Topmanager ziet risico’s van ICT niet

Voor veel van ons eigenlijk een bericht met weinig nieuwswaarde, wij weten dit immers al jaren en vechten al langer tegen deze bierkaai. Maar toch kan het geen kwaad om een dergelijk bericht aan te halen. Al was het alleen maar omdat er nu een aantal instituten achter zitten die misschien wel gelooft worden.

Topmanagers van bedrijven zien geen verband tussen ict-risico’s en bedrijfsrisico’s voor hun onderneming. Dat is de belangrijkste conclusie uit het Governance Report 2012 dat securityleverancier RSA samenstelde in samenwerking met het onderzoeksinstituut CyLab van de Carnegie Mellon Universiteit. Leidinggevenden blijken geen zicht te hebben op de rol van computersystemen en data binnen hun bedrijf. Zij realiseren zich niet hoe ict-risico’s de bedrijfsresultaten kunnen ondermijnen (bron).

Ik kan natuurlijk alleen maar aansluiten bij een dergelijk bericht. Het gaat ook helemaal niet om informatiebeveiliging en al helemaal niet om de IT. Nee, het gaat, zoals al veel vaker is geroepen, om de bedrijfscontinuïteit. Maar op de een of andere manier blijft dat een vies woord voor veel managers.

Persoonlijk vind ik het dan ook niet zo spannend dat men de koppeling tussen IT en bedrijf niet ziet. Nee, wat ik veel interessanter zou vinden is als het ons lukt om de echte redenen daarvan te vinden. Managers (over het algemeen) zijn natuurlijk niet de domste mensen van deze planeet. En als ze er een keer goed over na zouden denken dan zien zij echt de koppeling tussen de verschillende risico’s wel. Vraag is echter of ze dat interesseert. Waarom zouden ze daar wakker van liggen? Hun eigen bonus is veel belangrijker dus daar moet alles voor wijken.

Misschien dat die managers te weinig het gevoel hebben dat ze echt een bijdrage leveren aan de continuïteit van de organisatie. Ze managen wel van alles maar vragen zichzelf ook wel eens af wat hun bijdrage nu bijdraagt aan het collectief. Zo bezien is het dus ook geen beveiligingsrisico dat er geen koppeling wordt gelegd tussen IT-risico en bedrijfsrisico. Nee, eerder is het een organisatorisch of bedrijfskundig risico waar het topmanagement een belangrijke rol in speelt.

Als voor een manager of een afdeling duidelijk is welke bijdrage ze leveren aan de totale organisatie, als voor hen duidelijk is welke informatie zij daarbij nodig hebben en als dan ook nog duidelijk wordt op welke IT-systemen die informatie draait, ja dan zou het ze misschien interesseren. Maar zolang de IT intern is “uitbesteed” aan een andere afdeling en zolang de persoonlijke bonus er niet op aangepast wordt overzien we het geheel niet meer.

Dat kun je een manager (volgens mij) niet kwalijk nemen. Nee, daarvoor moet je risicomanagement en informatiebeveiliging via een top-down benadering goed inregelen. En eerlijk is eerlijk: dat is makkelijker gezegd dan gedaan.

Fraudeurs krijgen zwaardere straffen

Geld witwassen, omkoping en fraude zullen zwaarder worden bestraft. De gevangenisstraffen voor dit soort delicten gaan omhoog, net als de boetes voor bedrijven die zich eraan schuldig maken. Dat staat in een wetsvoorstel van minister Opstelten. Volgens Opstelten was financieel-economische criminaliteit tot nog toe lucratief, omdat de straffen en boetes door de criminelen meegewogen werden in het risico dat zij namen (bron).

Aan dit soort maatregelen kunnen we zien dat we de komende jaren erg veel bij zullen moeten dragen aan de staatskas. Die schuld moet weggepoetst worden en niet alleen de normale burgers zijn daar slachtoffer van maar ook de criminelen worden niet met rust gelaten. Op zich natuurlijk prima dat we daar ook de straffen omhoog gaan gooien want in dat circuit gaat natuurlijk ook behoorlijk wat geld om.

