Ruim tweederde (36 procent) van de Nederlandse medewerkers vinden hun organisatie kwetsbaar op het gebied van beveiliging. Een stijging van vijf procent ten opzichte van vorig jaar. Ook komt uit dit onderzoek naar voren dat 53 procent van de bedrijven hun beveiligingsbeleid niet afstemt op de beveiligingsrisico’s (bron).
Schrikbarende cijfers als je het mij vraagt. We hebben het al vaker gehad over de schijnveiligheid die er leeft en de maatregelen die genomen worden zonder naar de risico’s te kijken. Maar dit soort onderzoeken bevestigen dat we nog een lange weg te gaan hebben.
53% van de bedrijven stemt het beveiligingsbeleid niet af op de risico’s. Op basis waarvan ze dan wel tot beleid zijn gekomen wordt helaas niet duidelijk, maar het lijkt er in ieder geval op dat er in de kasten van bedrijven vele papieren tijgers liggen.
Het blijft een vreemde gedachte dat maar zo weinig bedrijven serieus met risico management bezig zijn. Risico management doe je overigens niet alleen voor beveiliging maar kun je natuurlijk veel breder toepassen. Wat is het risico dat die klant niet betaald, wat is het risico dat ons gebouw afbrand, wat is het risico op nieuwe concurrenten en zo kunnen we nog wel even door gaan.
Je zou toch verwachten dat het management van een bedrijf continu met risico-inschattingen bezig is. Blijkbaar is er nog een hoop onduidelijkheid over risico’s die we lopen en hoe we ze in kunnen schatten. Risico management kunnen we zo ingewikkeld maken als we zelf willen, we kunnen op allerlei manieren proberen het tot wetenschap te verheffen door alle risico’s te kwantificeren.
Laten we nu eerst eens met de basis beginnen. Risico analyse is niets meer of minder dan de kans x de impact (ik weet het, het is wel heel simpel gesteld en erg abstract, maar toch is het zo). Daarbij kunnen we allerlei moeilijke methoden toe willen passen maar dat zou van latere zorg moeten zijn. We kunnen zoal vele bedreigingen bedenken waar we de kans en impact voor kunnen schatten (begin maar eens met het inschatten op een 5-puntsschaal). Geloof me, als je het een keer uitgebreid doet zul je inzicht krijgen in de risico’s die jouw onderneming loopt. Waarschijnlijk kom je ook wel tot de conclusie dat je nog niet alle risico’s voldoende hebt afgedekt. Dat kun je accepteren maar je kunt er ook wat aan doen door te beginnen met het nemen van de juiste maatregelen of het afsluiten van verzekeringen.
Risico management kun je inderdaad zo moeilijk maken als je zelf wilt, maar verhef het niet tot een wetenschappelijk alles omvattend model, begin eens bij de basis en accepteer dat je nooit alle risico’s inzichtelijk zult krijgen of kunt beïnvloeden. Hulp nodig? Ik help je graag verder op weg.