Risico-evaluatie is de stap in risicobeheer voor informatiebeveiliging waarin je de risico's in een geprioriteerde volgorde zet door hun impact en waarschijnlijkheid te evalueren, en zo het risiconiveau bepaalt.
Instellingen risico-automatisering
Risicobeheer kan volledig handmatig worden uitgevoerd in Cyberday of door gebruik te maken van onze automatiseringen.
Je kunt de instellingen hiervoor vinden onder Instellingen -> Risicobeheer: Algemene instellingen.
Als je wilt profiteren van Cyberday's geautomatiseerde risico-evaluatie, schakel dan de automatische risico-piloot in.
Wat is geautomatiseerde risico-evaluatie?
Zoals je je herinnert van het begin van dit artikel, is het doel van risico-evaluatie om de risico's in een juiste volgorde van prioriteit te plaatsen. Hierbij moet rekening worden gehouden met de aard van de bedreiging, maar ook met je huidige acties en het type bedrijf en de bedrijfsomgeving.
Dit is geen eenvoudige taak en de geautomatiseerde risicobeoordeling is er om je te helpen.
Als je automatische risico-evaluatie gebruikt, gebeuren de volgende dingen automatisch:
- Een basisevaluatie invullen voor elk risico (waarschijnlijkheid + impactwaarden) volgens de mening van experts
- Het risiconiveau aanpassen aan de hand van de risicobeheersingsfactor
Cyberday koppelt altijd automatisch gerelateerde controletaken aan risico's, maar je kunt deze koppelingen ook handmatig aanpassen vanaf de risicokaart.
Details voor het berekenen van het risiconiveau
Het risiconiveau wordt berekend door de waarschijnlijkheid x de impact te vermenigvuldigen. Volgens de instelling van je automatische risico-piloot wordt dit vervolgens vermenigvuldigd met de volwassenheidsfactor van je huidige controles (0-1) (d.w.z. risicobeheersingsfactor).
Risiconiveau met risico automatische piloot
Als je de automatische piloot van risico's ingeschakeld houdt, wordt het risiconiveau berekend door waarschijnlijkheid x impact x risicobeheersingsfactor.
De risicobeheersingsfactor wordt op de volgende manier berekend en ligt altijd tussen 0-1:
- Zoek alle controletaken die verband houden met het risico (op blok "Huidige controletaken voor risico's")
- Creëer een risicobeheersingswaarde voor elke risicobeheersingstaak op basis van zijn status
- 0,02 als de status PENDING is (Niet gedaan)
- 0,05 wanneer de status ACTIEF is (gedeeltelijk/meestal gedaan)
- 0,10 als de status DONE is (Volledig gedaan)
- Pas de risicobeheersingswaarde voor elke risicobeheersingstaak aan volgens zijn prioriteit
- 2x wanneer de prioriteit KRITISCH is
- 1,5x wanneer prioriteit HOOG is
- 1x wanneer prioriteit MEDIUM is
- 0,5x wanneer prioriteit LAAG is
- Min de som van de risicobeheersingswaarden van alle taken vanaf 1 om de risicobeheersingsfactor van dit risico te berekenen
- bijv. 1 - ( done_low_priority_task + active_high_priority_task)
- = 1 - (0.05 + 0.075)
- = 0.875
In dit geval, als de geëvalueerde beginwaarden voor waarschijnlijkheid en impact van het risico 2 en 3 zijn, zou de berekening als volgt zijn:
- Risiconiveau = 2 * 3 * 0,875 = 5,25
Risiconiveau zonder risico automatische piloot
Als je besluit om de automatische risico-evaluatie uit te schakelen, dan vul je de risico-evaluaties handmatig in en wordt het risiconiveau direct berekend aan de hand van waarschijnlijkheid x impact.