Al zouden we maar over de helft van die bedragen BTW kunnen heffen dan zou onze staatsschuld al een stuk minder zijn. Maar we moeten er dan niet alleen voor zorgen dat de straffen omhoog gaan, nee we moeten er juist voor zorgen dat we de pakkans vergroten.

Misdaad loont, dat is al jaren zo en zal nog jaren zo blijven als we die pakkans niet verhogen. Zoals gesteld wordt, doen de “criminelen” ook gewoon aan risicomanagement. Hoe hoger de pakkans en hoe hoger de straf des te minder interessant wordt het om de misdaad te plegen.

De formule voor risico kennen we waarschijnlijk allemaal (kans x impact = risico), maar net zo goed kunnen we op een vergelijkbare wijze de misdaadformule weergeven, die er dan als volgt uit zou zien:

  • pakkans x straf = misdaad

Misschien een leuk onderzoek voor een afstudeerder op het gebied van criminologie: het nut en onnut van een dergelijke misdaadformule. Geen flauw idee of zo’n formule al bestaat, maar het klinkt toch aannemelijk. Vind je ook niet?

Maar goed. De criminelen die zich bezig houden met fraude mogen de komende jaren wel extra oppassen. Daarnaast is het zaak om ook de bedrijven nog eens goed tegen het licht te houden. Want de zogenaamde witteboordencriminaliteit viert volgens mij nog hoogtij in enkele bedrijven. En laten we eerlijk zijn: daar is toch veelal het meeste geld te halen.

Dus Minister Opstelten: wat is het doel van het wetsvoorstel? Is dat de criminaliteit naar beneden krijgen of is het toch meer gericht op het verkleinen van de staatsschuld? Wat het antwoord ook is, in beide gevallen zullen we naast de hogere straffen ook de pakkans moeten vergroten.

Utrechts ziekenhuis plakt wachtwoord op beeldscherm

Bij informatiebeveiliging denken we nog veel aan allerlei technische maatregelen om ons netwerk goed beveiligd te houden. En, eerlijk is eerlijk: die technische maatregelen zijn vaak al ingewikkeld genoeg. Maar we vergeten nog wel eens dat deze maatregelen alleen werken als ook de organisatorische maatregelen erbij aansluiten.

Leuk dat we een erg ingewikkeld wachtwoordsysteem hebben ingevoerd, maar als de gebruikers niet weten hoe daar mee om te gaan dan draagt het erg weinig bij aan de beveiliging.

De inloggegevens van de computers voor spoedeisende hulp van het UMC Utrecht waren vorige week op televisie te zien. Tijdens een uitzending van het EO-programma Ingang Oost was te zien hoe gebruikersnaam en wachtwoord op het beeldscherm van één van de computers was geplakt (bron).

Nu kunnen we natuurlijk eenvoudig stellen dat de medewerkers zich aan het beleid moeten houden (en ik mag hopen dat er ergens in het beleid of de richtlijnen staat dat het wachtwoord geheim moet worden gehouden), maar dat zou te makkelijk zijn. Misschien vind je het logisch dat mensen een inlognaam en wachtwoord niet op de pc plakken. En ja, als je inderdaad gebruik maakt van je eigen inlognaam en wachtwoord dan zou je dat moeten kunnen onthouden.

Maar denk je eens in. Je staat inderdaad op de spoedeisende hulp van een ziekenhuis. Een patiënt wordt binnen gebracht en jij moet snel inloggen. Grote kans dat je daar niet beschikt over een eigen inlognaam en wachtwoord (ja ja, dat zou wel moeten, maar laten we het ook praktisch bekijken, het gebeurt gewoon niet). Als je het wachtwoord niet weet dan moet je de helpdesk bellen voor een password reset.

