Wat is risico?


Als IT security consultant houd ik mij o.a. bezig met het uitvoeren van risico-assessments bij organisaties. Maar wat verstaan we eigenlijk onder de term risico? En hoe verhoudt dit concept zich met de beveiliging van IT-systemen?

Mark Ryan M. Talabis en Jason L. Martin onderscheiden in hun boek Information Security Risk Assessment Toolkit de volgende aspecten van risico in het algemeen:


Kortom een risico is de kans dat er een gebeurtenis zich voordoet die een ongewenste uitkomst heeft voor een asset. Onder assets verstaan we alle zaken, zowel materieel als immaterieel, die waardevol zijn voor een organisatie.

Information Security Risk


Talabis en Martin definiƫren vervolgens risico in de context van informatiebeveiliging (Information Security Risk) door de volgende aspecten te formuleren:


Beide definities zijn visueel weergeven in onderstaand schema:

Schema IT security risico
Een dreiging is elke mogelijke gebeurtenis die een negatieve impact heeft op een assest. Denk hierbij aan een hack, maar ook aan bijvoorbeeld brand of overstromingen. Kwetsbaarheden zijn eigenschappen van een asset, die ervoor zorgen dat deze gevoeliger wordt voor een dreiging - makkelijk te raden wachtwoorden en slecht geconfigureerde firewalls om maar wat te noemen.

Asomis IT Security Risk Assessment


Als ik een
risico-assessment uitvoer, begin ik met het inventariseren van de assets die een organisatie heeft. Vervolgens breng ik de kwetsbaarheden en dreigingen in kaart. Daarna bepaal ik de ernst van ieder risico, enigszins vereenvoudigd kans x gevolg. Wanneer dit overzicht klaar is, kan er begonnen worden om effectieve maatregelen te identificeren en te implementeren.

Heeft u interesse in een risico assessement voor uw organisatie? Neem dan gerust contact met mij op voor een vrijblijvende kennismaking.

Bronvermelding


Talabis, Mark Ryan M. en Jason L. Martin. Information Security Risk Assessment Toolkit. Practical Assessments through Data Collection and Data Analysis. Syngress, Waltham 2013.