Definitie

De impactanalyse is het onderdeel van de risicoanalyse dat zich richt op de omvang van het risico. In termen van ISO/IEC-27005 gaat het dan om ‘risk estimation’. Voor de term ‘impact’ worden ook wel synoniemen als ‘gevolgen’ of ‘schade’ gebruikt. De schade is vervolgens verder te classificeren als directe schade en indirecte schade. Je kunt de impactanalyse in relatie tot de andere onderdelen van de risicoanalyse definiëren als het vaststellen van de schade die optreedt als een dreiging zich voordoet en een kwetsbaarheid weet te benutten zodat deze manifest wordt.

Plaats binnen de analyse

De impactanalyse kan, afhankelijk van de gekozen methode, op verschillende plaatsen in het stappenplan voor een risicoanalyse naar voren komen: 1. Bij de start van de analyse in de vorm van een Business Impact Analyses (BIA) of Afhankelijkheidsanalyse (A-analyse). In de BIA wordt aan de hand van een aantal scenario’s met mogelijke gevolgen vastgesteld welke schade, verdeel over de drie criteria BIV, zou kunnen plaatsvinden. Zoals de naam al zegt, vindt de analyse plaats vanuit het gezichtspunt van de business, de bedrijfsvoering, richting de geautomatiseerde ondersteuning. Dit levert dan uiteindelijk een score op met het niveau van de eisen. Dit niveau geeft dan aan welk beveiligingsniveau geleverd zou moeten worden en wordt dan weer gebruikt bij het selecteren van de maatregelen. Bij de A-analyse wordt niet zozeer gewerkt met scenario’s maar met typeringen van processen. Wel wordt nadrukkelijk gekeken naar de eisen vanuit wet- en regelgeving. Ook deze aanpak leidt uiteindelijk tot de aan de geautomatiseerde ondersteuning te stellen betrouwbaarheidseisen. 2. Als gevolganalyse na de dreigingsanalyse. In dit geval wordt eerst bepaald welke dreigingen of oorzaken kunnen optreden. Vervolgens wordt gekeken wat het gevolg of de gevolgen kunnen zijn. Ook hierbij kan gewerkt worden met typering van gevolgen die overeenkomt met scenario’s tijdens de BIA. Daarna vindt dan een kwalificering (meestal) of kwantificering plaats van de ernst van de schade. Deze typering wordt dan weer meegenomen tijdens de maatregelenselectie. 3. Zoals hiervoor bij beide stappen is aangegeven, worden de uitkomsten van de impactanalyse gebruikt bij het selecteren van de maatregelen. Zie aldaar.

Mogelijke scenario’s

Voorbeelden van scenario’s die in de verschillende methoden naar voren komen, zijn: • (directe) financiële schade • imago- of reputatieschade / verlies aan goodwill • niet (geheel) naleven van wet- en regelgeving (non-compliance) • foute gegevens / fouten in de informatieverstrekking • niet beschikbaar zijn / verstoring van de bedrijfsvoering In de scenario’s kunnen verschillen in de sectoren naar voren komen. In de industrie kan ‘aantasting van safety’ een scenario zijn. Voor de overheid kan ‘verstoring van de openbare orde’ een scenario zijn. Specifiek voor Defensie kan men nog rekening houden met ‘verlies van mensenlevens’ of ‘security en intelligence’. Sommige organisaties willen wellicht non-compliance nader opdelen en ‘aantasting van de privacy’ als apart scenario hanteren. Deze voorbeelden maken wel duidelijk dat in een bepaalde situatie meer scenario’s tegelijk van toepassing kunnen zijn! Deze voorbeelden maken ook duidelijk dat de scenario’s in meer of mindere mate kunnen aansluiten op de behoeften van de organisatie. In een handmatige aanpak bestaat natuurlijk volledige vrijheid om scenario’s op maat te kiezen. Bij geautomatiseerde ondersteuning kan dit een selectiecriterium zijn bij de keuze van de methode/tool.