Risicomanagement

Hoewel we het er kort geleden ook al over hebben gehad, is de vraag dusdanig van belang dat we hem niet over slaan. Het staat namelijk aan de basis van alles wat we doen op het gebied van de informatiebeveiliging, nou ja theoretisch dan, in de praktijk komen we nog wel eens tegen dat er aan informatiebeveiliging gedaan wordt zonder risicomanagement. Dat is niet alleen heel erg inefficiënt maar nog gevaarlijk ook. Hoe weten we immers of we de juiste dingen doen en of we de dingen juist doen zonder de volgende vraag te beantwoorden:

Is het risicomanagement ingevoerd?

Om te voorkomen dat we verzanden in allerlei losstaande en inefficiënte beveiligingsmaatregelen moeten we ons baseren op de daadwerkelijke risico’s die de organisatie loopt. Simpel gezegd moeten we geen beveiligingsmaatregelen nemen maar operationele risico’s afdekken en om die operationele risico’s af te dekken hebben we (soms) beveiligingsmaatregelen nodig.

Redeneren we vanuit operationele risico’s dan kunnen we ook een afgewogen set aan technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen nemen om de risico’s af te dekken.

Risicomanagement kunnen we op een kwantitatieve of een kwalitatieve wijze organiseren. We kunnen er allerlei statistieken en financiële gegevens op los laten om de risico’s te bepalen maar we kunnen ook op basis van gezond boeren verstand kijken welke risico’s reëel zijn en wat de kans en de impact van die risico’s is op de continuïteit van de bedrijfsprocessen. Zelf ben ik voorstander van een kwalitatieve methode, omdat in veel gevallen de statistieken nog ontoereikend zijn.

Het grootste risico van het ontbreken van risicomanagement is dat we wel allerlei beveiligingsmaatregelen treffen maar geen zicht hebben op het feit welke risico’s nu daadwerkelijk worden afgedekt. Er ontstaat inefficiëntie en mismatch tussen de beveiligingsmaatregelen en de operationele risico’s. Vergeet overigens niet dat er verschillende soorten risicomaatregelen zijn.

Op hoofdlijnen zijn te onderscheiden:

  • Het risico vermijden, door bijvoorbeeld de risicovolle activiteit in zijn geheel niet uit te voeren;
  • Het risico accepteren, dus weten dat er een mogelijk risico is, maar geen preventieve maatregelen nemen (wel is het verstandig om in dat geval goed naar de detectieve, repressieve en correctieve maatregelen te kijken, als het risico zich dan openbaart kunnen we er snel op in spelen);
  • Het risico overdragen, door bijvoorbeeld een verzekering af te sluiten of door het risico neer te leggen bij een leverancier of afnemer;
  • Het risico mitigeren, een juiste set aan beveiligingsmaatregelen nemen om het risico naar een acceptabel niveau terug te brengen. Het risico hoeft daarbij niet in zijn geheel te worden weggenomen, restrisico’s kunnen we dan weer accepteren.

Het gevolg van het ontbreken van risicomanagement en het niet maken van bewuste keuzes is dat we schijnveiligheid creëren waarbij we niet de juiste, te weinig of juist teveel beveiligingsmaatregelen treffen. Operationele risico’s blijven bestaan, we besteden het budget niet efficiënt en we maken het voor de medewerkers lastig om hun dagelijkse werkzaamheden goed (en efficiënt) uit te voeren. Bijkomend gevaar is dat het management denkt dat het allemaal onder controle is, we nemen immers allerlei maatregelen, dus het moet wel goed zitten, toch?

Zonder risicomanagement draagt beveiliging niet bij aan het bereiken van de doelstellingen van de organisatie maar bemoeilijkt ze juist. Deze zin staat er even snel, maar bedenk dat het risicomanagement dat we voeren aan moet sluiten bij de totale strategie, missie, visie en doelstellingen van de organisatie. We zijn ondersteunend aan het bereiken van de doelen van de organisatie, we willen niet in de weglopen, maar willen ook niet dat we onacceptabele risico’s lopen.