Zie je het voor je? Iemand in levensgevaar en jij ben als 4de aan de beurt bij de helpdesk (als je mazzel hebt, want anders is de helpdesk na 17.00 uur gewoon gesloten en zoek je het zelf maar uit). Nee, we kunnen natuurlijk onze kop in het zand blijven steken en we kunnen mooi in ons beleid schrijven dat iedereen een eigen inlognaam en wachtwoord heeft dat hij of zij geheim moet houden, maar zo werkt het in de praktijk niet voor alle functies.

Wat dan wel weer erg is, is het feit dat het hier om een uitzending van een jaar geleden ging. Het ziekenhuis loopt dus al ruim een jaar dit risico (sterker nog: waarschijnlijk lopen ze dit risico al jaren). Grote kans is dat ze nu vanuit het beleid de maatregelen gaan aanscherpen: het briefje wordt verwijderd en de mensen moeten weer gewoon met hun eigen inlognaam en wachtwoord inloggen.

Inmiddels weten we dat dat dus niet zal gaan werken en is het bijna wachten op het eerste echte slachtoffer. Nee, wil het ziekenhuis dit echt goed doen, dan gaan ze op zoek naar een andere manier van inloggen. Een manier die voor de medewerkers van de spoedeisende hulp ook werkt. Doen ze dat, dan begrijpen ze dat informatiebeveiliging ondersteunend is aan de dagelijkse gang van zaken. Doen ze dat niet, dan steken ze nog steeds hun kop in het zand en is het wachten op een volgend risico.

Politie: overvallers niet al te snugger

Criminelen die een overval plegen, lijken niet al te snugger te zijn. De pakkans is groot, terwijl de buit over het algemeen vrij gering is, zeker in relatie tot het risico dat overvallers nemen (bron).

Je zult jezelf maar beroepscrimineel noemen. Je hele beroepsgroep wordt in eens uitgemaakt voor domoor. Maar een dergelijk bericht is natuurlijk niet nieuw. We weten al jaren dat de kans op een aanzienlijke buit minder en minder wordt. Meer en meer mensen betalen immers met digitaal geld en meer en meer bedrijven romen hun geld op tijd af. Er is gewoon minder baar geld voor handen en dat is maar goed ook.

Aan de andere kant is het voor veel jongeren toch nog steeds erg makkelijk om een overval te plegen. Zij denken niet in termen als “pakkans” en met een paar tientjes zijn ze ook al erg tevreden. Dat verschilt van degene die zich tot de beroepscriminelen rekenen, die houden wel degelijk rekening met de kans en de impact. Pakkans groot en buit laag, dan gaan ze al snel op zoek naar een andere mogelijkheid om aan hun geld te komen.

Je kunt het natuurlijk vergelijken met de carrière die iedere werknemer ook doormaakt. Aan het begin van die carrière weten we nog relatief weinig en met de jaren komt ook de ervaring. Na een paar jaar kijken we ineens heel anders tegen ons werkzame leven aan. Ik kan me zomaar voorstellen dat dat met een criminele carrière ook zo gaat. In het begin denk je helemaal niet aan een pakkans en als je eenmaal wat overtredingen begaan hebt wordt je vanzelf ervarener in je “vakgebied”.

Je wilt helemaal geen simpele overval meer plegen en je hebt er in je carrière voor gekozen om wat treden van de ladder te nemen. Je houdt je inmiddels bezig met zaken die voor veel meer financiële zekerheid kunnen zorgen.

Juist daarom is het zo belangrijk om de pakkans op jongere leeftijd te vergroten. Hoe eerder je ze pakt en hoe eerder ze criminele activiteiten afleren, hoe minder kans we lopen dat ze daadwerkelijk carrière maken op dit gebied. Helaas komt daar veel meer bij kijken dan alleen het vergroten van de pakkans. De straffen (voor zover die natuurlijk helpen) moeten daarop afgestemd worden. Dan heeft opsluiten alleen, weinig zin. Nee, we moeten ervoor zorgen dat ze ook daadwerkelijk en bewust voor een andere, meer legale, carrière kiezen.

