Risicoregister
Proactief risico's identificeren, beoordelen en beheren binnen uw applicaties
Wat is het risicoregister?
Het risicoregister is waar uw organisatie bekende dreigingen en kwetsbaarheden documenteert voordat ze incidenten worden. In plaats van te wachten tot er iets misgaat, identificeert u proactief wat er mis kan gaan, beoordeelt u hoe waarschijnlijk en hoe schadelijk het zou zijn, en bepaalt u een actieplan.
Elk risico in Anzen is gekoppeld aan een applicatie - of dat nu een bedrijfsapplicatie, een capability of een dienst is. Dit zorgt ervoor dat risico's geen zwevende abstracties zijn maar gebonden zijn aan iets tastbaars dat uw team beheert.
Het risicoregister voedt rechtstreeks het risicorapport, waar inherente en residuele scores worden samengevoegd in heatmaps, trendanalyse en aankomende beoordelingsschema's.
Waar te vinden
Navigeer naar een applicatiedetailpagina en scroll naar het Risicoregister gedeelte. Elke applicatie heeft een eigen set risico's, wat u een gerichte weergave geeft van wat dat specifieke deel van het bedrijf bedreigt.
U kunt ook een geconsolideerd overzicht van alle risico's over alle applicaties zien in het risicorapport onder het tabblad Risicoregister.
Een risico aanmaken
Klik op Nieuw risico vanuit de detailpagina van een applicatie. Het formulier begeleidt u bij het vastleggen van de essentiële informatie:
- Titel en beschrijving - een duidelijke, specifieke omschrijving van de dreiging. Vermijd vage taal; "ransomware-aanval op productie-infrastructuur" is beter dan "cyberrisico".
- Categorie - classificeer het domein: strategisch, operationeel, financieel, compliance, technologie of reputatie. Dit helpt bij filteren en prioriteren binnen de organisatie.
- Inherente risicoscore - de waarschijnlijkheid en impact voordat maatregelen zijn toegepast. Dit vertegenwoordigt de ongemtigeerde dreiging.
- Residuele risicoscore - de waarschijnlijkheid en impact nadat uw maatregelen zijn ingevoerd. Het verschil tussen inherent en residueel toont hoe effectief uw mitigatie is.
- Behandelstrategie - uw gekozen reactie: mitigeren, accepteren, overdragen of vermijden.
- Risico-eigenaar - de persoon die verantwoordelijk is voor het bewaken en beheren van dit risico. Standaard de applicatie-eigenaar, maar kan worden gewijzigd.
- Beoordelingsdatum - wanneer dit risico opnieuw moet worden beoordeeld. Verlopen beoordelingen worden gemarkeerd in het risicorapport.
Risicoscoring
Elk risico wordt gescoord op twee dimensies: waarschijnlijkheid (hoe waarschijnlijk is het?) en impact (hoe ernstig zouden de gevolgen zijn?). Beide worden beoordeeld op een schaal van 1 tot 5.
De totale risicoscore is het product van de twee: waarschijnlijkheid × impact, met een bereik van 1 (triviaal) tot 25 (kritiek). Anzen kleurt deze scores zodat uw team risico's met hoge prioriteit in één oogopslag kan herkennen:
| Scorebereik | Ernst | Kleur |
|---|---|---|
| 1-4 | Laag | Groen |
| 5-9 | Medium | Oranje |
| 10-15 | Hoog | Rood |
| 16-25 | Kritiek | Paars |
Zowel inherente (vóór maatregelen) als residuele (na maatregelen) scores worden naast elkaar getoond, waardoor het eenvoudig is om aan te tonen dat uw mitigatie-inspanningen werken.
Risicocategorieën
Anzen biedt zes categorieën om risico's binnen uw organisatie te classificeren:
- Strategisch - risico's voor bedrijfsrichting, marktpositie of concurrentievoordeel.
- Operationeel - risico's voor dagelijkse processen, personeel of leveranciersafhankelijkheden.
- Financieel - risico's voor omzet, budgetten of kostenstructuren.
- Compliance - risico's op regelovertredingen, juridische blootstelling of beleidsschendingen.
- Technologie - risico's gerelateerd aan systeemfouten, cyberdreigingen of infrastructuurstoringen.
- Reputatie - risico's voor merkperceptie, publiek vertrouwen of stakeholdervertrouwen.
