---

---

Definitie van risicomanagement: Wat is risicomanagement?

U wilt een korte definitie van risicomanagement? Die krijgt u: Risicomanagement identificeert, herkent, bewaakt en evalueert risico's die bestaan voor IT gedurende de gehele levenscyclus. Maar dit is slechts de eerste stap, want in de tweede stap confronteert risicomanagement, ook wel risk management genoemd, deze risico's met passende noodplannen en effectieve maatregelen. De uitvoering van al deze maatregelen kan dan worden aangeduid als het risicomanagementproces.

IT-risicomanagementproces moet onderdeel worden van de bedrijfsdoelstellingen

IT-risicomanagement moet deel uitmaken van de bedrijfsdoelstellingen en worden uitgevoerd als een holistisch risicomanagementproces. Dit betekent dat het risicobeheer door het management op operationeel niveau ter hand moet worden genomen. Tegelijkertijd worden bijkomende comités en verantwoordelijken aangesteld om toezicht te houden op de maatregelen van het IT-risicobeheer, die aldus de taak van het strategische werk overnemen. Risicomanagers moeten dus op beide niveaus actief zijn en alle noodzakelijke maatregelen moeten worden georganiseerd als een holistisch risicobeheersysteem.

Doelstellingen van risicobeheer - definitie

Er bestaat geen twijfel over: Tegenwoordig zijn veel bedrijfsprocessen gebaseerd op functionerende IT. Daardoor wordt de IT steeds complexer en dus kwetsbaarder - zij moet dus worden beschermd. Veel IT-componenten zijn verbonden als complete IT-systemen, die op hun beurt essentieel zijn voor het in stand houden van belangrijke bedrijfsprocessen. Bij een storing dreigt het bedrijf in kwestie enorme schade op te lopen. Dit is precies waar IT-risicobeheer met zijn primaire doelstelling komt: Het identificeert risico's, beoordeelt het belang ervan en voorkomt dat ze zich voordoen.

Het is belangrijk voor risicomanagers om te weten: Wat zijn de risico's?

Dit omvat alles wat kan gebeuren met IT en dus met de daarmee verbonden bedrijfsprocessen. Veel risico's komen tegenwoordig voort uit het internet en ook uit het feit dat al zoveel uitsluitend digitaal plaatsvindt. Zo zijn aanvallen van hackers een reëel gevaar, evenals spionage, diefstal, verlies en misbruik van gegevens. Hardwarefouten en softwarefouten moeten ook als ernstige risico's worden beschouwd.

Risicobeheerproces

Er zijn dus tal van scenario's voor mogelijke schade. Op dit punt in het risicomanagementproces worden maatregelen ontwikkeld om dergelijke schadescenario's te voorkomen door risico's vooraf te identificeren en te beheersen. Het is belangrijk dat elk IT-element, te beginnen bij minuut één, in het bedrijfsproces wordt geïntegreerd en presteert. Dus zodra een IT-element is geïmplementeerd, begint het risicobeheer ervan en gaat het door zolang dat element in bedrijf is en totdat het uiteindelijk buiten gebruik wordt gesteld.

Risicobeheersysteem geldt ook voor fysieke beveiliging

Het aspect van fysieke beveiliging mag niet worden verwaarloosd als onderdeel van IT-risicobeheer. Ongeoorloofde toegang en externe bedreigingen door brand en dergelijke vormen ook een risico voor IT-systemen. Om dit risico tegen te gaan, moeten IT-componenten eerst op een geschikte plaats worden ondergebracht - en dit betekent letterlijk een veilige plaats. Zo kan het gevaar van ongeoorloofde toegang worden tegengegaan. Daarnaast kan bijvoorbeeld gebruik worden gemaakt van cryptografische IT-beveiligingsprocedures (encryptie).

Er zijn ook risico's voor de fysieke IT-beveiliging, die eveneens worden beoordeeld in het kader van IT-risicobeheer.

Risicobeheer - Internet als gevaarlijk punt:Het internet is een grote, gloeiende bron van gevaar, bijvoorbeeld door de dreiging van computervirussen enz. en door willekeurige aanvallen van buitenaf. Hackeraanvallen vormen altijd een grote bedreiging voor IT-systemen, omdat zij het gevaar in zich dragen van diefstal, manipulatie en misbruik van gegevens. Daarom begint holistisch risicobeheer natuurlijk ook hier - ook op dit gebied zijn de risico's beperkt en zijn de potentiële negatieve effecten beperkt. Optimaal IT-risicobeheer heeft noodmaatregelen en plannen die zijn afgestemd op de relevante risicogebieden in geval van nood.

Stappen van risicomanagement

Het risicomanagementproces kan bijvoorbeeld in de volgende stappen worden uitgevoerd:

• Identificeer/herken IT-risicogebieden: Welke systemen worden bedreigd? In deze stap worden gevoelige IT-systemen geïdentificeerd en vervolgens wordt de vraag beantwoord: Hoe belangrijk zijn deze systemen?
• Risico's: Wat kan er met deze systemen gebeuren? Welke risico's lopen ze? Nu stellen we zo nauwkeurig mogelijk vast wat er met elk van deze systemen kan gebeuren.
• Risicoanalyse en -beoordeling: Alle geïdentificeerde risico's worden vervolgens beoordeeld (naar waarschijnlijkheid van optreden, impact, enz.); dit kan bijvoorbeeld met behulp van een meerlagige matrix.
• Risicobeheer: Welke maatregelen kunnen worden genomen om het risico te minimaliseren? Wat kan worden gedaan om mogelijke gevolgen zo goed mogelijk te beheersen? Tegen welk budget?
• Risicomonitoring: Hoe ontwikkelen de risico's zich? Welke nieuwe komen erbij? Rapportage en monitoring van de bijbehorende planning en ontwikkelingen worden nauwkeurig gedocumenteerd en bijgehouden.

Erkende normen als leidraad voor risicomanagement

Normen vatten de beste praktijken samen en zijn een nuttige leidraad voor het ontwikkelen en implementeren van succesvol risicomanagement. De stand van de techniek wordt gehandhaafd en beveiligd door de normen te volgen. Bovendien kunnen risicovolle IT-systemen worden geoptimaliseerd met behulp van de richtlijnen van deze normen. Zelfs in noodgevallen kan worden voldaan aan bedrijfsrelevante en absoluut noodzakelijke technische eisen.

Algemene normen voor beveiliging en risicobeheer zijn: IT-GS (IT-Grundschutz), ISO/IEC 18028 (IT-netwerkbeveiliging), ISO/IEC 27005 (risicobeheer informatiebeveiliging), ISO/IEC 15816 (beveiligingsobjecten voor toegangscontrole), ISO/IEC 27001 (informatiebeveiliging in organisaties).