Workshop 1: Risico’s

De Workshop Facilitator geeft een korte introductie over het doel van het project, en de discipline informatiebeveiliging. Hierbij komen aan de orde:

• informatieveiligheid is constant in beweging

• informatiebeveiliging als proces (PDCA)

• Beschikbaarheid, Vertrouwelijkheid en Integriteit als peilers

• Risico = Probabiliteit x Impact

• Het iteratieve karakter van de Canvas Methode: het hoeft niet compleet of correct te zijn, we verbreden, verdiepen en corrigeren in de volgende cyclus

Hieronder is een voorbeeld opgenomen van een presentatie, die kan helpen om de bovenstaande onderwerpen over te brengen op de deelnemers.

Na de introductie start hij/zij het interactieve deel van de workshop.

De onderstaande onderwerpen worden behandeld met behulp van het Canvas.

Context

Deelnemers worden uitgenodigd alle zaken in hun organisatie en de buitenwereld de benoemen, die invloed hebben op hun werk (en meer specifiek het werken met informatie). Een DESTEP-raamwerk kan hierbij behulpzaam zijn. De genoemde zaken worden op Post-Its genoteerd en op het Canvas geplakt. De deelnemers wordt gevraagd een korte toelichting te geven hoe de verschillende onderwerpen hun werkzaamheden beïnvloeden.

Proces

De deelnemers benoemen de verschillende processen op hun afdeling / in hun team. De processen worden op Post-Its genoteerd en op het Canvas geplakt. Er is ruimte voor het benoemen van sub-processen of processtappen, die volgens deelnemers in dit kader specifieke aandacht verdienen.

Daarbij vraagt de Workshop Facilitator specifiek naar:

• waar informatie vandaan komt, en via welk medium

• hoe ze die informatie gebruiken in hun proces / met welk doel

• aan wie ze informatie leveren, en via welk medium

• welke tooling ze daarbij gebruiken (software, papier, etc.)

Indien gewenst kan het proces geschetst worden als diagram.

Opmerking: het doel van deze exercitie is niet een correcte of volledige specificatie van de genoemde zaken. Het in kaart brengen van de processen is slechts een hulpmiddel om de deelnemers alert te maken op mogelijke risico’s.

Risico's

De Workshop Facilitator vraagt de deelnemers om de voor hun team of afdeling relevante risico’s rond de verwerking van informatie te noteren op Post-Its. Hij/zij herinnert ze hierbij eventueel aan de aspecten Beschikbaarheid, Vertrouwelijkheid en Integriteit van de informatie.

Vraag de deelnemers om voor ieder risico's een nieuwe Post-It te gebruiken (dus één risico per Post-It). Laat ze op de Post-It ook hun initialen noteren, dat is handig voor de verslaglegging en als je achteraf een toelichting wilt vragen.

Geef de deelnemers ruimte om hun zorgen op hun eigen manier te benoemen: wat ze opschrijven valt vaak niet binnen de formele definitie van een risico (een mogelijke gebeurtenis met negatieve gevolgen). In de praktijk zul je risico’s (‘laptop gestolen’), kwetsbaarheden (‘geen encryptie op laptop’), en gevolgen (‘datalek’) door elkaar heen terugkrijgen.

De Workshop Facilitator bespreekt dan de genoteerde risico’s met de deelnemers: om welke (negatieve) gebeurtenis gaat het, door welke kwetsbaarheid wordt het risico veroorzaakt, en wat zijn de mogelijke gevolgen als het daadwerkelijk gebeurt.

Na bespreking plakt de Workshop Facilitator iedere Post-It op het Canvas.

Vaak zal eenzelfde risico door meerdere deelnemers benoemd worden, de Workshop Facilitator voegt ze dan samen door bijv. de Post-Its op elkaar te plakken.

Vervolgens worden de Post-Its in overleg gerangschikt op impact: risico’s met de hoogste impact komen bovenaan in de kolom, risico’s met de laagste impact onderaan.

De Workshop Facilitator licht toe, dat het doel hiervan alleen is het bepalen van prioriteiten. De Workshop Facilitator trekt nu twee lijnen, waardoor er drie clusters ontstaan. Het eerste cluster van risico’s wordt in de huidige iteratie aangepakt, het tweede cluster mogelijk ook (voor een deel), en het laatste cluster is sowieso voor een volgende cyclus.

Opmerking: Er zullen risico’s genoemd worden die wellicht niet in scope zijn van het project, maar daar wordt niet hard op gecorrigeerd. Het kan benoemd worden op het moment dat de behandeling van de risico’s wordt vastgesteld.

Risicobehandeling

De Workshop Facilitator pakt de risico’s met de hoogste prioriteiten, en bespreekt met de deelnemer of een risico door het team zelf aangepakt moet worden (‘mitigate’), of het risico door een ander team of partij aangepakt moet worden (‘transfer’), of het risico vermeden kan worden (‘avoid’), of het risico acceptabel is (‘accept’). De betreffende Post-It verhuist naar een van de vier kwadranten. De gekozen behandeling wordt genoteerd.

Verslaglegging

Na afloop van de workshop zorgt de Workshop Facilitator voor een verslaglegging. Hieronder is een voorbeeld opgenomen van een manier waarop dat kan gebeuren. De Workshop Facilitator deelt de verslaglegging met de deelnemers aan de workshop.

Verdieping

Als verdieping kunnen de Risk Cards gebruikt worden. Hierop worden genoteerd:

• de beschrijving van het risico

• de omstandigheden waaronder het risico zich voordoet

• de mogelijke gevolgen voor het team en/of de organisatie

• inschatting van probabiliteit en impact (financieel, reputatie, continuïteit)

• risicoscore (PxI)

• risicobehandeling (zie hierboven)

• transfer naar … (wordt vastgesteld in het Afstemmingsoverleg)