En ja, dan zul je moeten werken voor je geld. En ja, dan begin je ook weer aan de onderkant van de ladder en verdien je een habbekrats per uur waarvan je ook nog eens een groot deel naar de belastingdienst mag brengen. Je moet dan ook wel stevig in je schoenen staan om iedere morgen vroeg je bed uit te komen en aan de slag te gaan. Jouw makkers slapen lekker uit, plegen een kraakje en rijden in een mooiere auto dan jij doet.

Zolang misdaad loont (en dat zal het waarschijnlijk altijd wel blijven doen) zijn we nog niet van dit soort problematiek verlost. Hoe het dan wel moet? Geen idee, volgens mij zijn daar al vele studies voor uitgevoerd en is het echt passende antwoord nog niet gevonden. Tot die tijd blijven we hier maar geregeld bloggen over dit soort nieuwsberichten…wat de nieuwswaarde dan af en toe ook mag zijn.

Cybercriminaliteit kost Nederland miljarden

Cybercriminaliteit kost de Nederlandse samenleving jaarlijks zeker 10 miljard euro. Dat is 1,5 tot 2 procent van het Nederlands bruto binnenlands product. Dat blijkt uit een gepubliceerde raming door onderzoeksorganisatie TNO. Inbreuken op intellectuele eigendom zijn met 3,3 miljard euro de grootste schadepost. Industriële spionage kost Nederland jaarlijks 2 miljard euro, gevolgd door belasting- en uitkeringsfraude met 1,5 miljard euro. (bron).

Voor iedereen die dacht dat cybercriminaliteit nog niet zoveel voorstelde, draagt een dergelijk bericht als het goed is bij aan het bewustzijn. Nu is het nog de vraag wat we daar als Nederlandse samenleving dan aan willen veranderen. Het gevaar van een dergelijk bericht is dat men nog steeds denkt dat het eerder een ander zal overkomen en dat het aan onze deur wel voorbij zal gaan.

Maar wat als grote organisaties getroffen worden door cybercriminaliteit? Is dan de kans niet enorm dat je als middelgrote organisatie binnenkort ook aan de beurt komt? Als die grote organisaties het al niet voor elkaar krijgen om de beveiliging op orde te hebben., hoe is het dan gesteld bij de middelgrote organisaties?

Het antwoord op die vraag zou tweeledig kunnen zijn:

  1. of de middelgrote bedrijven lopen een minder groot risico omdat ze minder aantrekkelijk zijn voor cybercriminelen en omdat hun infrastructuur nu eenmaal gemakkelijker te beveiligen is,
  2. of de middelgrote bedrijven lopen een veel groter risico omdat het ze aan kennis op het gebied van informatiebeveiliging ontbreekt waardoor er voor cybercriminelen eerder wat te halen valt.

Eerlijk is eerlijk, het definitieve antwoord op deze vraag heb ik ook niet en ik vraag me ook af of we het allemaal zo gemakkelijk kunnen generaliseren. Zou het niet zo zijn dat het ene middelgrote bedrijf het inderdaad veel beter voor elkaar heeft terwijl het bij het andere middelgrote bedrijf juist veel slechter gesteld is? Een combinatie dus van beide antwoorden dat hiermee situationeel afhankelijk is.

Ik geloof zelf dat het laatste antwoord er nog het best bij in de buurt komt: de status van de beveiliging is inderdaad situationeel afhankelijk. Bijkomend issue is dat we als organisatie onze beveiliging dus nog eens goed moeten doorlopen. We kunnen wel stellen dat we dat 10 jaar geleden ook al gedaan hebben, maar de bedreigingen, de risico’s, de kans en de impact zijn in die 10 jaar toch echt veranderd.

Neem nu bijvoorbeeld het risico op informatie kidnap. Wie had daar 10 jaar geleden al over gehoord? Sterker nog: wie heeft daar vandaag de dag over gehoord? Een cybercrimineel breekt in en versleuteld als het ware de informatie, jouw informatie. Natuurlijk wil hij er best voor zorgen dat die informatie weer ontsleuteld wordt, alleen moet je er dan wel eerst even flink voor betalen.

