Security Professionals - ipfw add deny all from eindgebruikers to any

Acceptatie risico's is ook mitigatie?

23-12-2015, 12:25 door JCROY, 12 reacties
Laatst bijgewerkt: 23-12-2015, 12:26
Allen,
Binnen onze organisatie is er een vriendelijke discussie gaande omtrent het begrip mitigatie van risico's.
Mijn mening is dat het accepteren van risico's ook mitigatie is. De andere mening is (u raadt het al) dat dit niet als mitigatie gezien wordt.
Op dit moment zijn de meningen zo'n 50-50, ik ben heel benieuwd naar de visie, mening en uitleg van jullie als collega security professionals. Ook ben ik benieuwd naar de motivaties/begrippen hieromtrent.

Ik heb zelf o.a. als voorbeelden:

http://www.mitre.org/publications/systems-engineering-guide/acquisition-systems-engineering/risk-management/risk-mitigation-planning-implementation-and-progress-monitoring

http://www.mha-it.com/2013/05/four-types-of-risk-mitigation/
Reacties (12)
23-12-2015, 13:03 door Anoniem
Hoi,

In mijn beleving is acceptatie van risico's geen mitigatie. Mitigatie gaat over het beperken van de gevolgen van risico's.
Het is logisch om risico's te benoemen, te accepteren (erkennen dat deze risico's bestaan) en vervolgens gaat mitigeren.
Dus acceptatie is geen mitigatie.

My 2 cents.
23-12-2015, 13:47 door User2048
Er zijn vier manieren om met risico's om te gaan: vermijden, verminderen, overdragen en accepteren. Mitigeren is een synoniem voor verminderen. Je moet dan iets doen om het risico kleiner te maken. Accepteren is iets anders. Je doet dan niets en accepteert dat er een risico is.
23-12-2015, 14:34 door Anoniem
Klinkt een beetje als een discussie over semantiek. Mitigatie = verminderen. Verminder je een risico door deze enkel te accepteren? Het antwoord lijkt mij 'nee'. Er wordt dus niet gemitigeerd.

Maar is accepteren een valide onderdeel van een volledig mitigatieproces? Jazeker. Er komt een punt waar risico's nu eenmaal niet verder te beperken vallen, in ieder geval niet op een manier die economisch rendabel is.
23-12-2015, 15:01 door Overcome
Acceptatie is geen mitigatie. Acceptatie en mitigatie zijn beide voorbeelden van een "risk response", oftewel: ik constateer een risico, hoe moet ik met dit risico omgaan? Dat kan op basis van acceptatie gebeuren (niets doen dus), b.v. wanneer de waarde van het te beveiligen object groter is dan de kosten van de mitigerende maatregel of wanneer het risico als "low" wordt bestempeld in de company heatmap. Mitigatie houdt een verlaging in van het risico. De definitie zoals gegeven in NIST special publication 800-30 (http://csrc.nist.gov/publications/nistpubs/800-30-rev1/sp800_30_r1.pdf) geeft het goed aan:

Risk mitigation: Prioritizing, evaluating, and implementing the appropriate risk-reducing controls/countermeasures
recommended from the risk management process.

Er is kortom sprake van risk-reducing controls. Het risico wordt dus minder door toepassing van maatregelen. Bij acceptatie blijft het risico veelal even groot (tenzij er bedreigingen bijkomen of wegvallen etc).
23-12-2015, 15:35 door Anoniem
Door JCROY: Allen,
Binnen onze organisatie is er een vriendelijke discussie gaande omtrent het begrip mitigatie van risico's.
Mijn mening is dat het accepteren van risico's ook mitigatie is. De andere mening is (u raadt het al) dat dit niet als mitigatie gezien wordt.
Op dit moment zijn de meningen zo'n 50-50, ik ben heel benieuwd naar de visie, mening en uitleg van jullie als collega security professionals. Ook ben ik benieuwd naar de motivaties/begrippen hieromtrent.

Ik heb zelf o.a. als voorbeelden:

http://www.mitre.org/publications/systems-engineering-guide/acquisition-systems-engineering/risk-management/risk-mitigation-planning-implementation-and-progress-monitoring

http://www.mha-it.com/2013/05/four-types-of-risk-mitigation/

M.i. is het niet hetzelfde .

