Skip to main content

Risicomanagement; dichterbij dan je denkt?


Risicomanagement. We lezen en horen er veel over. Afgelopen juni deelde Renco op onze website het bericht dat de Nederlandse vertaling van NEN-ISO 31000 ‘Risicomanagement – Richtlijnen’ was gepubliceerd, waarin de meest relevante facetten van risicomanagement beknopt worden beschreven. Toch zien veel mensen risicomanagement niet direct als relevant, wel vinden ze het vaak spannend en complex. Echter hoeft dit niet het geval te zijn, in deze blog vertel ik je graag waarom.

Dichter bij je bed dan je denkt…

Risicomanagement is een hulpmiddel om bedreigingen (negatieve effecten) te beheersen en kansen (positieve effecten) te benutten zodat de organisatie en/of het project zijn doelstellingen haalt. Ofwel, je voorkomt dat er iets gebeurt wat ervoor zou kunnen zorgen dat bijvoorbeeld een gemeente zijn wettelijke en publieke taak niet meer kan uitvoeren. Misschien dat dit nog steeds als een ver-van-je-bed-show voelt, maar in de praktijk doen we allemaal dagelijks aan risicomanagement, al wordt dit vaak niet zo herkent. Risicomanagement staat namelijk ‘dichter bij je bed’ dan je denkt, letterlijk én figuurlijk. Voordat je gaat slapen zet je immers een wekker. Nu denk je waarschijnlijk: wat heeft dat nu met risicomanagement te maken? Nou, alles! Je zet een wekker om te voorkomen dat jij je de volgende ochtend verslaapt en daardoor te laat op je werk aankomt. Ofwel, je mitigeert een risico (verslapen en daardoor te laat op je werk aankomen) door het nemen van een maatregel (het zetten van je wekker).

Risicomanagement is daarom niet iets bijzonders of complex. Iedereen doet aan risicomanagement in het dagelijks leven. Waarom is het dan zo moeilijk om risicomanagement een formeel plekje te geven binnen de organisatie? Ook het beleggen van de verantwoordelijkheid voor risicomanagement is vaak een hete aardappel die van bord naar bord wordt geschoven. Zeker wanneer het gaat om beveiligingsmaatregelen die genomen moeten worden. Er wordt dan al snel gekeken naar de CISO, terwijl je tegenwoordig ook een proces- en/of een systeemeigenaar hebt (nu ook vanuit de BIO).

Verantwoordelijkheid

Het lijnmanagement is verantwoordelijk voor risicomanagement binnen de organisatie. Het is vaak lastig om als CISO bij lijnmanagers op het netvlies te krijgen waarom risicomanagement belangrijk is. Als CISO help je lijnmanagers de mogelijke beveiligingsmaatregelen te bepalen om verantwoord met deze risico’s om te gaan. De IBD heeft in oktober 2018 al een handreiking geschreven voor lijnmanagers om hen te ondersteunen en de CISO te helpen in het spreken van dezelfde taal.

“Een lijnmanager denkt meestal niet vanuit beveiligingsmaatregelen, maar (bewust of onbewust) vanuit dreigingen en risico’s. Een lijnmanager denkt niet in termen van maatregelen om ongeautoriseerde toegang tot het systeem te voorkomen, maar hij weet wel dat misbruik van vertrouwelijke informatie een dreiging is waartegen iets moet worden gedaan.”

Lijnmanagers en CISO’s kunnen elkaar hier dus alleen maar in versterken. Ik raad je daarom zeker aan om deze handreiking als CISO eens door te lezen en wellicht door te sturen naar lijnmanagers voordat je het gesprek over risico’s met hen aangaat.

Als CISO het gesprek over risico’s aangaan

Ga je als CISO met een lijnmanager (of proceseigenaar) aan tafel om over risico’s te praten? Zorg dan dat je je goed voorbereidt om het gesprek succesvol te laten verlopen. Ik geef je graag een aantal tips:

1. Probeer de ander niet te overtuigen
Gesprekken ontsporen nogal eens omdat je de ander probeert te overtuigen van jouw waarheid, visie of aanpak. Herkenbaar? Handig om te weten is dat een dergelijke strategie er vaak toe leidt dat de ander in de weerstand schiet. Hoe mooi en logisch je het ook verpakt. Het gesprek komt dan in de modus van argumenteren en motiveren, ook wel het ‘welles – nietes’ concept genoemd. En als mensen eenmaal in deze modus zitten, dan wordt het identificeren van bedreigingen op het gebied van informatieveiligheid geblokkeerd. Het resultaat? Alle mensen aan tafel zijn in de loopgraven beland. Probeer dus eens een andere aanpak. Een probleem of meningsverschil kan namelijk alleen worden opgelost als je bereid bent om te onderzoeken hoe de ander het ziet. Zet (in ieder geval tijdelijk) je eigen standpunt even op de achtergrond. Je kunt dit doen door simpelweg en heel bewust vragen te stellen als:

  • Hoe kijk jij tegen dit potentiële risico aan?
  • Welke mogelijke maatregelen zie jij?
  • Waarom denk je dat dit kan werken?

