Risk appetite is je risico bereidheid, oftewel je risicotolerantie. Met andere woorden is risk appetite het aangeven hoeveel risico je accepteert (en dus ook welk risico je niet accepteert). Bij financiële risico’s is dat heel precies uit te rekenen; is €5000 euro schade acceptabel als de kans dat het risico voorkomt maar 1,2% is? Voor it risico’s is dit lastiger vast te stellen want dan moet er bijvoorbeeld uitgerekend worden wat herstelkosten zijn en wat de imago schade is.

‍

Een IT control is een specifieke activiteit die wordt uitgevoerd door een persoon of een systeem om ervoor te zorgen dat de bedrijfsdoelstellingen worden bereikt. Wat kan zo een bedrijfsdoelstelling zijn? Dat staat in je informatiebeveiligingsbeleid  of kun je afleiden van je risico’s die je wilt beheersen.

‍

Maatregelen zijn nauw verbonden met it controls. Maatregelen zijn in te delen in vier soorten:

·      Preventieve maatregelen

·      Detectieve maatregelen

·      Repressieve maatregelen

·      Correctieve maatregelen

‍

Beschikbaarheid, integriteit en vertrouwelijkheid (BIV) gebruik je om een stuk informatie(systeem) te classificeren. Deze classificatie in beschikbaarheid , integriteit (=betrouwbaarheid) en vertrouwelijkheid (=exclusiviteit) helpt bij het bepalen van het gewenste niveau van informatiebeveiliging. De hoogte van dat niveau bepaal je met behulp van de risicoanalyse. Dit doe je uiteindelijk om de juiste informatiebeveiliging in te richten om de continuïteit van de informatie en de systemen te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.

Vaak wordt deze BIV uitgebreid met C voor controleerbaarheid, dat geeft aan in hoeverre je achteraf weer kunt controleren hoe handelingen zijn uitgevoerd. Bijvoorbeeld, wie heeft de autorisaties aangepast of die betaling uitgevoerd. 

‍

De de CIA Triad is de Engelse term die wordt gehanteerd voor BIV: confidentiality, integrity and availability.

‍

Beschikbaarheid bevat de garanties over voornamelijk de tijdigheid, continuïteit en robuustheid. Stel dat je het vergelijkt met de cijfer administratie op school na een toetsweek: zijn de cijfers inzichtelijk op het moment dat je het nodig hebt of had willen hebben? Business Continuity Management zorgt onder andere voor de inrichting van de beschikbaarheid.

‍

‍

Integriteit zorgt ervoor dat informatie actueel en correct is. Stel dat je het vergelijkt met de cijferadministratie op school na een toetsenweek: zijn de cijfers de echte cijfers die je in die administratie ziet? Kenmerken zijn juistheid en volledigheid van de transacties.

‍

Vertrouwelijkheid (of exclusiviteit) omvat niet alleen de (privacy)bescherming maar ook de exclusiviteit van informatie. Alleen geautoriseerde entiteiten krijgen toegang. Stel dat je het vergelijkt met de cijferadministratie op school na een toetsenweek: Is jouw cijfer alleen voor jou zichtbaar of kan de hele klas alle cijfers van alle leerlingen zien?

‍

Een remediation plan is een plan met acties om een it-control beter in te richten of toe te passen. Als een it control namelijk niet goed is op basis van de risk appetite [link naar subvraag risk appetite] dan zal er een actie uitgevoerd moeten worden om dat risico in lijn te brengen met de risk appetite

‍

‍