Echter, je eindigt _altijd_ met acceptatie - na mitigatie accepteer je het (resterende) risico / of de verminderde gevolgen ten opzichte van je uitgangspositie.

Werk je met twee datacenters, accepteer je het risico van het gelijktijdig uitvallen van beide DCs.
Heb je een vier-ogen principe, dan accepteer je het risico van twee personen die een fout maken (of fout zijn).

Misschien was je start positie een enkel DC, of een enkele persoon en bestond de mitigatie uit het terugbrengen van risico, of van gevolgen, naar een voor jullie acceptabel niveau .
23-12-2015, 20:24 door Anoniem
Acceptatie is geen mitigatie.
...
Mitigatie houdt een verlaging in van het risico.
...
Bij acceptatie blijft het risico veelal even groot (tenzij er bedreigingen bijkomen of wegvallen etc).

In het accepteren van risico's zit op een gegeven moment een positief omslag punt (niet bij alle systemen evenveel).
Dan krijg je namelijk security by obscurity.

Een situatie waarbij het dreigingslevel afneemt of geheel wegvalt omdat niemand zich er op richt.
Dus omdat het de investering van de moeite niet meer waard is voor de aanvaller, teveel andere lekker kaasjes voor het grijpen liggen op het pad van de minste weerstand met het grootste resultaat.

Het economische denken van de beheerder en het economisch denken van de aanvaller kunnen dus in gunstige zin ervoor zorgen dat zij elkaars weg niet kruisen.

Of het verstandig is op dit idee beleid te baseren is weer iets anders.
Ook weer een kwestie van economie in het denken.
28-12-2015, 09:40 door JCROY
Alle respondenten, hartelijk bedankt voor al jullie genomen moeite en inzichten, hier kunnen we zeker verder mee!
En inderdaad, zoals de reactie (23-12-2015, 14:34 door Anoniem) al aangeeft is de discussie inderdaad beperkt tot semantiek. maar ook hiervoor dienen we wel een duidelijk signaal naar de beslissers af te geven wat we verstaan onder mitigatie.

Fijne jaarwisseling allen, topic mag wat mij betreft gesloten worden. :)
28-12-2015, 12:15 door Anoniem
mitigatie is afzwakken... Dat dit 50/50 oplevert, vreemd...
28-12-2015, 13:16 door PJW9779 - Bijgewerkt: 28-12-2015, 13:28
De verschillende reacties zijn interessant. Gelukkig is nu nog sprake van een "vriendelijke discussie".
Maar feit blijft natuurlijk wél dat als het risico realiteit geworden is, en de discussie minder 'vriendelijk', men zich juist niet kan veroorloven verschillende meningen te hebben. Onderzoek toont aan dat dan genomen maatregelen bijna altijd suboptimaal zijn.

Daar is risicomanagement nu juist voor bedoeld.
In bovenstaande reacties mis ik 'Management of Risk' van OGC (nu Axelos), uit de school van Prince2, MSP, ITIL, etc.
MoR definieert 'Contingency planning' als "The process of identifying and planning appropriate responses to be taken when a risk actually occurs." (https://www.axelos.com/Corporate/media/Files/Glossaries/MoR-Glossary-of-Terms_GB.pdf)
MoR definieert 'acceptance' als "A risk response that means that the organization takes the chance that the risk will occur, with full impact on objectives if it does.". Kortom 'laat het maar gebeuren, we zien wel'.
Subtiel maar weloverwogen anders is 'Retention': "A risk response for a threat. A conscious and deliberate decision is taken to retain the threat, having discerned that it is more economical to do so than to attempt a risk response action. The threat should continue to be monitored to ensure that it remains tolerable."
Beiden zijn als zodanig dus wel 'responses', maar geen 'mitigating actions'.

