A&K methode – Risico analyse voor de overheid
Inleiding A&K methode
De A&K methode is een risico analyse methode. A&K staat voor afhankelijkheids- en kwetsbaarheidsanalyse. Het is een analyse die bedacht is door de Nederlandse overheid. Op basis van dit model zijn diverse risico analyses gebaseerd. Het NAVI heeft deze methode bijvoorbeeld gebruikt als basis voor de risico analyse voor de vitale infrastructuur sector.
Stappen A&K methode
De A&K methode kent de volgende stappen:
Stap 1: Afhankelijkheidsanalyse: Deze analyse levert een overzicht van de afhankelijkheden van een onderneming voor haar primaire proces.
Stap 2: Dreigingsanalyse: Hier wordt bepaald welke dreigingen er zijn voor de onderneming
Stap 3: Kwetsbaarheidsanalyse: Hier wordt bepaald welke maatregelen de onderneming heeft genomen.
Stap 4: De risicoanalyse: In deze fase komen de risico’s naar voren op basis van de analyse van stap 1 t/m 3.
Stap 5: Kosten – en batenanalyse: Voor de risico’s die niet worden geaccepteerd worden maatregelen bedacht, van deze maatregelen worden de kosten inzichtelijk gemaakt.
Ik vind de methode persoonlijk beter werkbaar als deze enigszins wordt ingekort. Ik laat stap twee vervallen en combineer dat met stap 3.
Praktijk voorbeeld van de ingekorte A&K methode
Om het minder theoretisch te maken heb ik onderstaand een eenvoudig fictief voorbeeld uitgewerkt om je inzicht te geven in de methode.
Case: Een supermarkt wil een risico analyse uitvoeren gericht op de risico’s voor haar primaire proces afrekenen.
Voorbereiding:
Tijdens de voorbereiding wordt er gesproken met de opdrachtgever en wordt er getracht een beeld te krijgen van de bedrijfsprocessen en wie er nodig is om input te geven tijdens de risico analyse. Tevens wordt in de voorbereiding de scope van de risico analyse bepaald. Scope bepaling is uitermate belangrijk omdat je zult merken dat tijdens de risico analyse er snel meer zaken bij betrokken worden dan initieel de insteek was.
Tijdens de voorbereiding is gebleken dat de supermarkt onderdeel van een keten. Alle kassa systemen communiceren via een netwerk verbinding met systemen in een centraal datacentrum.
Afhankelijkheidsanalyse:
In deze analyse is naar voren gekomen dat het bedrijf stil komt te liggen en de deuren moet sluiten als de kassa systemen niet te gebruiken zijn. De kassa systemen zijn redundant omdat er meerdere kassa’s zijn. Als de back-end systemen als b.v. een database server in het centrale datacentrum niet meer functioneert, is het primaire proces volledig verstoord. Idem is dit proces afhankelijk van een goede stroomvoorziening in de winkel en is de netwerk connectiviteit naar de back-end systemen in het centrale datacentrum een voorwaarde.
Na gesprekken met materie deskundigen ontstaat de volgende afhankelijkheidsmatrix voor het primaire proces afrekenen. Feitelijk heb je hiermee bepaald waar je je op gaat richten in de volgende stap van de analyse.
| Informatie systemen voor proces afrekenen | Beschikbaarheid | Vertrouwelijkheid | Integriteit |
| Kassa systemen in supermarkt | Middel | Laag | Middel |
| Back-end systemen in centraal datacentrum | Hoog | Hoog | Hoog |
Kwetsbaarheidsanalyse:
Om het voorbeeld eenvoudig en beknopt te houden focussen we ons op de kassa systemen in de supermarkt.
We bepalen in deze analyse waar deze kwetsbaar voor zouden kunnen zijn. Dit levert het volgende overzicht op:
| Informatie Systeem | Kwetsbaarheid | Classificatie kwetsbaarheid | Genomen maatregel |
| POS systemen in supermarkt | Technische verstoring | Middel | Meerdere POS systemen (redundantie) |
| Uitval netstroom | Hoog | Geen | |
| Kennisniveau medewerker bediening POS systeem | Middel | Verplichte opleiding | |
| Diefstal | Laag | Fysieke beveiliging | |
| Uitval netwerkverbinding | Middel | Geen |
Risico analyse
In deze fase beoordeel je aan de hand van de informatie verkregen in de afhankelijkheids- en de kwetsbaarheidsanalyse welke kwetsbaarheden niet gedekt of niet volledig gedekt worden door de maatregelen. Dit zijn de risico’s en deze groepeer je vervolgens op basis van prioriteit.
We focussen ons op de kwetsbaarheden waar geen maatregelen voor zijn genomen en drukken de prioriteit uit in geld.
| Risico ID | Systeem | Kwetsbaarheid | Kans dat de gebeurtenis zich voordoet | Impact | Risico per jaar |
| 1 | POS systeem in supermarkt | Uitval netstroom | 4 uur per jaar | Winkel moet sluiten, gemiste omzet is € 10.000 per uur. | € 40.000 |
| 2 | POS systeem in supermarkt | Uitval netwerkverbinding | 2 uur per jaar | Winkel moet sluiten, gemiste omzet € 10.000 per uur | € 20.000 |
Op basis van bovenstaand overzicht wordt bepaald welke risico’s een onderneming wil accepteren en voor welke risico’s extra onderzoek nodig is. Dit onderzoek vindt plaats in de kosten– en baten analyse.
Kosten– en baten analyse
In deze fase worden maatregelen bedacht om de risico’s die het bedrijf niet direct wil accepteren nader te bekijken. Deze fase is eigenlijk een onderzoeksfase en kan zeer tijdrovend zijn.
Zo zou het risico van de uitval van netstroom opgelost kunnen worden door het plaatsen van een Uninterruptible Power Supply (UPS). Deze moet aangeschaft worden, geïnstalleerd en onderhouden. De kosten worden in deze fase per risico inzichtelijk gemaakt zodat het management kan beslissen of de kosten van de maatregel opwegen tegen het risico dat er bestaat.
Gebruiken als initiële risico analyse?
De A&K methode is ook prima te gebruiken als je bijvoorbeeld ISO27001 of NEN7510 wilt implementeren.
Je voert dan de afhankelijkheids- en de kwetsbaarheidsanalyse uit en je gebruikt de risico analyse fase om de maatregelen (27002) die deze normen je bieden te selecteren. Hiermee heb je voldoende onderbouwing voor een ISO27001 of NEN7510 implementatie. De kosten- en baten analyse voer je daarmee dus niet uit.