Om je risico's te beheersen implementeer je beheersmaatregelen. Traditioneel leg je bij een risico vast welke maatregelen je hiervoor genomen hebt. Door het nemen van de maatregelen zorg je ervoor dat je inherente risio verlaagd wordt naar je actuele risico. Maar zorgt elke maatregel voor evenveel verlaging van het risico? Vaak zijn er twee of drie primaire maatregelen die echt van invloed zijn en zijn er een aantal secundaire maatregelen die zijdelings ook helpen. Dat wil overigens niet zeggen dat de secundaire maatregelen sowieso niet nuttig zijn, ze kunnen voor een ander risico ook als primaire maatregel fungeren.
Om onderscheid te maken in deze belangrijke en minder belangrijke maatregelen voor een risico, is in Isotoolkit.nl een weegfactor opgenomen in de koppeling tussen maatregelen en risico's. Als een risico met twee maatregelen beheerst wordt, maar de ene is 9x zo belangrijk dan de andere, vul je bij de belangrijkste maatregel 9 in en bij de andere 1.
Je mag de weegfactoren procentueel invullen, dus in bovenstaand voorbeeld 90(%) en 10(%), maar dus ook gewoon als verhoudingsgetallen. Isotoolkit.nl rekent de factoren altijd zelf om naar procenten voor een correcte interne berekening.
Stel nu dat de maatregel die voor 10% bijdraagt aan het beheersen van het risico uitvalt, dan hoef je je om dit risico nog niet hele druk te maken. Valt echter de maatregel van 90% uit, dan kun je rustig stellen dat je risico teruggevallen is naar het inherente risico.
Isotoolkit.nl rekent van alle risico's de performance uit door een gewogen gemiddelde te nemen van de performance van de beheersmaatregelen en de weegfactoren. Risico's met een performance van 100% zijn dus compleet en goed beheerst. Lagere performances geven dus aan dat risico's aandacht nodig hebben. In ons informatiebeveilingingsoverleg hebben we altijd aandacht voor de risico's met de laatste performances.
De volgende vraag is dan natuurlijk hoe de performance van een beheersmaatregel bepaald wordt. Als je verder niks doet, is de performance van de maatregel afhankelijk van de status. Statussen zijn vaak 'niet geimplementeerd', 'deels geimplementeerd' en 'volledig geimplementeerd'. De statussen kun je zelf bewerken in Isotoolkit.nl onder beheer->beheersmaatregelstatussen. Hier kun je ook de standaard performance invoeren. Voor de gegeven voorbeelden zou dat respectievelijk 0, 50 en 100% kunnen zijn. Als je net start met de implementatie van het ISMS is deze methode prima en kun je goed zien welke risico's inmiddels al dan niet goed beheerst worden. Je werkt er uiteindelijk naar toe dat alle maatregelen volledig geimplementeerd zijn, waardoor de perforamance van alle maatregelen 100% wordt en daarmee ook de performance van de risico's. In de praktijk is dat vaak anders en heb je behoefte om te meten hoe een maatregel performt. ISOtoolkit doet dat op twee manieren.
De eerste meetmethode is gebasseerd op 'negatief bewijs'. Als er aangetoond wordt dat de maatregel niet loopt, wordt dat geregistreerd. Enerzijds kunnen dat informatiebeveiligingsincidenten zijn, die veroorzaakt worden door het falen van een maatregel. Anderzijds kunnen dit geconstateerde afwijkingen zijn tijdens interne of externe audits. Sommige organisaties registreren ook gesignaleerde zwakheden. In ISOToolkit wordt voor elk record in het scherm 'incidenten en afwijkingen' 5% van de performance afgetrokken zolang de status niet op afgerond staat. Stel je hebt een afwijking en 2 openstaande incidenten op een volledig geimplementeerd maatregel, dan is de performance van die maatregel 85%.
Deze eerste methode werkt alleen als de afwijkingen of incidenten ook gesignaleerd worden. Daarom wordt er door ISOToolkit ook 'positief bewijs' verzameld. Dit gebeurt op basis van herhaalde taken. Aan een maatregel kun je taken koppelen. Bij de maatregel backup leg je bijvoorbeeld vast dat je elke werkdag checkt of de backup goed gelope heeft en dat je bijvoorbeeld elk kwartal checkt of een backup ook teruggezet kan worden. Degene die de taak moet uitvoeren, moet dit in ISOToolkit ook afvinken en eventuele bijzonderheden vermelden. Als de taak niet (tijdig) wordt afgevinkt, daalt de performance van de aan de taak gekoppelde maatregel. De frequenties van de taken en de marge in werkdagen kun je allemaal zelf configureren. Er zijn een aantal bijzondere 'frequenties' beschikbaar. Als eerste het aanmaken of verwijderen van een asset, waardoor je bijvoorbeeld kunt registreren dat een hardeschijf vernietigd is. En als tweede het aanmaken of verwijderen van een medewerker, waardoor je bijvoorbeeld de indiensttredingsprocedure kunt afvinken.
Het al dan niet uitvoeren van de taken zorgt ervoor dat de taak een performance krijgt Als bijvoorbeeld vbij 3 van de 10 medewerkers de VOG-aanvraag niet (tijdig) gedaan is, heeft deze taak een performance van 70%. De performance van een maatregel met taken is het gemiddelde van de performance van de gekoppelde taken, verminderd met de openstaande afwijkingen of incidenten.
Door aan elke maatregel op deze manier taken te koppelen sla je twee vliegen in een klap: enerzijds krijg je dus inzicht in de performance van de maatregelen en daarmee ook van de risico's. Anderzijds zorgt het er ook voor dat je de operationele planning van alle ISMS-aciviteiten geborgd hebt.