Inleiding risico, maatregel en controle

Regelmatig gebruik ik in de artikelen de woorden als risico, maatregel en controle. Hierbij een voorbeeld om dit te verduidelijken.

Voorbeeld risico, maatregel en controle

Stel een onderneming heeft een e-commerce applicatie. E-commerce applicaties zijn vaak aangesloten op het internet zodat leveranciers, klanten etc. er gebruik van kunnen maken.

Risico

Als hierop een risico analyse wordt uitgevoerd dan is het te verwachten dat er een risico uitkomt als: “ een systeem verbonden met het internet loopt een kans om gehackt te worden”.

Maatregel

Een maatregel om dit risico te beperken zou kunnen zijn om te zorgen dat de e-commerce applicatie en het internet van elkaar gescheiden zijn middels een firewall.

Een andere maatregel zou kunnen zijn dat de e-commerce applicatie en het systeem waarop deze beschikbaar wordt gesteld zijn voorzien van recente security patches.

Controle

Een controle is er op gericht om te controleren of een maatregel werkt. Dit dient middels een continue proces in de gaten gehouden te worden.

Een controle voor de maatregel “gebruik van een firewall” zou kunnen zijn dat er getest wordt met specifieke tooling of de firewall correct is ingesteld. Hiermee wordt gecontroleerd of er bijvoorbeeld geen configuratie fouten zijn gemaakt in de firewall waardoor de functie, het beschermen van de e-commerce applicatie, niet gerealiseerd wordt.

Een controle om te borgen dat de applicatie en het systeem voorzien zijn van recente security patches is om het patchproces te controleren. Met name op aspecten als “is de patching deze maand uitgevoerd” en “zijn alle relevante patches ook op het systeem geinstalleerd”.