Handreiking Risicoanalyse

Bron: Nieuwsplatform Securitas

Door Bram de Bruijn, manager bij Securitas en docent op de opleiding risicomanager.

 

Het Nationaal Adviescentrum Vitale Infrastructuur (Navi) heeft een Handreiking Risicoanalyse geschreven waarin ervaringen zijn meegenomen, die in de praktijk op het gebied van de risicoanalyse zijn opgedaan.

 

De handreiking richt zich specifiek op risico’s die betrekking hebben op moedwillige verstoring (security) en is toepasbaar in alle vitale sectoren (dus niet sectorspecifiek). Ze is primair bedoeld voor functionarissen binnen de vitale infrastructuur die verantwoordelijk zijn voor risicomanagement en security. Deze functionarissen kunnen verschillende aanleidingen hebben om een risicoanalyse uit te voeren: bijvoorbeeld ontwikkelingen in de activiteiten van de organisatie (nieuwe of andersoortige activiteiten), ontwikkelingen in het dreigingsniveau (incident bij een soortgelijk bedrijf) of ontwikkelingen in de omgeving van de organisatie (nieuwe buurbedrijven, woonwijken en andere bebouwing in de nabijheid).

 

Cyclisch proces

De risicoanalyse in de handreiking van het Navi bestaat uit vijf stappen. De stappen zijn onderdeel van een cyclisch proces. Bij elke stap heeft het Navi één of meer modellen beschreven die de risicoanalist kan gebruiken bij het invullen van die stap.

 

Stap 1: Voorbereidingsfase

In deze fase stelt de risicoanalist de afbakening voor de risicoanalyse vast en maakt hij een plan van aanpak waarin de betrokkenheid van de eigen organisatie en de externe experts en adviseurs wordt geborgd. Onderwerpen die in het plan van aanpak aan de orde kunnen komen, zijn:

» fasering;

» doorlooptijd;

» planning;

» oplevering van eventuele tussenrapportages;

» omgang met de vertrouwelijkheid van de risicoanalyse.

Na de voorbereidingsfase is het plan van aanpak uitgewerkt, is de betrokkenheid van de mensen die hun kennis en expertise beschikbaar stellen vastgesteld, en is helder waarop de risicoanalyse wel en niet betrekking heeft (de afbakening).

 

Stap 2: Afhankelijkheidsanalyse

In de afhankelijkheidsanalyse wordt in kaart gebracht – gegeven de gekozen afbakening van de risicoanalyse in de vorige stap – hoe de organisatie functioneert, welke interne en externe factoren daarbij een rol spelen, en welke belangen in de risicoanalyse centraal zullen staan. De belangen van een organisatie die wellicht bescherming verdienen, kunnen in verschillende categorieën worden ingedeeld zoals personen, informatie, producten, diensten, bedrijfsprocessen en bedrijfsmiddelen.

Gezocht wordt naar juist die elementen van de organisatie die bij emissie, uitval, manipulatie of iets dergelijks de organisatie of de omgeving van de organisatie schade berokkenen. Daarbij kan het gaan om verschillende soorten schade: economische schade (geld, uren uitval), schade aan personen (doden of gewonden), schade aan het milieu (bijvoorbeeld door het lekken van een buisleiding) en imagoschade.

Na de afhankelijkheidsanalyse heeft de risicoanalist zicht op de belangrijkste bedrijfsmiddelen en -processen, mensen (sleutelfunctionarissen), informatie en afhankelijkheden van de organisatie. Deze zijn bovendien geclassificeerd, waardoor een prioritering is ontstaan. Bovendien heeft de risicoanalist zicht gekregen op de (fysieke) omgeving van de organisatie.

 

Stap 3: Dreigingsanalyse

Bij de dreigingsanalyse worden de typen opponenten (kwaadwillende personen) en de ongewenste activiteiten die zij moedwillig kunnen uitvoeren, geanalyseerd. Een belangrijk hulpmiddel daarbij is de Daad-Dader-Matrix (DDM). Daarbij wordt gebruikgemaakt van een groslijst aan dadertypen en een groslijst aan daden. Mogelijke dadertypen zijn bijvoorbeeld terroristen, hackers en gefrustreerde medewerkers. Mogelijke daden zijn bijvoorbeeld inbraak, diefstal, sabotage of een bompakket plaatsen. De daad-dader-combinaties die daaruit ontstaan, worden in deze analyse systematisch onderzocht door een projectteam van in- en externe deskundigen, gegeven de kenmerken van de organisatie (bedrijfsterrein, personeelsbestand, vitale onderdelen, et cetera). In totaal gaat het om 14 typen daders en om 52 daden, die theoretisch gezien leiden tot 728 mogelijke combinaties. Na het uitvoeren van de DDM-analyse ontstaat een lijst met de meest relevante daad-dader-combinaties.