Begrip van beveiligingseisen en risicomanagement

De afgelopen 2 weken zijn we door de quickscan voor informatiebeveiliging heen gelopen. Met deze scan kan snel bepaald worden of er aandacht voor informatiebeveiliging en risicomanagement nodig is. Maar ja, een quickscan is maar een vluchtig overzicht, er is immers nog zoveel meer over te schrijven. Maar niet gevreesd, daar gaan we de komende tijd op in. We zullen ingaan op de vragen die we doornemen als we een volwaardige volwassenheidscan willen doorlopen. Soms liggen de vragen misschien wat dicht tegen de quickscan aan, maar dat is logisch want de uitgebreidere scan (het woord zegt het al) is dus een uitgebreidere versie van de quickscan.

Maar genoeg inleiding voor nu. De eerste vraag uit de volledige scan gaat in op beveiligingsbeleid en de doelstellingen. Omdat we die twee weken geleden al hebben behandeld, slaan we die voor nu even over en gaan direct door met de vraag:

Is er een goed begrip binnen de organisatie van beveiligingseisen en risicomanagement?

Beveiliging is geen doel op zich, daar zijn we inmiddels wel genoeg op ingegaan, maar we herhalen het toch nog maar even. Nee, beveiliging is een middel dat bij moet dragen aan de continuïteit van de primaire en secundaire bedrijfsprocessen van de organisatie. Of in gewoon Nederlands: het moet zo min mogelijk geld kosten en er, als het even kan, ook nog voor zorgen dat we er juist meer omzet door kunnen draaien.

Een goed begrip van beveiliging, beveiligingseisen en risicomanagement is daarom nodig binnen alle lagen van de organisatie om in te kunnen schatten welke operationele risico’s de organisatie kunnen raken, hoe erg dat dan is en welke beheersingsmaatregelen daarvoor eventueel getroffen kunnen worden. Het middel mag nooit erger zijn dan de kwaal, dus we moeten voorzichtig zijn en goede afwegingen maken.

Met betrekking tot operationele risico’s kunnen we op basis van een kosten/baten analyse simpel de volgende strategieën onderkennen:
• De risico’s accepteren;
• De risico’s mitigeren;
• De risico’s (of de gevolgen daarvan) overdragen aan een derde.

Welke risico’s we onacceptabel vinden verschilt per organisatie, per proces, per informatiesysteem en eventueel per gebouw. Zo kunnen we bijvoorbeeld voor ons hoofdkantoor bepalen dat we sommige risico’s niet wensen te lopen, terwijl we dat voor een bijkantoor misschien wel doen.

Het ontbreken van een goed begrip met betrekking tot beveiliging, beveiligingseisen en risicomanagement draagt het risico met zich mee dat er teveel, te weinig of de verkeerde activiteiten ontplooit worden op het gebied van beveiliging. Teveel beveiligen betekent dat er teveel kosten gemoeid zijn met de aanpak en dat het dagelijkse werk voor de medewerkers bemoeilijkt wordt. Te weinig of de verkeerde activiteiten zorgen voor schijnveiligheid en het in stand houden van onacceptabele risico’s. Een incident als gevolg van de verkeerde aanpak van beveiliging kan hoge kosten met zich meebrengen of kan voor (definitieve) discontinuïteit van de organisatie zorgen.

Daarbij moeten we niet alleen kijken naar de directe kosten die gemoeid zijn met het incident, maar juist ook met de gevolgschade (want die heeft veelal de grootste impact). Neem nu een brand: de organisatie ondervindt erg veel last van die brand maar gelukkig hebben we ons gebouw goed verzekerd. Tot zover niets aan de hand, maar gaan onze klanten een jaar op ons wachten totdat we weer kunnen leveren? Lopen de kosten (bijv. van ons personeel) in dat jaar niet gewoon door? Zijn we niet straks echt alle klanten kwijt aan onze concurrent? Dat zijn de gevolgen waar we echt wakker van moeten liggen en die meestal niet verzekerd zijn. We hebben dan ons gebouw wel terug, maar geen klanten meer (en dat zorgt uiteindelijk voor de discontinuïteit).