Risicostatussen
Elk risico volgt een levenscyclus van identificatie tot oplossing:
| Status | Betekenis |
|---|---|
| Open | Het risico is geïdentificeerd maar er is nog geen actie ondernomen. |
| In behandeling | Actieve mitigatie is gaande - maatregelen worden geïmplementeerd of versterkt. |
| Geaccepteerd | De organisatie heeft bewust besloten dit risico te tolereren. |
| Gemitigeerd | Maatregelen zijn ingevoerd en effectief. Residueel risico is binnen acceptabele grenzen. |
| Gesloten | Het risico is niet langer relevant - de dreiging is geëlimineerd of het asset is uitgefaseerd. |
Behandelstrategieën
Wanneer u een risico identificeert, moet u beslissen hoe u reageert. Anzen ondersteunt de vier standaard behandelstrategieën uit ISO 31000:
| Strategie | Wanneer te gebruiken |
|---|---|
| Mitigeren | Implementeer maatregelen om de waarschijnlijkheid of impact te verminderen. Dit is de meest voorkomende reactie - bijvoorbeeld het inzetten van endpoint-detectie om ransomwarerisico te verminderen. |
| Accepteren | De kosten van mitigatie wegen niet op tegen het potentiële verlies, of het risico valt onder uw bereidheidsdrempel. Documenteer waarom, stel een beoordelingsdatum in en monitor. |
| Overdragen | Verschuif de financiële impact naar een derde partij via verzekering, uitbesteding of contractuele verplichtingen. |
| Vermijden | Elimineer het risico volledig door de activiteit, het systeem of het proces dat het creëert te verwijderen. Dit is gepast wanneer het risico onaanvaardbaar is en niet adequaat kan worden gemitigeerd. |
Risico's koppelen aan uw organisatie
Risico's bestaan niet in isolatie. Anzen laat u elk risico verbinden met de onderdelen van uw organisatie die het raakt:
- Getroffen assets - welke configuratie-items (servers, systemen, apparaten) zouden worden getroffen als dit risico zich voordoet?
- Getroffen bedrijfsprocessen - welke bedrijfsprocessen zouden worden verstoord?
- Mitigerende maatregelen - welke maatregelen verminderen de waarschijnlijkheid of impact van dit risico? Het koppelen van maatregelen aan risico's creëert een traceerbare keten van dreiging tot mitigatie.
- Gerelateerde tickets - wijzigingsverzoeken of incidenten die betrekking hebben op dit risico voor audit-traceerbaarheid.
Deze koppelingen dienen twee doelen: ze geven auditors een helder beeld van hoe u risico's beheert, en ze voeden het risicorapport voor geautomatiseerde scoring en dekkingsanalyse.
Risico-eigenaarschap
Elk risico moet een eigenaar hebben - de persoon die verantwoordelijk is voor het bewaken, behandelen en tijdig beoordelen van het risico. Bij het aanmaken van een risico is de eigenaar standaard de applicatie-eigenaar, maar u kunt elke gebruiker toewijzen.
Risico-eigenaarschap is niet hetzelfde als het werk doen. De eigenaar kan herstelwerkzaamheden delegeren aan engineers of beveiligingsteams, maar blijft verantwoordelijk voor het beheer en de tijdige rapportage.
Beoordelingshistorie
Elke wijziging aan een risico wordt vastgelegd in de Beoordelingshistorie tijdlijn op de risicodetailpagina. Dit omvat wijzigingen in scores, status, behandelstrategie, eigenaarschap en beoordelingsdata.
De historie toont wie elke wijziging heeft aangebracht, wanneer, en precies welke velden zijn gewijzigd - met oude en nieuwe waarden naast elkaar. Deze audit trail is essentieel om aan toezichthouders en auditors aan te tonen dat uw risicobeheer een actief, levend proces is in plaats van een eenmalige exercitie.
Beoordelingscyclus
Stel een beoordelingsdatum in voor elk risico om een herbeoordelingscadans vast te stellen. Het tabblad Risicoregister in het risicorapport markeert risico's met aankomende of verlopen beoordelingen, zodat niets tussen wal en schip valt.
Een goede praktijk is om kritieke risico's (scores boven 15) elk kwartaal te beoordelen en lagere risico's jaarlijks. Elke beoordeling moet de inherente en residuele scores opnieuw evalueren, bevestigen dat de behandelstrategie nog steeds passend is, en de beoordelingsdatum bijwerken voor de volgende cyclus.