De kans op een goede risicoanalyse is: 50/50
“Wij werken risico-gebaseerd.” Herkenbare zin? In security is dit een gouden basisregel. We analyseren heel wat risico’s. En we managen de geanalyseerde risico’s. Met registers, risk-appetite, risicoacceptatie, risico mitigatie, tijdelijke uitzonderingen, noem maar op.
We hebben allerlei methodieken. Van RAVIB, failure-mode-effect-analyses tot gewoon wat prutsen in een excel.
We bouwen matrixen met scores. Van “zeer hoog” tot “zeer laag”. Daar hangen we vervolgens graag definities aan (het moet wel meetbaar en objectief blijven!). “Zeer hoog” is bijvoorbeeld miljarden euro’s schade. Onherstelbare reputatieschade. Of zelfs mensenlevens.
Zelf werk ik ook met risicoanalyses. Waarbij ik probeer in groepen met relevante interne en externe experts te kijken naar zoveel mogelijk risico’s. Daar hangen we een kans x impact aan. We bedenken maatregelen en bepalen vervolgens het “restrisico”.
Waarom zeg ik dit allemaal? Nou, omdat ik soms het idee heb dat wij als vakgebied wel érg veel waarde hechten aan risicoanalyses. En dat we het soms ook allemaal wel erg ingewikkeld maken.
Ik zal nooit vergeten dat ik in een risicoanalyse workshop een deelnemer hoorde opperen: “Dat corona virus in Azië hè? Wat als dat nou ook hier komt en iedereen wordt ziek?” Een paar andere deelnemers gniffelden. Mijzelf inclusief. Maar, mijn vaste regel is dat in principe alle risico’s die zijn genoemd, worden genoteerd. Zo ook corona. Kans? Laag. Impact? Hoog. Maatregelen? Niet nodig, want de kans is laag.
Airbags vs. aliens: wat doe je?
Risico’s met lage kans/hoge impact vallen veelal in één van deze categorieën: airbag risico of “wat als de aliens landen”-risico. Het zijn de allerlastigste risico’s wat mij betreft. Met airbag risico bedoel ik: hoe groot acht de gemiddelde automobilist de kans op een frontale botsing? Dat zal veelal laag zijn. Maar de impact is hoog. Daarom zijn airbags verplicht (of gordels, wat je wilt). Je neemt die maatregel, ondanks de lage kans, vanwege de hoge impact. Dan het “wat als de aliens landen” risico. Ook dat risico heeft een lage kans, hoge impact. Maarja, moet je daar nu echt maatregelen tegen gaan nemen? Daar bedoel ik mee; sommige risico’s zijn/lijken zó ver gezocht, dat de maatregelen bijna draconisch worden. Dat zijn moeilijke afwegingen om te maken.
Schijnprecisie: waarom ‘laag/midden/hoog’ misleidt
Ik ben ook gestopt met het kwantificeren van “laag”, “midden” en “hoog”. Ik vind het in de praktijk veel te ingewikkeld goed in te schatten en weinig helpen in het categoriseren van het risico. Daarnaast werk ik ook niet met scores of met “zeer laag”, “zeer hoog” of allerlei varianten daarvan. Door het fijnmaziger te maken, maak je het voor mensen complexer om een goede inschatting te maken in mijn ervaring. En de kwaliteit van de analyse gaat daarmee niet vooruit.
De grenzen van risicoanalyses
Wat is de kwaliteit van een risicoanalyse eigenlijk? Je blijft last houden van bias. En het blijft altijd afhankelijk van de kennis/kunde van de deelnemers. Daarnaast is het ook soms gewoon een slag in de lucht; je weet het soms gewoon niet. Sommige analyses hebben daarnaast last van kip-ei problematiek. Doe je een analyse voorafgaand aan een project, dan mis je nuance/informatie. Doe je het aan het einde, dan is er nog weinig aan te wijzigen. En in het midden loop je ook al tegen keuzes aan die allang gemaakt zijn.
“Maak het dan een levend document!” hoor ik je zeggen. Dat zal voor sommige projecten zeker een optie zijn. Maar een gemiddelde risicoanalyse van mijn hand levert al gauw meer dan honderd risico’s op. Gezien de werklast en prioriteiten, is het wel ingewikkeld om dat constant te blijven herzien voor allerlei projecten/systemen/etc.
Moeten we dan maar stoppen met risico gebaseerd werken in security? Zeker niet. Een boel risico’s zijn ook gewoon heel goed en gericht in te schatten. Denk aan kwetsbaarheden en CVSS op je systemen.
Daarnaast is het ook gewoon goed om eens gericht stil te staan bij waar je allemaal mee te maken kunt krijgen in de praktijk.
Toch denk ik dat we als professionals nog wat vaker een sterke disclaimer mogen plaatsen bij onze analyses. Want wat mij betreft:
• Het is een schatting, op basis van best-effort (ervaring, cijfers, maar toch; best effort. Niemand heeft een glazen bol).
• Het is een momentopname. Morgen kan er iets gebeuren (corona!) waardoor de wereld er ineens totaal anders uitziet.
• Het is altijd onvolledig. Er zijn altijd risico’s die je over het hoofd ziet.
Iedereen moet doen wat bij diens organisatie past. In bepaalde sectoren kan het meerwaarde hebben om risico’s toch fijnmaziger te maken en te kwantificeren.
Maar welke methode je ook gebruikt. De bovenstaande drie punten blijven wat mij betreft staan. Kunnen we dat ooit veranderen? Ik betwijfel het. Informatiebeveiliging blijft een vak met vele facetten en onzekerheden. Het is daarin wezenlijk anders dan bijvoorbeeld inbraakbeveiliging, om maar iets te noemen.
Waar het echt om draait
Misschien is dat wel de kern van risico-gebaseerd werken: accepteren dat zekerheid niet bestaat. Dat we proberen grip te krijgen op een werkelijkheid die voortdurend verandert. En dat is prima. Want het gaat niet om de perfecte analyse, maar om het gesprek dat we erover voeren. Zolang we blijven nadenken, doen we precies wat informatiebeveiliging nodig heeft: bewust omgaan met onzekerheid.
Over Fleur
Fleur is een ervaren professional met meer dan 10 jaar ervaring in informatiebeveiliging. Ze is CISO bij de overheid en produceert een podcast voor CISOs, genaamd ‘CISO praat’. Haar passie ligt bij het vinden van oplossingen en het adviseren over strategische vraagstukken binnen informatiebeveiliging.
Met een focus op de technische en strategische aspecten, duikt Fleur graag de diepte in en onderzoekt oplossingen, zoals het veilig gebruik van openbare wifi-netwerken en effectieve bescherming tegen phishing. Ze is vooral geïnteresseerd in de balans tussen gebruiksgemak en beveiliging én de uitdagingen van specialistische kennis in een digitaliserende wereld.
In haar columns behandelt Fleur fundamentele uitdagingen voor informatiebeveiligers, zoals de effectiviteit van beveiligingsmaatregelen en het groeiende aanbod van beveiligingsdiensten. Ze hoopt haar lezers te inspireren tot nieuwe inzichten en innovatieve ideeën.
