Een persoonlijke aanpak als belangrijke pijler van professioneel risicomanagement

De grootste uitdaging bij organisaties is het in kaart brengen van de aanwezige risico’s. Wat we bij veel van onze klanten zien is dat er wel de gewaarwording heerst dat informatiebeveiliging en risicomanagement van belang zijn, maar ze simpelweg niet weten waar te beginnen. Met andere woorden het wat is duidelijk maar over het hoe bestaan veel onduidelijkheden. Het is daarom dat wij van Beschermheren kiezen voor een uiterst transparante aanpak. Dit betekent dat we het hele management in het traject betrekken. Zo kunnen we bij de directie aangeven welke concrete stappen er genomen dienen te worden om het gewenste niveau van informatiebeveiliging te behalen. Gedurende het proces staat altijd hetzelfde doel centraal: het beperken van risico’s tot een acceptabel niveau.

Risicomanagement is een middel om binnen een organisatie op een gestructureerde manier risico’s in kaart te brengen, te analyseren en te beheersen. Het succes van professioneel risicomanagement is om het persoonlijk te maken. Dit doen we door elke manager, of proceseigenaar, in een self-assessment de impact te laten bepalen op het moment dat informatie niet beschikbaar is, corrupt raakt of op straat komt te liggen. Door elk proces onafhankelijk en objectief te bekijken en door de bijbehorende risico’s af te wegen ben je in staat precies aan te wijzen waar de knelpunten liggen. En wie daar verantwoordelijk voor is. Hiermee zijn de risico’s in een oogopslag duidelijk en kunnen deze worden gewogen en toegekend.

Deze eerste stap is van groot belang omdat aan de hand van dit overzicht (ook wel risicokaart genoemd) wordt bepaald welke processen als high-impact betiteld worden. En daarmee doorgaan naar de volgende fase. De processen met een lagere impact krijgen een lagere prioriteit en worden op een later moment opgepakt.

Risicomanagement op basis van de impact van processen

In deze volgende fase worden de high-impact processen onderworpen aan een uitgebreide risicoanalyse en, in het geval er persoonsgegevens bij betrokken zijn, ook aan een privacy impact assessment. Hierbij is kennis van het in dat proces gebruikte informatiesysteem van groot belang om de kans te kunnen bepalen dat hier mogelijk iets mis zou kunnen gaan. De samenhang tussen de business en IT wordt hier heel helder. Als we het in een formule zouden gieten dan zou het neerkomen op kans x impact = gevonden risico.

In onze aanpak zijn we ervan overtuigd dat maatregelen gebaseerd moeten zijn op de resultaten van de risicoanalyses. Op het moment dat een organisatie maatregelen doorvoert omdat dat van ze “wordt verwacht” wordt er gekozen voor schijnveiligheid. Dit is vergelijkbaar met het goed op slot doen van je voordeur maar je achterdeur wagenwijd open laten staan. Het werkt niet en het kost je vaak nog veel meer tijd en geld ook. Onze opdrachtgevers zijn nagenoeg unaniem van mening dat de manier waarop Beschermheren risicomanagement toepast over de assen mens, organisatie en techniek waarbij de factor mens als een van de belangrijkste wordt betiteld uniek is. Wij achten dit cruciaal binnen risicomanagement omdat het uiteindelijk de mens is die de veranderingen moet doorvoeren en zich moet aanpassen om het werkend te houden.

Aan de hand van een risicokaart wordt er vervolgens bepaald welke maatregelen echt noodzakelijk zijn om de gevonden risico’s te mitigeren. Het kan zo zijn dat niet elke (verbeter)maatregel direct genomen kan worden. Hiervoor worden risico-acceptatie formulieren opgesteld. Deze worden door de desbetreffende risico-eigenaar geaccordeerd. Vervolgens wordt in het verbeterplan aangegeven wanneer welk risico weggewerkt zal worden.

Persoonlijk risicomanagement is kostenefficiënter

Wij zijn ervan overtuigd dat informatiebeveiliging pas echt werkt op het moment dat je elke relevante partij erbij betrekt. Dit begint bij het procesmanagement en dit eindigt bij de directie. Door de knelpunten aan te kunnen wijzen en een persoonlijke aanpak voor te stellen wordt risicomanagement transparant.

Vaak genoeg zien we dat er wel risicoanalyses worden uitgevoerd, maar uitkomsten vervolgens niet gebruikt worden. De oorzaak hiervoor is doorgaans een combinatie van de onduidelijkheden van het eigenaarschap om de processen heen en de betrokkenheid van de medewerker. Maar op het moment dat je de onduidelijkheden hieromheen wegneemt en de betrokken partijen hier ook direct bij betrekt, wordt de effectiviteit van een risicoanalyse zichtbaar en toepasbaar. Vergelijkbaar met een financiële analyse krijgt de klant een helder beeld van de actuele status en wat er moet gebeuren om gezond te blijven. De organisatie heeft hiermee een instrument in handen om risicomanagement zelf aan te sturen en vooral ook te blijven doen.

Het in beweging krijgen en houden van een organisatie is veelal de grootste uitdaging. Onze klanten waarderen ons in onze aanpak om gezamenlijk de juiste stappen te nemen waarmee hun organisatie snel op het gewenste niveau is gekomen tegen lagere kosten.

Ad Dollevoet helpt als partner bij Beschermheren klanten informatiebeveiliging persoonlijk en tastbaar te maken. Wilt u ook liever niet blind maatregelen volgen en implementeren? Maar enkel datgeen waar u echt mee geholpen bent en waar u net zo goed het passende beveiligingsniveau mee behaalt? Wij leveren u graag vrijblijvend een aantal handreikingen aan.