Jij en je gesprekspartner komen daarmee in een andere gespreksmodus en dat brengt het gesprek verder. Je zou zomaar op een beter idee kunnen komen als je de expertise van de ander beter op waarde weet te schatten.

2. Probeer het wiel niet opnieuw uit te vinden
Vaak is het lastig voor lijnmanagers om vanuit het niets bedreigingen en risico’s op het gebied van de informatieveiligheid voor de eigen afdeling in kaart te brengen. Maar dit wordt vanuit de normen van managementsystemen vaak wel vereist. Een veel gebruikte methode om dit proces te ondersteunen is de zogenaamde MAPGOOD-methode. Ga dus niet zelf het wiel opnieuw uitvinden maar gebruik een methode die al bestaat. MAPGOOD staat voor Mensen, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Dit zijn verschillende invalshoeken die je kunt gebruiken in een gesprek met een lijnmanager om naar bedreigingen en risico’s te kijken om zo beveiligingsmaatregelen in kaart te brengen.

  • Mens, denk aan: directe en indirecte gebruikers, en functioneel en technisch applicatiebeheer.
  • Apparatuur, denk aan: webserver, applicatieserver, beheer van werkplekken en werkplekken van gebruikers.
  • Programmatuur, denk aan: de diverse applicaties die gebruikt worden.
  • Gegevens, denk aan: basisregistraties, financiële verantwoording en vergunningen.
  • Organisatie, denk aan: beheer-, gebruikers- en ontwikkelorganisatie.
  • Omgeving, denk aan: locatie, serverruimte en werkplekken.
  • Diensten, denk aan: technisch systeembeheer, netwerkinfrastructuur en onderhoudscontracten met externe dienstverleners.

De MAPGOOD-methode biedt houvast om de risico’s met de lijnmanager te inventariseren. Laat daarbij de lijnmanager zoveel mogelijk aan het woord, hij/zij is immers verantwoordelijk voor zijn/haar afdeling.

Omgaan met risico’s

De MAPGOOD-methode helpt je bij het inventariseren van de risico’s, maar daarna ga je per onderdeel ook kijken naar wat de kans op optreden is en welke impact daarbij hoort. Daarna bepaal je hoe met het vastgestelde risico wordt omgegaan. Dat kan op vier manieren. Om hier een concreet voorbeeld van te geven, blijven we nog even bij het ‘ochtendritueel’. Iedereen weet dat wanneer je je tanden niet poetst je gaatjes en andere tandproblemen kunt krijgen:

  1. Vermijden – Je vermijdt het risico bijvoorbeeld door het nemen van een kunstgebit.
  2. Verminderen – Je beperkt de gevolgen van het risico door je tanden twee keer per dag te poetsen.
  3. Overdragen – Je draagt de risico’s over door een andere partij te betrekken, bijvoorbeeld door het nemen van een volledig dekkende tandartsverzekering.
  4. Accepteren – Op geen van de bovenstaande manieren kun je het risico aanpakken dus je neemt geen maatregelen.

Uiteraard is de manier waarop je omgaat met risico’s afhankelijk van de situatie binnen jouw gemeente. Ik adviseer je daarom altijd samen met het lijnmanagement het gesprek aan te gaan over informatieveiligheid.

Aan de slag!

Zo zie je maar weer, risicomanagement staat dichterbij je dan je wellicht in eerste instantie dacht. In je dagelijks leven maak je wellicht niet bewust een risicoanalyse maar in een complexe organisatie zoals jouw gemeente is dit zeker aan te raden. Hoe ga jij binnen jouw gemeente om met het thema risicomanagement? Heb je naar aanleiding van deze blog of een uitgevoerde risicoanalyse aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Rapportage Datalekken AP 2023

Te veel organisaties in Nederland die worden getroffen door een cyberaanval, waarschuwen betrokkenen niet dat hun gegevens in verkeerde handen zijn gevallen’. Dit blijkt uit het jaarlijkse overzicht van datalekmeldingen in Nederland van de Autorit…

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…