Dreigingen worden als relevant beschouwd als ze voldoende realistisch zijn en een wezenlijke bedreiging vormen voor de bedrijfsmiddelen of –processen van de organisatie, dan wel voor de omgeving van de organisatie. Met behulp van de Checklist scenariobeschrijving kunnen relevante daaddader- combinaties worden uitgewerkt tot scenario’s.

 

Stap 4: Kwetsbaarheidsanalyse

In de kwetsbaarheidsanalyse wordt de weerstand van de organisatie in kaart gebracht. Daarbij staat in het bijzonder de weerstand centraal die wordt geboden tegen de mogelijke dreigingen die in de dreigingsanalyse naar voren zijn gekomen (en uitgaande van de bescherming van de bedrijfsmiddelen en -processen en afhankelijkheden die in de afhankelijkheidsanalyse naar voren zijn gekomen). Bij weerstand kan worden gedacht aan de maatregelen die zijn genomen, bijvoorbeeld fysieke maatregelen, ICT- en informatiebeveiligingsmaatregelen, personele maatregelen en organisatorische maatregelen. Hierbij kan een onderscheid worden gemaakt tussen de permanente maatregelen en de opschalingsmaatregelen die in werking kunnen treden bij een verhoogd dreigingsniveau (bijvoorbeeld op basis van het Alerteringssysteem Terrorismebestrijding, het ATb).

 

Drie modellen

Voor de deze kwetsbaarheidsanalyse worden in de handreiking drie modellen beschreven:

1. Het Weerstand-inventarisatie-model, dat helpt om systematisch de weerstand in kaart te brengen.

2. Het model van de ‘Business continuity factoren’, waarmee het mogelijk is om de weerstand te onderzoeken van de bedrijfsprocessen en -middelen aan de hand van de vier factoren die relevant zijn voor de business continuity: reservevoorraad, redundantie, reparatiesnelheid, en vervangbaarheid.

3. De padanalyse, waarbij vanuit een geselecteerde daad-dader-combinatie het pad met de minste weerstand kan worden gezocht.

Nadat de kwetsbaarheidsanalyse is uitgevoerd, heeft de risicoanalist een beeld van de weerstand en van de kwetsbaarheid van de eigen organisatie.

 

Stap 5: Risicoweging

De risicoweging is de laatste stap in de risicoanalyse. De drie voorgaande analyses (die van de afhankelijkheden, dreigingen en weerstand) vormen de input hiervoor. De gevonden scenario’s waartegen tot op heden relatief weinig weerstand bestaat, worden geschat op hun waarschijnlijkheid en op de mogelijke impact (waaronder economische schade, slachtoffers en gewonden).

Na de risicoweging heeft de risicoanalist een beeld van de risico’s en de relatieve grootte ervan. Dat vormt de basis voor een discussie die ná de risicoanalyse kan worden gevoerd, namelijk de discussie over of de gevonden risico’s aanleiding vormen om aanvullende maatregelen te nemen.

 

Follow-up ná de risicoanalyse

In de risicoanalyse zijn achtereenvolgens een afhankelijkheids-, dreigings en kwetsbaarheidsanalyse uitgevoerd. Bij de laatste stap – de risicoweging – zijn de relevante scenario’s vervolgens gescoord op waarschijnlijkheid en impact.

Dat is het einde van de risicoanalyse en tevens de start van het proces dat ná de risicoanalyse volgt: het opstellen van een beveiligingsplan waarin wordt verkend welke maatregelen eventueel genomen kunnen of moeten worden naar aanleiding van de gevonden risico’s. Er zijn verschillende mogelijkheden om met risico’s om te gaan, zoals het verminderen en beperken van risico’s – door het treffen van preventieve (vooraf) of repressieve (achteraf) maatregelen – of door het accepteren van risico’s, bijvoorbeeld omdat maatregelen meer geld kosten dan ze opleveren. De keuze tussen deze mogelijkheden vindt plaats door een kosten-batenanalyse (KBA) uit te voeren naar de eventueel te nemen maatregelen.

 

 

Meer weten?

Op de opleiding risicomanager leert u van o.a. Bram de Bruijn hoe u uw organisatie beschermt tegen mogelijke risico’s.

 

 

 

Over Frank van Summeren

Congres- en opleidingsmanager veiligheid bij het Studiecentrum voor Bedrijf en Overheid.

Bekijk ook

Ben jij voldoende op de hoogte van de laatste ontwikkelingen als QHSE-manager?

Als QHSE-manager ben jij verantwoordelijk voor het kwaliteit-, gezondheid-, veiligheid- en milieubeleid in jouw organisatie. …

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *