Verschil tussen dreigingen en risico's
Bij een dreiging is er specifieke informatie dat er iets staat te gebeuren dat schade aan een van de activa van de organisatie kan toebrengen. Het kan gaan om omgevingsdreigingen (brand), technische dreigingen of menselijke dreigingen. Bij een risico is er geen specifieke informatie dat er iets staat te gebeuren. De kans is alleen niet uitgesloten [bron].
Het is belangrijk om dreigingen en risico’s in kaart te brengen. Wanneer het gaat om IT-systemen zijn kwetsbaarhedenscans en penetratietesten zeer betrouwbare middelen om te analyseren hoe een organisatie ervoor staat qua weerbaarheid.
Hoe kwantificeer je risico's?
De uitspraak is stokoud, maar nog steeds waar:
Risico = Kans x Impact
Oftewel de waarschijnlijkheid dat iets gebeurt, vermenigvuldigd met de gevolgen van de gebeurtenis. Risico’s kunnen kwalitatief (door ervaring van stakeholders) of kwantitatief (met behulp van theoretische modellen) worden gescoord. Deze beoordeling heet een risicoanalyse.