Risicomanagement; dichterbij dan je denkt?


Risicomanagement. We lezen en horen er veel over. Afgelopen juni deelde Renco op onze website het bericht dat de Nederlandse vertaling van NEN-ISO 31000 ‘Risicomanagement – Richtlijnen’ was gepubliceerd, waarin de meest relevante facetten van risicomanagement beknopt worden beschreven. Toch zien veel mensen risicomanagement niet direct als relevant, wel vinden ze het vaak spannend en complex. Echter hoeft dit niet het geval te zijn, in deze blog vertel ik je graag waarom.

Dichter bij je bed dan je denkt…

Risicomanagement is een hulpmiddel om bedreigingen (negatieve effecten) te beheersen en kansen (positieve effecten) te benutten zodat de organisatie en/of het project zijn doelstellingen haalt. Ofwel, je voorkomt dat er iets gebeurt wat ervoor zou kunnen zorgen dat bijvoorbeeld een gemeente zijn wettelijke en publieke taak niet meer kan uitvoeren. Misschien dat dit nog steeds als een ver-van-je-bed-show voelt, maar in de praktijk doen we allemaal dagelijks aan risicomanagement, al wordt dit vaak niet zo herkent. Risicomanagement staat namelijk ‘dichter bij je bed’ dan je denkt, letterlijk én figuurlijk. Voordat je gaat slapen zet je immers een wekker. Nu denk je waarschijnlijk: wat heeft dat nu met risicomanagement te maken? Nou, alles! Je zet een wekker om te voorkomen dat jij je de volgende ochtend verslaapt en daardoor te laat op je werk aankomt. Ofwel, je mitigeert een risico (verslapen en daardoor te laat op je werk aankomen) door het nemen van een maatregel (het zetten van je wekker).

Risicomanagement is daarom niet iets bijzonders of complex. Iedereen doet aan risicomanagement in het dagelijks leven. Waarom is het dan zo moeilijk om risicomanagement een formeel plekje te geven binnen de organisatie? Ook het beleggen van de verantwoordelijkheid voor risicomanagement is vaak een hete aardappel die van bord naar bord wordt geschoven. Zeker wanneer het gaat om beveiligingsmaatregelen die genomen moeten worden. Er wordt dan al snel gekeken naar de CISO, terwijl je tegenwoordig ook een proces- en/of een systeemeigenaar hebt (nu ook vanuit de BIO).

Verantwoordelijkheid

Het lijnmanagement is verantwoordelijk voor risicomanagement binnen de organisatie. Het is vaak lastig om als CISO bij lijnmanagers op het netvlies te krijgen waarom risicomanagement belangrijk is. Als CISO help je lijnmanagers de mogelijke beveiligingsmaatregelen te bepalen om verantwoord met deze risico’s om te gaan. De IBD heeft in oktober 2018 al een handreiking geschreven voor lijnmanagers om hen te ondersteunen en de CISO te helpen in het spreken van dezelfde taal.

“Een lijnmanager denkt meestal niet vanuit beveiligingsmaatregelen, maar (bewust of onbewust) vanuit dreigingen en risico’s. Een lijnmanager denkt niet in termen van maatregelen om ongeautoriseerde toegang tot het systeem te voorkomen, maar hij weet wel dat misbruik van vertrouwelijke informatie een dreiging is waartegen iets moet worden gedaan.”

Lijnmanagers en CISO’s kunnen elkaar hier dus alleen maar in versterken. Ik raad je daarom zeker aan om deze handreiking als CISO eens door te lezen en wellicht door te sturen naar lijnmanagers voordat je het gesprek over risico’s met hen aangaat.

Als CISO het gesprek over risico’s aangaan

Ga je als CISO met een lijnmanager (of proceseigenaar) aan tafel om over risico’s te praten? Zorg dan dat je je goed voorbereidt om het gesprek succesvol te laten verlopen. Ik geef je graag een aantal tips:

1. Probeer de ander niet te overtuigen
Gesprekken ontsporen nogal eens omdat je de ander probeert te overtuigen van jouw waarheid, visie of aanpak. Herkenbaar? Handig om te weten is dat een dergelijke strategie er vaak toe leidt dat de ander in de weerstand schiet. Hoe mooi en logisch je het ook verpakt. Het gesprek komt dan in de modus van argumenteren en motiveren, ook wel het ‘welles – nietes’ concept genoemd. En als mensen eenmaal in deze modus zitten, dan wordt het identificeren van bedreigingen op het gebied van informatieveiligheid geblokkeerd. Het resultaat? Alle mensen aan tafel zijn in de loopgraven beland. Probeer dus eens een andere aanpak. Een probleem of meningsverschil kan namelijk alleen worden opgelost als je bereid bent om te onderzoeken hoe de ander het ziet. Zet (in ieder geval tijdelijk) je eigen standpunt even op de achtergrond. Je kunt dit doen door simpelweg en heel bewust vragen te stellen als:

  • Hoe kijk jij tegen dit potentiële risico aan?
  • Welke mogelijke maatregelen zie jij?
  • Waarom denk je dat dit kan werken?

Jij en je gesprekspartner komen daarmee in een andere gespreksmodus en dat brengt het gesprek verder. Je zou zomaar op een beter idee kunnen komen als je de expertise van de ander beter op waarde weet te schatten.

2. Probeer het wiel niet opnieuw uit te vinden
Vaak is het lastig voor lijnmanagers om vanuit het niets bedreigingen en risico’s op het gebied van de informatieveiligheid voor de eigen afdeling in kaart te brengen. Maar dit wordt vanuit de normen van managementsystemen vaak wel vereist. Een veel gebruikte methode om dit proces te ondersteunen is de zogenaamde MAPGOOD-methode. Ga dus niet zelf het wiel opnieuw uitvinden maar gebruik een methode die al bestaat. MAPGOOD staat voor Mensen, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Dit zijn verschillende invalshoeken die je kunt gebruiken in een gesprek met een lijnmanager om naar bedreigingen en risico’s te kijken om zo beveiligingsmaatregelen in kaart te brengen.

  • Mens, denk aan: directe en indirecte gebruikers, en functioneel en technisch applicatiebeheer.
  • Apparatuur, denk aan: webserver, applicatieserver, beheer van werkplekken en werkplekken van gebruikers.
  • Programmatuur, denk aan: de diverse applicaties die gebruikt worden.
  • Gegevens, denk aan: basisregistraties, financiële verantwoording en vergunningen.
  • Organisatie, denk aan: beheer-, gebruikers- en ontwikkelorganisatie.
  • Omgeving, denk aan: locatie, serverruimte en werkplekken.
  • Diensten, denk aan: technisch systeembeheer, netwerkinfrastructuur en onderhoudscontracten met externe dienstverleners.

De MAPGOOD-methode biedt houvast om de risico’s met de lijnmanager te inventariseren. Laat daarbij de lijnmanager zoveel mogelijk aan het woord, hij/zij is immers verantwoordelijk voor zijn/haar afdeling.

Omgaan met risico’s

De MAPGOOD-methode helpt je bij het inventariseren van de risico’s, maar daarna ga je per onderdeel ook kijken naar wat de kans op optreden is en welke impact daarbij hoort. Daarna bepaal je hoe met het vastgestelde risico wordt omgegaan. Dat kan op vier manieren. Om hier een concreet voorbeeld van te geven, blijven we nog even bij het ‘ochtendritueel’. Iedereen weet dat wanneer je je tanden niet poetst je gaatjes en andere tandproblemen kunt krijgen:

  1. Vermijden – Je vermijdt het risico bijvoorbeeld door het nemen van een kunstgebit.
  2. Verminderen – Je beperkt de gevolgen van het risico door je tanden twee keer per dag te poetsen.
  3. Overdragen – Je draagt de risico’s over door een andere partij te betrekken, bijvoorbeeld door het nemen van een volledig dekkende tandartsverzekering.
  4. Accepteren – Op geen van de bovenstaande manieren kun je het risico aanpakken dus je neemt geen maatregelen.

Uiteraard is de manier waarop je omgaat met risico’s afhankelijk van de situatie binnen jouw gemeente. Ik adviseer je daarom altijd samen met het lijnmanagement het gesprek aan te gaan over informatieveiligheid.

Aan de slag!

Zo zie je maar weer, risicomanagement staat dichterbij je dan je wellicht in eerste instantie dacht. In je dagelijks leven maak je wellicht niet bewust een risicoanalyse maar in een complexe organisatie zoals jouw gemeente is dit zeker aan te raden. Hoe ga jij binnen jouw gemeente om met het thema risicomanagement? Heb je naar aanleiding van deze blog of een uitgevoerde risicoanalyse aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

ENSIA: méér dan de C in PDCA?

Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de BIO. ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarlijkse onderhoudsbeurt. Maar het is zoveel meer, toch?

In vijf stappen een goed informatiebeveiligingsbeleid

De allereerste maatregel uit de BIO, en ook gelijk de belangrijkste, is het hebben van een informatiebeveiligingsbeleid. In deze blog de vijf stappen naar een goed informatiebeveiligingsbeleid en dito implementatie.

Rechten van betrokkenen toepassen

Laatst was ik bij een gemeente die de inwoner een verzoek in het kader van dataportabiliteit liet indienen bij een verhuizing naar een andere gemeente, om het dossier rond de bijstandsuitkering bij de nieuwe gemeente te krijgen. Punten voor de creativiteit, maar niet helemaal waar het recht op overdraagbaarheid voor bedoeld is. In deze blog leg ik uit voor welke rechten betrokkenen een verzoek kunnen indienen, wanneer ze van toepassing zijn en hoe je daar praktisch invulling aan kunt geven.

Tips voor het beveiligen van Office 365

Eind april actualiseerde het Amerikaans ‘Cybersecurity & Infrastructure Security Agency’ (CISA) haar beveiligingsadvies voor Microsoft Office 365. Dat is relevante informatie omdat veel gemeenten momenteel, al dan niet versneld n.a.v. de noodzaak tot thuiswerken, bezig zijn met het uitrollen van Office 365. Daarom vandaag een blog waarin ik de belangrijkste beveiligingsinstellingen voor Office 365 bespreek.

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…