RISICO’S

WELKE ANALYSE ?

Een risico-analyse kan enkel worden uitgevoerd door een onafhankelijk deskundige. Die bewaart zijn afstand tegenover de gewoonten die in het bedrijf gegroeid zijn.

Omdat steeds meer organizaties afhankelijk zijn van elektronische informatieverwerking, is het zinvol te bestuderen welke impact het wegvallen van verwerkingskapaciteit en/of gegevens met zich zal meebrengen.

Op 9 augustus viel de stroom uit te Fremont in de VS, met als gevolg dat de luchtverkeersleiding gedurende enkele uren niet werkte. Een risico-analyse had de stroomuitval misschien niet kunnen voorkomen maar men had zich tenminste kunnen voorbereiden op wat onvermijdelijk was. Een analyse bracht aan het licht dat de back-up-systemen te oud en onvoldoende in kapaciteit waren om een volledige stroomuitval op te vangen. Overigens rapporteerde journalist David Dietz naar aanleiding van dit incident dat de computers van de luchtverkeersleiding niet minder dan 20 keer waren uitgevallen in de vorige 4 maanden, zowel in San Francisco, als in Chicago, Washington DC, Dallas-FortWorth en New York (cfr. de San Francisco Chronicle van 10 augustus).

Sommige managers zien wel degelijk de noodzaak in om geregeld uitgebreide risico-onderzoeken te laten uitvoeren. In ’92 liet een chemisch bedrijf in de haven van Antwerpen een analyse uitvoeren naar de risico’s waaraan de elektronische gegevensverwerking was blootgesteld, gegeven de aktiviteiten van het bedrijf en haar ligging. De risico-analyse werd uitgevoerd door ComSec, een inmiddels ter ziele gegaan consultancybureau gespecializeerd in het uitvoeren van EDP-audits en risico-analyses gebaseerd op kansberekening.

ComSec weerhield een aantal voor de hand liggende risicofaktoren zoals de kerncentrales in Doel, de ondergrondse ethyleenleidingen die het hele havengebied doorkruisen, de helikoptervluchten van de gasmaatschappij, het militaire en het burgerlijke luchtverkeer dat boven de haven vrij laag overvliegt.

In het kader van zijn specialiteit de kansberekening ging ComSec voor de benodigde statistische informatie te rade bij Swiss Reinsurance Company, de grootste herverzekeringsmaatschappij ter wereld. Op basis van de gegevens die door Swiss werden gepubliceerd, kon ComSec een akkuraat beeld geven van de kans op verlies door een ramp met de gegevens. Bovendien kon zelfs de omvang van dit verlies worden geschat indien zich ooit een ramp zou voordoen.

GEBREK AAN BEWUSTZIJN.

Het faillissement van ComSec zegt veel over de bereidheid van bedrijven om risico-onderzoeken te laten uitvoeren.

Het zijn nochtans echt niet altijd hoog-risicobedrijven die baat vinden bij een risico-onderzoek. In ’89 installeerde McDonnell Douglas een administratief systeem bij de grote Amerikaanse tapijtfabrikant Kane. Het systeem slaagde erin geen enkele korrekte faktuur te verzenden. Leveringen werden gedupliceerd door de machine en leveranciers niet betaald omdat het systeem hardnekkig hun ingevoerde fakturen wiste. Het regende klachten bij Kane, wiens personeel hierop niet was voorbereid. Het gevolg was dat Kane na twee weken de boeken moest neerleggen.

Het besef dat elektronische gegevens zeer kwetsbaar zijn, is weinig verbreid. Toen de banken nog maar net begonnen waren met Bancontact en Mister Cash, zei een verantwoordelijke van de BBL dat het volgens hem ondenkbaar was dat er met die systemen ooit iets fout zou lopen, laat staan dat fraude mogelijk zou zijn.

Risico-analyses zijn natuurlijk niet goedkoop. Vooral onderzoeken die gebaseerd zijn op kansberekening zijn duur. Voor elke onderneming moet de analist immers van nul af aan opnieuw beginnen. Er bestaat nochtans een geformalizeerde metode, die voor elk bedrijf uitgaat van dezelfde premissen. Het TOPM-systeem bijvoorbeeld is gebaseerd op het koncept van een dynamische levenscyclus. Eén van de belangrijkste doelstellingen van TOPM is de optimalizatie van het risicobeheer zelf.

TOPM beschouwt de risico-analyse als een holistisch proces, waarin het volledige IT-risicobeheer wordt opgenomen. In dit proces worden alle IT-domeinen binnen de bedrijfsomgeving benaderd met een deterministisch en intuïtief model. Daar waar de klassieke risico-analyse steunt op strikt afgebakende domeinen zoals hardware, software, omgeving, personeel, enzoverder, volgt het TOPM-model een “komposiet-benadering” van de realiteit. Bij TOPM-analyses wordt gewerkt met een matrix, waarbij de risico-domeinen als het ware met elkaar verbonden zijn in een raamwerk.

In deze metodologie worden verscheidene technieken gebruikt die de klassieke analist vreemd zijn. Zo zijn er matematische modellen die ook gebruikt worden voor het optimalizeren van financiële portefeuilles. TOPM-analyses worden door Jan Eloff, lector aan het Institut für Informatik in Zürich, aanzien als de opvolger van de traditionele metode.

Je zou kunnen denken dat het niets uitmaakt welke metode wordt aangewend. Dat is ook zo, als die metodes allemaal tot dezelfde konklusies komen. Soms is dat echter niet het geval. Het TOPM-model is vooral bruikbaar in omgevingen waarin de risicofaktoren niet voldoende statistisch ingeschat kunnen worden, omdat bijvoorbeeld de bedrijfsomgeving of het bedrijf zelf uniek is. Kortom, de traditionele metodes zijn daarom nog niet uitgerangeerd.