De risicomatrix

By 2 januari 2020 Podcast
Deel dit bericht!

Podcast 35

In deze aflevering beschouw ik de NCSC expertblogs ‘Risico’s toegelicht’

Door: Lex Borger | 31 december 2019

De risicomatrix

NCSC Expertblog – Risico’s toegelicht – deel 1
NCSC Expertblog – Risico’s toegelicht – deel 2

Risicomatrix
Bron: NCSC

Mijn reactie op de NCSC Expertblogs:

Waarom maken we ons onvoldoende druk over de risico’s in de hoek rechtsonder?

Wanneer we op de risicomatrix langs de diagonaal van linksboven naar rechtsonder zakken, en de scenario’s bekijken die we op die plaats gezet hebben bij risicoinschatting, dan gaan we van risico’s die goed statistisch te analyseren zijn en in dashboards weer te geven zijn naar risico’s die zo zelden voorkomen dat je alleen wat nieuwsberichten hebt om aan te geven hoe incidenten fout kunnen lopen. 

Bij de eerste groep weten we door de analyses en eigen observaties en gesteund door informatie uit vele raamwerken en methodes goed hoe we de risico’s kunnen ontwijken. Preventie is troef.

Als we de risico’s in de tweede groep beschouwen, zien we dat we niet duidelijk weten wat de goede risicobeheersingsmaatregelen zijn in deze gevallen. Hier komen we in het werkgebied van BCM, business continuity management. De risicoaanpak wordt verwerend. Hierbij gaan we de aanpak generaliseren om de gevolgen van mogelijke zware tot catastrofale incidenten te beperken. Het is niet nodig om specifieke incidenten, zoals het ‘NotPetya’ scenario voor Mearsk tot in detail te analyseren, beperk het scenario tot een grootse malware aanval in het bedrijf en verweer je daartegen. Detectie en respons worden troef om incidenten in wording te kunnen spotten voordat ze groot worden en een catastrofale impact onafwendbaar is geworden. 

Dat gezegd hebbend, het gebruiken van een consistente en hadzame set risico scenario’s bij risicoanalyses. Te vaak zie ik dat we bedolven raken onder de veelheid van scenario’s of dat er ter plekke scenario’s bijverzonnen moeten worden. Hierbij kun je niet zeker zijn dat je een representatieve selectie scenario’s hebt, waartegen je jouw risico’s meet. Dan is de hele risicoanalyse niet meer betrouwbaar.


Reactie op de stelling: ‘Door de beschikbaarheid van belangrijke diensten bewust wat lager te houden, gaan we beter nadenken over onze afhankelijkheid daarvan en onszelf beter voorbereiden op het niet beschikbaar zijn van die dienst, waardoor we een robuustere samenleving krijgen’

De risicoaanpak hierbij is overdracht van risico. Door als verantwoordelijk beheerder duidelijk zichtbaar de maatregelen die je neemt te beperken, dwing je de gebruiker zelf de risico’s te beheersen, verweren en ontwijken kunnen beide toegepast worden. Dit is vooral interessant als de beheerder uiteindelijk risiconemend gedrag van de gebruiker niet kan inperken. In jouw voorbeeld: Veilige ‘shared space’ nodigt uit tot te hard rijden, omdat de gebruiker zich veilig voelt.

Maverisk – Er is niks mis met risk heat maps …

Credits