Zat deze bedreiging nog niet standaard in de risico analyse? Dan wordt het misschien tijd om dat toch te overwegen. Niet alleen omdat cybercriminelen van buitenaf een dergelijke actie zouden kunnen ondernemen maar ook interne medewerkers zouden wel eens kunnen besluiten om kritische informatie te versleutelen en daarna de sleutels weg te gooien (of te vergeten). Staat er binnenkort weer een reorganisatie voor de deur? Dan wordt het risico hierop alleen nog maar groter. Maar goed, je bent gewaarschuwd.

Voor nu sluiten we af met dit voorbeeld. Een voorbeeld van een dreiging die er 10 jaar geleden nog niet was (of nog niet opportuun was). Kijk nog eens naar jouw risicolijstje, moeten we dat niet weer eens updaten om de juiste risico’s inzichtelijk te hebben?

Brandgevaar (in zorginstellingen)

De brandveiligheid in veel zorginstellingen is ver onder de maat. Bij een derde van de locaties is die zo slecht dat er direct moet worden ingegrepen. Dat schrijven vier rijksinspecties in een rapport (bron).

In de titel heb ik de zorginstellingen bewust tussen haakjes gezet. Niet omdat het daar nu zo goed geregeld is, maar juist omdat dit ook geldt voor heel veel andere bedrijven. De brandveiligheid is veelal slecht geregeld en het bijbehorende filmpje geeft een aantal voorbeelden die ikzelf in de praktijk ook veelvuldig ben tegengekomen.

Aan ons lijstje met risico’s wordt ook het risico op brandgevaar toegevoegd. Maar, eerlijk is eerlijk, ik ga er vanuit dat dit risico al op je lijstje voorkwam. Maar nu heb je ook een aantal voorbeelden die je gemakkelijk zelf kunt controleren (en lukt dat niet? dan loop ik graag een rondje met je mee door jouw gebouw).

Natuurlijk laat je jaarlijks controleren of je brandmeldinstallatie nog goed werkt. Daarvoor heb je een leverancier en die kijkt of het technisch allemaal nog in orde is. Maar zelf kun jij gemakkelijk controleren of de nooduitgangen vrij zijn, of de nooduitgangbordjes er nog hangen, of de brandbusapparatuur vrij toegankelijk is en of de houdbaarheid van de brandblussers nog niet verlopen is.

Het brandgevaar kunnen we voor een deel zelf eenvoudig controleren en verlagen. Hebben we het vaker over low hanging fruit dan heb je er hier een te pakken. Loop binnenkort een extra rondje door het gebouw waar je zit en controleer of de basis gewoon geregeld is. Maak er een mooi rapportje van en voeg de foto’s van de misstanden daaraan toe. Maak er een presentatie van en stuur die aan het management. Het is pas de eerste week van 2012, maar jij kunt je bijdrage al leveren aan het bewust maken van het management. Geef vervolgens aan hoe eenvoudig deze risico’s weggenomen kunnen worden en kostenneutraal heb jij in ieder geval al een aantal risico’s verlaagd.

Hardware veel onveiliger dan software

Eind vorig jaar kwam het onderstaande bericht al voorbij. Maar omdat we deze week bezig zijn met het aanvullen van ons lijstje risico’s, kan deze niet ontbreken.

Hackers zullen zich in 2012 massaal op hardware richten, aangezien fabrikanten zeker tien jaar achterlopen in vergelijking met softwareleveranciers. Dat is een voorspelling van Michael Sutton van beveiligingsbedrijf Zscaler Research (bron).

De moraal is natuurlijk dat we niet de beveiliging van software uit het oog moeten verliezen (want daar is nog genoeg mis mee), nee, we moeten simpelweg de hardware aan ons lijstje toevoegen. Denk aan allerlei apparatuur als printers, routers, servers maar ook kopieerapparaten en koffiemachines mogen wat mij betreft tegen het licht worden gehouden.

