschikbaarheid, juistheid, beveiliging) wordt steeds belangrijker. Het is essentieel om bij elk project een risicoanalyse uit te voeren en oudere systemen periodiek te beoordelen. De situatie kan immers in de loop der tijd gewijzigd zijn. De risicoanalyse is hier een instrument dat voor, tijdens en periodiek na oplevering van een project wordt gebruikt om een afweging te maken tussen kosten van te nemen maatregelen en geaccepteerde risico's.