GRIP HC&H De top 5 grootste informatiebeveiligingsrisico’s bij corporaties Hoe breng je risico’s in kaart? Informatiebeveiligingsmaatregelen worden risico-gebaseerd genomen. Een risico bestaat uit de kans dat er een onwenselijke situatie ontstaat en de (eventuele) impact ervan. De impact kan imagoschade of financiële schade zijn. In de meeste gevallen worden kans en impact op een schaal van 1 t/m 5 geclassificeerd. Beide scores worden vermenigvuldigd en vormen de risicoscore. 5 4 3 2 1 5 4 3 2 1 1 (bijna altijd) Accepteren 10 8 6 4 2 2 15 12 9 6 3 3 Impact Afwegen 20 16 12 8 4 4 25 20 15 10 5 5 (bijna altijd) Niet accepteren Risicoanalyse Informatiebeveiligingsrisico’s zijn niet alleen IT-risico’s, maar liggen ook op andere domeinen, zoals bijvoorbeeld: • HR (inname laptops, telefoons, etc. bij uitdiensttreding) • Facilitair (inbraakbeveiliging) • Kennis en gedrag medewerkers (weet iedereen wat wel en niet mag) • Control (is Informatiebeveiliging onderdeel van de Planning & Control-cyclus) Om een volledig beeld van alle risico’s te krijgen, zal er bij alle afdelingen geïnventariseerd moeten worden waar de risico’s liggen. Voordat risico’s geïnventariseerd en gescoord kunnen worden, bepaal je wat iedere score betekent. Een impactscore van 5 betekent bijvoorbeeld dat als een gebeurtenis zich voordoet in die categorie de organisatie op omvallen staat en/of er onherstelbare schade is ontstaan bij klanten. Een score van 1 betekent dat de schade nihil is. Aan de score koppel je bedragen, immers, grote corporaties kunnen een groter schadebedrag dragen dan kleine corporaties. Ook kans wordt op een schaal van 1 t/m 5 gescoord. Een kans van 5 betekent dat de gebeurtenis zich vaak voordoet, bijvoorbeeld eens per maand. Een score van 1 betekent dat de gebeurtenis zich zeer sporadisch voordoet, bijvoorbeeld eens per 5 jaar. Als de niveaus bepaald zijn, kunnen de risico’s in kaart gebracht worden. Als de organisatie weet waar de risico’s zitten, kunnen er effectieve maatregelen genomen worden. Alle medewerkers hebben immers informatie nodig en/of verwerken informatie om hun functie uit te kunnen voeren. HC&H Consultants organiseert meestal een viertal workshops, namelijk: • Workshop Klant en Wonen • Workshop Vastgoed (onderhoud en projecten) • Workshop ICT, Financiën en Control • Workshop HRM, Communicatie en Facilitair 24 Kans
25 Online Touch Home