A&K methode – Risico analyse voor de overheid

A&K methode – Risico analyse voor de overheid

Inleiding A&K methode

De A&K methode is een risico analyse methode. A&K staat voor afhankelijkheids- en kwetsbaarheidsanalyse. Het is een analyse die bedacht is door de Nederlandse overheid. Op basis van dit model zijn diverse risico analyses gebaseerd. Het NAVI heeft deze methode bijvoorbeeld gebruikt als basis voor de risico analyse voor de vitale infrastructuur sector.

Stappen A&K methode

De A&K methode kent de volgende stappen:

Stap 1: Afhankelijkheidsanalyse: Deze analyse levert een overzicht van de afhankelijkheden van een onderneming voor haar primaire proces.

Stap 2: Dreigingsanalyse: Hier wordt bepaald welke dreigingen er zijn voor de onderneming

Stap 3: Kwetsbaarheidsanalyse: Hier wordt bepaald welke maatregelen de onderneming heeft genomen.

Stap 4: De risicoanalyse: In deze fase komen de risico’s naar voren op basis van de analyse van stap 1 t/m 3.

Stap 5: Kosten – en batenanalyse: Voor de risico’s die niet worden geaccepteerd worden maatregelen bedacht, van deze maatregelen worden de kosten inzichtelijk gemaakt.

Ik vind de methode persoonlijk beter werkbaar als deze enigszins wordt ingekort. Ik laat stap twee vervallen en combineer dat met stap 3.

Praktijk voorbeeld van de ingekorte A&K methode

Om het minder theoretisch te maken heb ik onderstaand een eenvoudig fictief voorbeeld uitgewerkt om je inzicht te geven in de methode.

Case: Een supermarkt wil een risico analyse uitvoeren gericht op de risico’s voor haar primaire proces afrekenen.

Voorbereiding:

Tijdens de voorbereiding wordt er gesproken met de opdrachtgever en wordt er getracht een beeld te krijgen van de bedrijfsprocessen en wie er nodig is om input te geven tijdens de risico analyse. Tevens wordt in de voorbereiding de scope van de risico analyse bepaald. Scope bepaling is uitermate belangrijk omdat je zult merken dat tijdens de risico analyse er snel meer zaken bij betrokken worden dan initieel de insteek was.

Tijdens de voorbereiding is gebleken dat de supermarkt onderdeel van een keten. Alle kassa systemen communiceren via een netwerk verbinding met systemen in een centraal datacentrum.

Afhankelijkheidsanalyse:

In deze analyse is naar voren gekomen dat het bedrijf stil komt te liggen en de deuren moet sluiten als de kassa systemen niet te gebruiken zijn. De kassa systemen zijn redundant omdat er meerdere kassa’s zijn. Als de back-end systemen als b.v. een database server in het centrale datacentrum niet meer functioneert, is het primaire proces volledig verstoord. Idem is dit proces afhankelijk van een goede stroomvoorziening in de winkel en is de netwerk connectiviteit naar de back-end systemen in het centrale datacentrum een voorwaarde.

Na gesprekken met materie deskundigen ontstaat de volgende afhankelijkheidsmatrix voor het primaire proces afrekenen. Feitelijk heb je hiermee bepaald waar je je op gaat richten in de volgende stap van de analyse.

Informatie systemen voor proces afrekenen Beschikbaarheid Vertrouwelijkheid Integriteit
Kassa systemen in supermarkt Middel Laag Middel
Back-end systemen in centraal datacentrum Hoog Hoog Hoog

 

Kwetsbaarheidsanalyse:

 Om het voorbeeld eenvoudig en beknopt te houden focussen we ons op de kassa systemen in de supermarkt.

We bepalen in deze analyse waar deze kwetsbaar voor zouden kunnen zijn. Dit levert het volgende overzicht op:

Informatie Systeem Kwetsbaarheid Classificatie kwetsbaarheid Genomen maatregel
POS systemen in supermarkt Technische verstoring Middel Meerdere POS systemen (redundantie)
  Uitval netstroom Hoog Geen
  Kennisniveau medewerker bediening POS systeem Middel Verplichte opleiding
  Diefstal Laag Fysieke beveiliging
  Uitval netwerkverbinding Middel Geen

 

 Risico analyse

 In deze fase beoordeel je aan de hand van de informatie verkregen in de afhankelijkheids- en de kwetsbaarheidsanalyse welke kwetsbaarheden niet gedekt of niet volledig gedekt worden door de maatregelen. Dit zijn de risico’s en deze groepeer je vervolgens op basis van prioriteit.

We focussen ons op de kwetsbaarheden waar geen maatregelen voor zijn genomen en drukken de prioriteit uit in geld.

Risico ID Systeem Kwetsbaarheid Kans dat de gebeurtenis zich voordoet Impact Risico per jaar
1 POS systeem in supermarkt Uitval netstroom 4 uur per jaar Winkel moet sluiten, gemiste omzet is € 10.000 per uur. € 40.000
2 POS systeem in supermarkt Uitval netwerkverbinding 2 uur per jaar Winkel moet sluiten, gemiste omzet € 10.000 per uur € 20.000

Op basis van bovenstaand overzicht wordt bepaald welke risico’s een onderneming wil accepteren en voor welke risico’s extra onderzoek nodig is. Dit onderzoek vindt plaats in de kosten– en baten analyse.

Kosten– en baten analyse

In deze fase worden maatregelen bedacht om de risico’s die het bedrijf niet direct wil accepteren nader te bekijken. Deze fase is eigenlijk een onderzoeksfase en kan zeer tijdrovend zijn.

Zo zou het risico van de uitval van netstroom opgelost kunnen worden door het plaatsen van een Uninterruptible Power Supply (UPS). Deze moet aangeschaft worden, geïnstalleerd en onderhouden. De kosten worden in deze fase per risico inzichtelijk gemaakt zodat het management kan beslissen of de kosten van de maatregel opwegen tegen het risico dat er bestaat.

Gebruiken als initiële risico analyse?

De A&K methode is ook prima te gebruiken als je bijvoorbeeld ISO27001 of NEN7510 wilt implementeren.

Je voert dan de afhankelijkheids- en de kwetsbaarheidsanalyse uit en je gebruikt de risico analyse fase om de maatregelen (27002) die deze normen je bieden te selecteren. Hiermee heb je voldoende onderbouwing voor een ISO27001 of NEN7510 implementatie. De kosten- en baten analyse voer je daarmee dus niet uit.

Comments are closed.