Natuurlijk loop je meer risico met netwerkapparatuur waarop bedrijfsinformatie staat en natuurlijk is het nog een ver van mijn bed show dat we aangevallen worden via koffiemachines. Toch zit er aan een koffiemachine een directer risico. We hebben het in het verleden wel eens aangehaald, maar zullen er nog een keer kort op ingaan.

De kans is groot dat onze koffie leverancier op afstand kan kijken wat er met de machine aan de hand is. Op afstand wordt het aantal geschonken bakjes koffie uitgelezen en jouw bedrijf krijgt daarvoor de rekening gepresenteerd. Maar wat als de leverancier de cijfertjes een beetje beïnvloed en naar boven toe afrond? Ben jij in staat om te controleren of de cijfers kloppen? En als de leverancier via het netwerk de machine kan benaderen, kunnen de criminelen dan niet via die netwerkverbinding ons netwerk binnen dringen?

Voor de kopieerapparaten geldt natuurlijk hetzelfde. De leverancier ziet het aantal kopietjes en printjes op afstand en jij betaald per pagina. Maar de kans is ook aanwezig dat de informatie die geprint of gekopieerd is op afstand is uit te lezen. In dergelijke apparaten zit een harde schijf en als het de leverancier of een crimineel lukt om de informatie uit te lezen dan ligt de informatie op straat.

De hardware wordt nu ook aan ons lijstje toegevoegd en de software blijft gewoon op ons lijstje staan. De kans en de impact schatten we. Maar als ons lijstje wordt uitgebreid moeten we ook de prioriteiten gaan stellen. We kunnen niet alle risico’s tegelijk aanpakken en dat is ook helemaal niet nodig. Met de inschatting van de kans en impact (op een 5-puntsschaal) ontstaat ook direct een prioriteitenlijst. De risico’s met de hoogste score pakken we het eerst op.

Logisch, toch? Ja, als je het zo ziet en leest wel. Maar ook hier is de praktijk weer een stuk lastiger. Nog te vaak zien we dat we wel risico’s aan het afdekken zijn maar dat het niet noodzakelijkerwijs de risico’s met de hoogste score zijn. Nee, veelal zijn het de risico’s die we het makkelijkst op kunnen lossen (het zogenaamde low hanging fruit), de meer ingewikkelde risico’s schuiven door omdat we daar meer budget of meer denkkracht voor nodig hebben.

Zonde, want hiermee lopen we weer in dezelfde cirkel als we de afgelopen jaren hebben gedaan. We verzanden (of verzuipen) in beveiligingsmaatregelen en verliezen de risico’s uit het oog. Mag ik je er nog even aan helpen herinneren dat 2012 het jaar is van de ommezwaai? Even afstand nemen en terug naar ons lijstje met risico’s. Die beveiligingsmaatregelen volgen dan vanzelf wel.

Cyberspionage grootste dreiging voor Nederland

Omdat we het nieuwe jaar beginnen met risicoanalyse, kunnen we het volgende risico aan ons lijstje toevoegen: cyberspionage. Hiervoor moeten we dus de kans en de impact bepalen zodat we onze verdediging daar op aan kunnen passen.

Cyberspionage en cybercrime zijn de grootste digitale dreigingen waar Nederland nu mee wordt geconfronteerd, zo staat in het eerste cybersecuritybeeld Nederland (CSBN) dat minister Opstelten van Veiligheid en Justitie naar de Tweede Kamer stuurde…Volgens het rapport zijn de aanvallen gericht op het verkrijgen van vertrouwelijke informatie van economische of politieke waarde, of op direct geldelijk gewin. (bron).

Bij risicoanalyse moeten we goed onderscheid blijven maken in oorzaak en gevolg. Halen we die door elkaar en schatten we de kans en impact verkeerd, dan is de kans groot dat we verkeerde beveiligingsmaatregelen treffen. Theoretisch simpel, in de praktijk een stuk weerbarstiger: als we de kans hoog schatten dan moeten we die maatregelen vinden die de kans verlagen. Is de impact groot, dan zoeken we naar maatregelen om de impact te verminderen. Zijn zowel de kans als de impact groot, dan nemen we dus maatregelen om beide te verlagen. Simpel gezegd, lastig in de praktijk gebracht.