Maar wat is nu een goed begrip dan? Een goed begrip betekent dat we inzien dat het eigenlijk helemaal niet om die dure, afzonderlijke, technische, ingewikkelde maatregelen en incidenten gaat maar juist om een goede aansluiting bij de rest van de strategie van de organisatie en de mogelijke echte gevolgschade na een incident. Daarvoor is dan bijvoorbeeld weer een goed (en goedgekeurd) beveiligingsbeleid en een ingerichte beveiligingsorganisatie nodig.

Meer weten? Ik hoor natuurlijk graag van je.

Risicoanalyse en risicomanagement

Inmiddels beginnen we al aardig draagvlak te krijgen voor onze activiteiten, zowel het management begrijpt dat het niet gaat om al die vervelende maatregelen maar om het afdekken van risico’s. De auditafdeling is op onze hand en de banden met de concurrent hebben we ook aangehaald. Misschien gek dat we de vijfde vraag nu pas gaan beantwoorden…maar ja het zou veel gekker zijn als we de vijfde vraag als tweede vraag zouden hanteren, toch?

De vijfde vraag die we moeten stellen is:
Maakt risicoanalyse en risicomanagement standaard deel uit van de integrale beveiliging?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Het is deze week al eerder aan bod gekomen, maar het draait dus eigenlijk helemaal niet om al die afzonderlijke, dure, ingewikkelde, lastige beveiligingsmaatregelen? Nee, juist, het draait om het afdekken van de risico’s die we als organisatie lopen. Over risicomanagement kun je hele boeken vol schrijven, maar de discussie over wat het nu exact is gaan we hier voor het gemak even uit de weg. We willen immers door de bomen ook nog gewoon het bos blijven zien. Om het eenvoudig te houden onderscheiden we hier “operational risks” en “enterprise risks”.

De operationel risks zijn die risico’s waar de Security Manager zich druk over mag maken. Denk bijvoorbeeld aan risico’s als: brand, hacking, cracking, virusuitbraak, inbraak en ga zo nog maar even door. Allemaal heel spannend natuurlijk, maar dat is vaak niet wat het senior management wil horen of waar zij wakker van liggen.

Nee de directie ligt juist wakker van de enterprise risks. Die kunnen we verdelen in: omzet, kosten en imago die uiteindelijk leiden tot de winstgevendheid van de organisatie (ja, non-profit ligt iets anders, maar goed, je begrijpt de strekking). De kunst is dus om met onze operationele hoofdpijn…eh, sorry risico’s aansluiting te zoeken bij de enterprise risks. Lukt dat, dan is de kans groot dat de directie ons nog serieus gaat nemen ook…of met andere woorden: onze echte meerwaarde gaat inzien.

Omdat we de blogs kort willen houden gaat het hier echt te ver om de hele risicomanagementmethodieken te beschrijven. Maar een belangrijk punt wil ik jullie toch niet onthouden. Naast operational en enterprise risk moeten we ook nog een keuze maken in een kwantitatieve of kwalitatieve aanpak…waarbij de laatste mijn voorkeur heeft omdat statistieken op informatiebeveiligingsgebied nog vaak ontbreken.

In een kort stuk tekst zijn we met een sneltreinvaart over risicoanalyse en risicomanagement heen gevlogen. Eigenlijk is dat onmogelijk en doen we het gebied te kort, maar goed we kunnen voor nu even niet anders.. Wel zijn we daarmee weer een stap verder en gaan we op weg naar vraag 6. Maar uiteraard niet voordat we, puur vanuit vaderlands liefde, Koninginnedag hebben gevierd.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.