Risicomanagement; dichterbij dan je denkt?

| Erna Havinga | ,

Risicomanagement. We lezen en horen er veel over. Afgelopen juni deelde Renco op onze website het bericht dat de Nederlandse vertaling van NEN-ISO 31000 ‘Risicomanagement – Richtlijnen’ was gepubliceerd, waarin de meest relevante facetten van risicomanagement beknopt worden beschreven. Toch zien veel mensen risicomanagement niet direct als relevant, wel vinden ze het vaak spannend en complex. Echter hoeft dit niet het geval te zijn, in deze blog vertel ik je graag waarom.

Dichter bij je bed dan je denkt…

Risicomanagement is een hulpmiddel om bedreigingen (negatieve effecten) te beheersen en kansen (positieve effecten) te benutten zodat de organisatie en/of het project zijn doelstellingen haalt. Ofwel, je voorkomt dat er iets gebeurt wat ervoor zou kunnen zorgen dat bijvoorbeeld een gemeente zijn wettelijke en publieke taak niet meer kan uitvoeren. Misschien dat dit nog steeds als een ver-van-je-bed-show voelt, maar in de praktijk doen we allemaal dagelijks aan risicomanagement, al wordt dit vaak niet zo herkent. Risicomanagement staat namelijk ‘dichter bij je bed’ dan je denkt, letterlijk én figuurlijk. Voordat je gaat slapen zet je immers een wekker. Nu denk je waarschijnlijk: wat heeft dat nu met risicomanagement te maken? Nou, alles! Je zet een wekker om te voorkomen dat jij je de volgende ochtend verslaapt en daardoor te laat op je werk aankomt. Ofwel, je mitigeert een risico (verslapen en daardoor te laat op je werk aankomen) door het nemen van een maatregel (het zetten van je wekker).

Risicomanagement is daarom niet iets bijzonders of complex. Iedereen doet aan risicomanagement in het dagelijks leven. Waarom is het dan zo moeilijk om risicomanagement een formeel plekje te geven binnen de organisatie? Ook het beleggen van de verantwoordelijkheid voor risicomanagement is vaak een hete aardappel die van bord naar bord wordt geschoven. Zeker wanneer het gaat om beveiligingsmaatregelen die genomen moeten worden. Er wordt dan al snel gekeken naar de CISO, terwijl je tegenwoordig ook een proces- en/of een systeemeigenaar hebt (nu ook vanuit de BIO).

Verantwoordelijkheid

Het lijnmanagement is verantwoordelijk voor risicomanagement binnen de organisatie. Het is vaak lastig om als CISO bij lijnmanagers op het netvlies te krijgen waarom risicomanagement belangrijk is. Als CISO help je lijnmanagers de mogelijke beveiligingsmaatregelen te bepalen om verantwoord met deze risico’s om te gaan. De IBD heeft in oktober 2018 al een handreiking geschreven voor lijnmanagers om hen te ondersteunen en de CISO te helpen in het spreken van dezelfde taal.

“Een lijnmanager denkt meestal niet vanuit beveiligingsmaatregelen, maar (bewust of onbewust) vanuit dreigingen en risico’s. Een lijnmanager denkt niet in termen van maatregelen om ongeautoriseerde toegang tot het systeem te voorkomen, maar hij weet wel dat misbruik van vertrouwelijke informatie een dreiging is waartegen iets moet worden gedaan.”

Lijnmanagers en CISO’s kunnen elkaar hier dus alleen maar in versterken. Ik raad je daarom zeker aan om deze handreiking als CISO eens door te lezen en wellicht door te sturen naar lijnmanagers voordat je het gesprek over risico’s met hen aangaat.

Als CISO het gesprek over risico’s aangaan

Ga je als CISO met een lijnmanager (of proceseigenaar) aan tafel om over risico’s te praten? Zorg dan dat je je goed voorbereidt om het gesprek succesvol te laten verlopen. Ik geef je graag een aantal tips:

1. Probeer de ander niet te overtuigen
Gesprekken ontsporen nogal eens omdat je de ander probeert te overtuigen van jouw waarheid, visie of aanpak. Herkenbaar? Handig om te weten is dat een dergelijke strategie er vaak toe leidt dat de ander in de weerstand schiet. Hoe mooi en logisch je het ook verpakt. Het gesprek komt dan in de modus van argumenteren en motiveren, ook wel het ‘welles – nietes’ concept genoemd. En als mensen eenmaal in deze modus zitten, dan wordt het identificeren van bedreigingen op het gebied van informatieveiligheid geblokkeerd. Het resultaat? Alle mensen aan tafel zijn in de loopgraven beland. Probeer dus eens een andere aanpak. Een probleem of meningsverschil kan namelijk alleen worden opgelost als je bereid bent om te onderzoeken hoe de ander het ziet. Zet (in ieder geval tijdelijk) je eigen standpunt even op de achtergrond. Je kunt dit doen door simpelweg en heel bewust vragen te stellen als:

  • Hoe kijk jij tegen dit potentiële risico aan?
  • Welke mogelijke maatregelen zie jij?
  • Waarom denk je dat dit kan werken?

Jij en je gesprekspartner komen daarmee in een andere gespreksmodus en dat brengt het gesprek verder. Je zou zomaar op een beter idee kunnen komen als je de expertise van de ander beter op waarde weet te schatten.

2. Probeer het wiel niet opnieuw uit te vinden
Vaak is het lastig voor lijnmanagers om vanuit het niets bedreigingen en risico’s op het gebied van de informatieveiligheid voor de eigen afdeling in kaart te brengen. Maar dit wordt vanuit de normen van managementsystemen vaak wel vereist. Een veel gebruikte methode om dit proces te ondersteunen is de zogenaamde MAPGOOD-methode. Ga dus niet zelf het wiel opnieuw uitvinden maar gebruik een methode die al bestaat. MAPGOOD staat voor Mensen, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Dit zijn verschillende invalshoeken die je kunt gebruiken in een gesprek met een lijnmanager om naar bedreigingen en risico’s te kijken om zo beveiligingsmaatregelen in kaart te brengen.

  • Mens, denk aan: directe en indirecte gebruikers, en functioneel en technisch applicatiebeheer.
  • Apparatuur, denk aan: webserver, applicatieserver, beheer van werkplekken en werkplekken van gebruikers.
  • Programmatuur, denk aan: de diverse applicaties die gebruikt worden.
  • Gegevens, denk aan: basisregistraties, financiële verantwoording en vergunningen.
  • