Risicomanagement. We lezen en horen er veel over. Afgelopen juni deelde Renco op onze website het bericht dat de Nederlandse vertaling van NEN-ISO 31000 ‘Risicomanagement – Richtlijnen’ was gepubliceerd, waarin de meest relevante facetten van risicomanagement beknopt worden beschreven. Toch zien veel mensen risicomanagement niet direct als relevant, wel vinden ze het vaak spannend en complex. Echter hoeft dit niet het geval te zijn, in deze blog vertel ik je graag waarom.

Dichter bij je bed dan je denkt…

Risicomanagement is een hulpmiddel om bedreigingen (negatieve effecten) te beheersen en kansen (positieve effecten) te benutten zodat de organisatie en/of het project zijn doelstellingen haalt. Ofwel, je voorkomt dat er iets gebeurt wat ervoor zou kunnen zorgen dat bijvoorbeeld een gemeente zijn wettelijke en publieke taak niet meer kan uitvoeren. Misschien dat dit nog steeds als een ver-van-je-bed-show voelt, maar in de praktijk doen we allemaal dagelijks aan risicomanagement, al wordt dit vaak niet zo herkent. Risicomanagement staat namelijk ‘dichter bij je bed’ dan je denkt, letterlijk én figuurlijk. Voordat je gaat slapen zet je immers een wekker. Nu denk je waarschijnlijk: wat heeft dat nu met risicomanagement te maken? Nou, alles! Je zet een wekker om te voorkomen dat jij je de volgende ochtend verslaapt en daardoor te laat op je werk aankomt. Ofwel, je mitigeert een risico (verslapen en daardoor te laat op je werk aankomen) door het nemen van een maatregel (het zetten van je wekker).

Risicomanagement is daarom niet iets bijzonders of complex. Iedereen doet aan risicomanagement in het dagelijks leven. Waarom is het dan zo moeilijk om risicomanagement een formeel plekje te geven binnen de organisatie? Ook het beleggen van de verantwoordelijkheid voor risicomanagement is vaak een hete aardappel die van bord naar bord wordt geschoven. Zeker wanneer het gaat om beveiligingsmaatregelen die genomen moeten worden. Er wordt dan al snel gekeken naar de CISO, terwijl je tegenwoordig ook een proces- en/of een systeemeigenaar hebt (nu ook vanuit de BIO).

Verantwoordelijkheid

Het lijnmanagement is verantwoordelijk voor risicomanagement binnen de organisatie. Het is vaak lastig om als CISO bij lijnmanagers op het netvlies te krijgen waarom risicomanagement belangrijk is. Als CISO help je lijnmanagers de mogelijke beveiligingsmaatregelen te bepalen om verantwoord met deze risico’s om te gaan. De IBD heeft in oktober 2018 al een handreiking geschreven voor lijnmanagers om hen te ondersteunen en de CISO te helpen in het spreken van dezelfde taal.

“Een lijnmanager denkt meestal niet vanuit beveiligingsmaatregelen, maar (bewust of onbewust) vanuit dreigingen en risico’s. Een lijnmanager denkt niet in termen van maatregelen om ongeautoriseerde toegang tot het systeem te voorkomen, maar hij weet wel dat misbruik van vertrouwelijke informatie een dreiging is waartegen iets moet worden gedaan.”

Lijnmanagers en CISO’s kunnen elkaar hier dus alleen maar in versterken. Ik raad je daarom zeker aan om deze handreiking als CISO eens door te lezen en wellicht door te sturen naar lijnmanagers voordat je het gesprek over risico’s met hen aangaat.

Als CISO het gesprek over risico’s aangaan

Ga je als CISO met een lijnmanager (of proceseigenaar) aan tafel om over risico’s te praten? Zorg dan dat je je goed voorbereidt om het gesprek succesvol te laten verlopen. Ik geef je graag een aantal tips:

1. Probeer de ander niet te overtuigen
Gesprekken ontsporen nogal eens omdat je de ander probeert te overtuigen van jouw waarheid, visie of aanpak. Herkenbaar? Handig om te weten is dat een dergelijke strategie er vaak toe leidt dat de ander in de weerstand schiet. Hoe mooi en logisch je het ook verpakt. Het gesprek komt dan in de modus van argumenteren en motiveren, ook wel het ‘welles – nietes’ concept genoemd. En als mensen eenmaal in deze modus zitten, dan wordt het identificeren van bedreigingen op het gebied van informatieveiligheid geblokkeerd. Het resultaat? Alle mensen aan tafel zijn in de loopgraven beland. Probeer dus eens een andere aanpak. Een probleem of meningsverschil kan namelijk alleen worden opgelost als je bereid bent om te onderzoeken hoe de ander het ziet. Zet (in ieder geval tijdelijk) je eigen standpunt even op de achtergrond. Je kunt dit doen door simpelweg en heel bewust vragen te stellen als:

• Hoe kijk jij tegen dit potentiële risico aan?
• Welke mogelijke maatregelen zie jij?
• Waarom denk je dat dit kan werken?

Jij en je gesprekspartner komen daarmee in een andere gespreksmodus en dat brengt het gesprek verder. Je zou zomaar op een beter idee kunnen komen als je de expertise van de ander beter op waarde weet te schatten.

2. Probeer het wiel niet opnieuw uit te vinden
Vaak is het lastig voor lijnmanagers om vanuit het niets bedreigingen en risico’s op het gebied van de informatieveiligheid voor de eigen afdeling in kaart te brengen. Maar dit wordt vanuit de normen van managementsystemen vaak wel vereist. Een veel gebruikte methode om dit proces te ondersteunen is de zogenaamde MAPGOOD-methode. Ga dus niet zelf het wiel opnieuw uitvinden maar gebruik een methode die al bestaat. MAPGOOD staat voor Mensen, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Dit zijn verschillende invalshoeken die je kunt gebruiken in een gesprek met een lijnmanager om naar bedreigingen en risico’s te kijken om zo beveiligingsmaatregelen in kaart te brengen.

• Mens, denk aan: directe en indirecte gebruikers, en functioneel en technisch applicatiebeheer.
• Apparatuur, denk aan: webserver, applicatieserver, beheer van werkplekken en werkplekken van gebruikers.
• Programmatuur, denk aan: de diverse applicaties die gebruikt worden.
• Gegevens, denk aan: basisregistraties, financiële verantwoording en vergunningen.
• Organisatie, denk aan: beheer-, gebruikers- en ontwikkelorganisatie.
• Omgeving, denk aan: locatie, serverruimte en werkplekken.
• Diensten, denk aan: technisch systeembeheer, netwerkinfrastructuur en onderhoudscontracten met externe dienstverleners.

De MAPGOOD-methode biedt houvast om de risico’s met de lijnmanager te inventariseren. Laat daarbij de lijnmanager zoveel mogelijk aan het woord, hij/zij is immers verantwoordelijk voor zijn/haar afdeling.

Omgaan met risico’s

De MAPGOOD-methode helpt je bij het inventariseren van de risico’s, maar daarna ga je per onderdeel ook kijken naar wat de kans op optreden is en welke impact daarbij hoort. Daarna bepaal je hoe met het vastgestelde risico wordt omgegaan. Dat kan op vier manieren. Om hier een concreet voorbeeld van te geven, blijven we nog even bij het ‘ochtendritueel’. Iedereen weet dat wanneer je je tanden niet poetst je gaatjes en andere tandproblemen kunt krijgen:

1. Vermijden – Je vermijdt het risico bijvoorbeeld door het nemen van een kunstgebit.
2. Verminderen – Je beperkt de gevolgen van het risico door je tanden twee keer per dag te poetsen.
3. Overdragen – Je draagt de risico’s over door een andere partij te betrekken, bijvoorbeeld door het nemen van een volledig dekkende tandartsverzekering.
4. Accepteren – Op geen van de bovenstaande manieren kun je het risico aanpakken dus je neemt geen maatregelen.

Uiteraard is de manier waarop je omgaat met risico’s afhankelijk van de situatie binnen jouw gemeente. Ik adviseer je daarom altijd samen met het lijnmanagement het gesprek aan te gaan over informatieveiligheid.

Aan de slag!

Zo zie je maar weer, risicomanagement staat dichterbij je dan je wellicht in eerste instantie dacht. In je dagelijks leven maak je wellicht niet bewust een risicoanalyse maar in een complexe organisatie zoals jouw gemeente is dit zeker aan te raden. Hoe ga jij binnen jouw gemeente om met het thema risicomanagement? Heb je naar aanleiding van deze blog of een uitgevoerde risicoanalyse aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.