Artikel

Bouwen aan een eigen begrippenkader - Risico en bedreiging

Steeds meer ondernemingen starten met het werken onder architectuur. Men komt hierbij in aanraking met veel nieuwe begrippen met verschillende definities. In deze serie wordt telkens een begrip, of verzameling van begrippen, kort belicht vanuit verschillende denkwijzen. In deze editie ligt de focus op informatiebeveiliging en security architectuur. Daarom is deze keer gekozen voor begrippen uit deze vakgebieden, te weten; risico en bedreiging.

We starten met het geven van een aantal veelvuldig gehanteerde definities voor de begrippen die we deze keer behandelen. Door deze definities naast elkaar te plaatsen zie je al snel dat niet iedereen dezelfde invulling geeft aan deze begrippen.

Definitie van risico

  • “Risico is de kans dat een gebeurtenis plaatsvindt vermenigvuldigd met het gevolg van die gebeurtenis en de kans dat een bepaald scenario waarin de eerder genoemde kans plaatsvindt voorkomt (dit in tegenstelling tot het begrip onzekerheid waarbij de kansen niet bekend zijn). Het risico is tevens de blootstelling vermenigvuldigd met het gevolg en de waarschijnlijkheid. Bij dit laatste gaat het voornamelijk om langdurige processen, bij de eerste definitie gaat het vaak om plotselinge gebeurtenissen. “ 1
  • “Een risico is de gemiddelde schade over een gegeven tijdsperiode, die verwacht wordt doordat één of meer bedreigingen leiden tot een verstoring van één of meer objecten van de informatievoorziening. Dit betekent dat er sprake is van een risico als één of meer objecten van de informatievoorziening door één of meer bedreigingen getroffen kunnen worden. De grote van het risico is dan gelijk aan de te wachten schade, maal de kans dat de schade optreedt. Daarmee is het risico dus te beschouwen als ‘kans op schade * schade’, oftewel de schadeverwachting over een gegeven tijdsperiode.” 2
  • “Risico (R) is de kans op een gebeurtenis die de veiligheid bedreigt (p) maal de schadelijke effecten (E) die daarvan het gevolg zijn (R = p * E).“ 3

Definitie van bedreiging

  • “Een bedreiging is een gevaarlijke gebeurtenis die wellicht ooit voorkomt. Het gevaar kan zowel van buiten komen, als besloten liggen in een voorwerp of situatie zelf. Vooral als de bedreiging van buiten komt, wordt ook de term dreiging wel gebruikt.” 4
  • “Een bedreiging is een proces of gebeurtenis die in potentie een verstorende invloed heeft op de betrouwbaarheid van een object. In het kader van informatiebeveiliging betreft het dan de objecten van de informatievoorziening: apparatuur, programmatuur, gegevens, procedures en mensen.” 5

Twee begrippen die in nauw verband staan met bovenstaande begrippen zijn ‘dreiging’ en ‘risicoanalyse’. Een goede definitie van dreiging is lastig te vinden. Daarom geef ik in het vervolg van dit artikel een eigen definitie. Een definitie van risicoanalyse is: “Een risicoanalyse is een methode waarbij nader benoemde risico’s worden gekwantificeerd door het bepalen van de kans dat een dreiging zich voordoet en de gevolgen daarvan: Risico = Kans * Gevolg.” 6

Nu de begrippen in de praktijk

Definities zijn mooi, maar we willen wel het praktische nut of gebruik begrijpen. Risicoanalyse en risicomanagement zijn begrippen die te maken hebben met de continuïteit van de bedrijfsvoering. Zodra er calamiteiten zijn willen organisaties garanties dat hun primaire processen zoveel mogelijk gecontinueerd worden. Om dat te realiseren is het van belang te bepalen welke maatregelen daarvoor van te voren genomen moeten zijn. We behandelen de begrippen nog een keer maar nu met het oog op het praktische gebruik.

Risico: Het woord ‘risico’ wordt vaak gebruikt in ons dagelijks spraakgebruik. In die context heeft risico doorgaans een andere betekenis. We zeggen dat we een groot risico lopen om... We bedoelen dan dat de kans groot is dat... Volgens de definitie gebruiken we het begrip anders. Risico = Kans op gebeurtenis * Schade door die gebeurtenis. In Nederland is risico dus een bedrag in euro’s. Een voorbeeld: Stel dat de kans op een brand op het industrieterrein in Wageningen 0,003 procent is volgens de statistieken. Die kans is in ieder geval een getal tussen 0 en 1. Stel dat de gemiddelde schade bij een brand op industrieterreinen volgens de statistieken € 45.000.000 is. Het risico is dan R = 0,0003 * € 45.000.000 = € 13.500.

Bedreiging: Een bedreiging is de directe blootstelling aan het onheil, in welke vorm dan ook. Tenminste dat versta ik er onder. Een voorbeeld: Er staat iemand met een mes voor je die vraagt om je geld. Hier wijken we dus af van de eerder genoemde definities. Een dreiging is een steeds, latent, aanwezig gevaar. Brand, overstroming en dergelijke. Het verschil met bedreiging is dat het gevaar niet actueel is.

Risicoanalyse

Een risicoanalyse bestaat ten minste uit de volgende stappen:

  • Welke objecten worden bedreigd
  • Welke dreigingen zijn er
  • Welke incidenten kunnen zich voordoen
  • Welke schade kan dan ontstaan
  • Wat is het risico (R = K * S)

Want we kunnen wel een mooie formule hebben, we gaan die natuurlijk alleen toepassen op objecten die de continuïteit in gevaar brengen.

Samenvattend kunnen we zeggen dat alles start met de continuïteit van de bedrijfsvoering. Als zich een calamiteit, een incident met meer dan gemiddelde gevolgen, voordoet dan moeten er voorzieningen gaan werken zodanig dat de primaire bedrijfsprocessen in bepaalde, van te voren vastgestelde, mate doorgang kunnen blijven vinden. We gebruiken daarvoor de risicoanalyse als instrument.

Relatie met architectuur

Bij het ontwerpen komen architecten op vrijwel alle gebieden ook in aanraking met beveiliging. Maar nu gaat het over informatiebeveiliging. Neem als eenvoudig voorbeeld het ontwerpen van een computernetwerk. Een architect ontwerpt dan eerst een netwerk dat alle vereiste functionaliteit biedt. Daarna ontwerpt hij de beschikbaarheid van het netwerk, of beter gezegd: de beschikbaarheid van de vereiste functionaliteit. Daarna kan hij ook nog de onderhoudbaarheid van het netwerk ontwerpen en eventueel de repareerbaarheid. Herkent u deze voorbeelden in uw eigen werksituatie?

Categorie:   
Auteur(s)
afbeelding van adpaauwe
Ad Paauwe
Dragon1 Academy

Ad Paauwe is werkzaam als management consultant en trainer/coach bij Dragon1 Academy.

Nieuwe reactie inzenden

De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.
Indien het niet lukt om een reactie te plaatsen, stuur dan uw reactie naar redactie@xr-magazine.nl.
Alle inzendingen dienen correct, professioneel en beschaafd te zijn. IP-adressen worden gelogd, maar niet gepubliceerd. De redactie van XR Magazine behoudt zich het recht voor om anonieme reacties (niet op naam) of zonder geldig e-mailadres, te verwijderen zonder kennisgeving. Ook reacties waarin commerciële uitingen worden gedaan en/of commerciële producten en diensten worden aangeboden worden door de redactie verwijderd of ontdaan van commerciële uitingen zonder kennisgeving.