Daarbij moeten we ook goed kijken naar de zogenaamde daderprofielen: tegen wie moeten we ons eigenlijk beschermen? Voor cyberspionage wordt hierbij onderscheid gemaakt in “statelijke actoren” en “criminelen”.

Criminelen zou het merendeel van alle cyberincidenten veroorzaken, waardoor deze het meest tastbaar zijn voor de samenleving. “Statelijke actoren kunnen echter de kennis en middelen mobiliseren om de meest geavanceerde en grootschalige aanvallen uit te voeren.

Gelukkig mogen we gebruik maken van het dreigingsoverzicht om te bepalen waar wij nu het risico lopen.

Tijd dus om cyberspionage aan onze lijst met risico’s toe te voegen en hem hoog op de agenda te zetten. Tijd om ons risk framework aan te passen en onze kop uit het zand te halen. Cyberspionage is een grote dreiging, maar als wij onze maatregelen nemen, dan wordt de kans een stuk kleiner dat het ons treft.

Risicomanagement

Hoewel we het er kort geleden ook al over hebben gehad, is de vraag dusdanig van belang dat we hem niet over slaan. Het staat namelijk aan de basis van alles wat we doen op het gebied van de informatiebeveiliging, nou ja theoretisch dan, in de praktijk komen we nog wel eens tegen dat er aan informatiebeveiliging gedaan wordt zonder risicomanagement. Dat is niet alleen heel erg inefficiënt maar nog gevaarlijk ook. Hoe weten we immers of we de juiste dingen doen en of we de dingen juist doen zonder de volgende vraag te beantwoorden:

Is het risicomanagement ingevoerd?

Om te voorkomen dat we verzanden in allerlei losstaande en inefficiënte beveiligingsmaatregelen moeten we ons baseren op de daadwerkelijke risico’s die de organisatie loopt. Simpel gezegd moeten we geen beveiligingsmaatregelen nemen maar operationele risico’s afdekken en om die operationele risico’s af te dekken hebben we (soms) beveiligingsmaatregelen nodig.

Redeneren we vanuit operationele risico’s dan kunnen we ook een afgewogen set aan technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen nemen om de risico’s af te dekken.

Risicomanagement kunnen we op een kwantitatieve of een kwalitatieve wijze organiseren. We kunnen er allerlei statistieken en financiële gegevens op los laten om de risico’s te bepalen maar we kunnen ook op basis van gezond boeren verstand kijken welke risico’s reëel zijn en wat de kans en de impact van die risico’s is op de continuïteit van de bedrijfsprocessen. Zelf ben ik voorstander van een kwalitatieve methode, omdat in veel gevallen de statistieken nog ontoereikend zijn.

Het grootste risico van het ontbreken van risicomanagement is dat we wel allerlei beveiligingsmaatregelen treffen maar geen zicht hebben op het feit welke risico’s nu daadwerkelijk worden afgedekt. Er ontstaat inefficiëntie en mismatch tussen de beveiligingsmaatregelen en de operationele risico’s. Vergeet overigens niet dat er verschillende soorten risicomaatregelen zijn.

Op hoofdlijnen zijn te onderscheiden:

  • Het risico vermijden, door bijvoorbeeld de risicovolle activiteit in zijn geheel niet uit te voeren;
  • Het risico accepteren, dus weten dat er een mogelijk risico is, maar geen preventieve maatregelen nemen (wel is het verstandig om in dat geval goed naar de detectieve, repressieve en correctieve maatregelen te kijken, als het risico zich dan openbaart kunnen we er snel op in spelen);
  • Het risico overdragen, door bijvoorbeeld een verzekering af te sluiten of door het risico neer te leggen bij een leverancier of afnemer;
  • Het risico mitigeren, een juiste set aan beveiligingsmaatregelen nemen om het risico naar een acceptabel niveau terug te brengen. Het risico hoeft daarbij niet in zijn geheel te worden weggenomen, restrisico’s kunnen we dan weer accepteren.

