Skip to main content

Risico-inschatting in de praktijk

Door 2 januari 2020 maart 28th, 2021 Podcast
risk matrix

In deze aflevering

In deze aflevering geeft Lex zijn reactie op de NCSC expertblogs ‘Risico’s toegelicht’.

Samenvatting van deze aflevering

De risicoanalyse

  • Wanneer we op de risicomatrix langs de diagonaal van linksboven naar rechtsonder zakken, en de scenario’s bekijken die we op die plaats gezet hebben bij risicoinschatting, dan gaan we van risico’s die goed statistisch te analyseren zijn en in dashboards weer te geven zijn naar risico’s die zo zelden voorkomen dat je alleen wat nieuwsberichten hebt om aan te geven hoe incidenten fout kunnen lopen.

  • Bij de eerste groep weten we door de analyses en eigen observaties en gesteund door informatie uit vele raamwerken en methodes goed hoe we de risico’s kunnen ontwijken. Preventie is troef.

  • Als we de risico’s in de tweede groep beschouwen, zien we dat we niet duidelijk weten wat de goede risicobeheersingsmaatregelen zijn in deze gevallen. Hier komen we in het werkgebied van BCM, business continuity management. De risicoaanpak wordt verwerend. Hierbij gaan we de aanpak generaliseren om de gevolgen van mogelijke zware tot catastrofale incidenten te beperken. Het is niet nodig om specifieke incidenten, zoals het ‘NotPetya’ scenario voor Mearsk tot in detail te analyseren, beperk het scenario tot een grootse malware aanval in het bedrijf en verweer je daartegen. Detectie en respons worden troef om incidenten in wording te kunnen spotten voordat ze groot worden en een catastrofale impact onafwendbaar is geworden.

  • Dat gezegd hebbend, het gebruiken van een consistente en hadzame set risico scenario’s bij risicoanalyses. Te vaak zie ik dat we bedolven raken onder de veelheid van scenario’s of dat er ter plekke scenario’s bijverzonnen moeten worden. Hierbij kun je niet zeker zijn dat je een representatieve selectie scenario’s hebt, waartegen je jouw risico’s meet. Dan is de hele risicoanalyse niet meer betrouwbaar.

Close Menu