Bedoeling is immers dat je een 'pre-mitigating impact analysis' uitvoert, aansluitend per risico je responses bepaalt welke al dan niet mitigating zijn, waarna je een 'post-mitigating impact analysis' uitvoert, waaruit evt. 'Residual risks' ("risk remaining after the risk response has been applied") naar voren komen.
Vooral dat laatste wordt nog wel eens vergeten.
29-12-2015, 12:34 door Anoniem
Ik ben het met je eens, Acceptatie van een risico is een alternatief voor het volledig mitigeren. Wat als randvoorwaarde wel moet zijn is dat het risico-niveau binnen de risico appetite van de organisatie moet liggen. Dat verschilt per organisatie, en ook de verschillende visies van IT professionals op risico-niveau's is hier het hete hangijzer als ik je berichtje zo lees..
29-12-2015, 16:12 door Erik van Straten
23-12-2015, 12:25 door JCROY, Laatst bijgewerkt: 23-12-2015, 12:26:
[...]
Mijn mening is dat het accepteren van risico's ook mitigatie is.
[...]

29-12-2015, 12:34 door Anoniem: Ik ben het met je eens, Acceptatie van een risico is een alternatief voor het volledig mitigeren.
[...]

Vreemde discussie dit. Mijn insteek dan maar, bevestigd door Googlen naar risk mitigate accept (zie bijv. https://en.wikipedia.org/wiki/Risk_management#Potential_risk_treatments) en de losse woorden mitigate, mitigeren en accepteren:

1) Mitigeren (verzachten, beperken) betekent dat je risico's probeert te verlagen. Voorbeeld, om het risico van malware via een Flash exploit te verlagen: zorg dat je altijd de laatste versie van Adobe Flash op je systeem hebt; installeer een virusscanner; draai de browser in een sandbox etc. Deze maatregelen sluiten de risico's niet voor 100% uit, maar verkleinen de kans op een gecompromitteerd systeem.

2) Accepteren betekent dat je niets doet dat het risico wijzigt (je kunt wel gaan sparen voor het geval het een keer fout gaat). Dit is dus duidelijk iets anders dan mitigeren. Voorbeeld: de meeste bedrijven en huishoudens accepteren het risico dat hun pand(en) tijdens een oorlog worden verwoest (verzekeringen dekken dit meestal niet). Ook als je ladderzat een auto bestuurt accepteer je de risico's daarvan.

Wat kun je nog meer met risico's:

3) Elimineren oftewel het volledig wegnemen van een risico. Voorbeeld: verwijder Adobe Flash van je systeem om het risico van malware via een Flash exploit te elimineren.

4) Overdragen, bijv. door een verzekering af te sluiten (ook dit zou je nog een vorm van mitigeren kunnen noemen). Vaak eisen verzekeringen wel mitigerende maatregelen, zoals gebruik van brandwerende materialen en goedgekeurde sloten, waardoor het vaak om een mix gaat.

Conclusie: accepteren is geen vorm van mitigeren, maar een alternatief ervan. Echter, in de praktijk komt simpelweg accepteren van grote risico's weinig voor; vaak is er sprake van mitigerende maatgelen zoals een veiligheidsriem, motorpak, virusscanner, sprinkler etc. - wellicht dat dit de oorzaak van de verwarring is.

Aan de andere kant: na mitigeren heb je een altijd een restrisico, en dat accepteer je. "Volledig mitigeren" is dus onzin, net zoals "volledig verzachten" flauwe kul is (je kunt een patiënt met pijn zoveel morfine geven dat deze overlijdt, maar dan spreken we niet meer van pijn verzachten).
30-12-2015, 16:10 door Anoniem
Risico = dreiging x kans x impact.

In de praktijk sluit ik me bij de bovenstaande argumenten aan, acceptatie wordt niet gezien als mitigatie. Echter, het is zeer afnhankelijk van de vorm van risico dat je loopt. Financieel? De veiligheid van personeel? Voortbestaan bedrijf of cariere?

Even advocaat van de duivel: In het geval van financieel risico (meest voorkomend) zou je kunnen beargumenteren dat bij acceptatie, de (financiele) impact, over tijd, gemitigeerd wordt omdat je er simpelweg geen resources in gestopt hebt en je de financiele besparing van het accepteren moet aftrekken van de financiele impact van een gebeurtenis. Uiteindelijk kom je dan zelfs op een break-even punt uit als het scenario zich niet voltrekt. En wanneer de financiele impact 0 is, dan is het risico waarschijnlijk niet de moeite waard om te adresseren (vanuit financieel aspect gezien).

Een beetje vergelijkbaar met een aanvullende zorgverzekering.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.