Het gevolg van het ontbreken van risicomanagement en het niet maken van bewuste keuzes is dat we schijnveiligheid creëren waarbij we niet de juiste, te weinig of juist teveel beveiligingsmaatregelen treffen. Operationele risico’s blijven bestaan, we besteden het budget niet efficiënt en we maken het voor de medewerkers lastig om hun dagelijkse werkzaamheden goed (en efficiënt) uit te voeren. Bijkomend gevaar is dat het management denkt dat het allemaal onder controle is, we nemen immers allerlei maatregelen, dus het moet wel goed zitten, toch?

Zonder risicomanagement draagt beveiliging niet bij aan het bereiken van de doelstellingen van de organisatie maar bemoeilijkt ze juist. Deze zin staat er even snel, maar bedenk dat het risicomanagement dat we voeren aan moet sluiten bij de totale strategie, missie, visie en doelstellingen van de organisatie. We zijn ondersteunend aan het bereiken van de doelen van de organisatie, we willen niet in de weglopen, maar willen ook niet dat we onacceptabele risico’s lopen.

Een reëel risico: Duurder Heinekenbier

We hebben het nog wel eens over risico’s die weinig concreet of ver van ons bed zijn. Maar nu toch een zeer reëel risico, waar we ons zeker iets bij voor kunnen stellen.

Bierbrouwer Heineken gaat ook in Europa de prijzen van zijn bier verhogen. De hogere prijzen voor grondstoffen wil het concern doorberekenen aan zijn klanten (bron).

Begrijp me niet verkeerd, ik mag graag een biertje drinken, maar dat is natuurlijk niet het risico waar ik het over heb. Nee, dat is meer het gevolg waar wij als consument last van krijgen.

Nee, het risico waar ik het over heb is de verhoging van de grondstofprijzen. We hebben het hier wel vaker over risico’s en dat zijn dan meestal operationele risico’s waardoor de organisatie uit het lood geslagen kan worden. Maar daarnaast zijn er nog andere soorten risico’s, zoals ook verhoging van de grondstofprijzen (en andere financiële risico’s).

Op zich zou dat niet zoveel uitmaken omdat alle leveranciers van bier daar last van krijgen en dus hun prijzen zouden moeten verhogen. Grote kans dat er net zoveel bier verkocht wordt, toch? Allemaal waar, maar in een breder verband kan een organisatie daar wel degelijk aan kapot gaan. Wat als de grondstofprijzen van substituut producten niet verhoogd hoeven te worden? Stel dat er een enorm goede oogst van druiven is geweest (ik weet het niet, dus stel), genoeg druiven om wijn van te maken. De prijs van wijn kan omlaag, waardoor er wel degelijk minder bier verkocht zal worden.

Misschien wijken we wat af. De strekking van het verhaal is natuurlijk erg simpel: neem in je risico analyse ook een mogelijke verhoging van de grondstofprijzen mee (een van je leveranciers risico’s). Schat de kans en de impact en je kunt vervolgens bepalen welke acties je neemt om je omzet te garanderen. Misschien moet je wel in wijn investeren.

Terugkomend op de bron van dit verhaal:
De bierbrouwer wil in alle regio’s waar hij actief is, de prijzen verhogen. Wel is er volgens topman Jean François van Boxmeer een verschil in niveau van verhoging. ,,In sommige regio’s is het lastiger dan in andere om de prijzen te verhogen.’

Gelukkig is het in sommige regio’s lastiger om de prijzen te verhogen…Nederland zal vast zo’n lastige regio zijn, dus de prijsverhoging zal meevallen…of begrijp ik dat verkeerd?

Een tip voor alle trendwatchers: wijn wordt de hit van 2011 (als de oogst tenminste goed is).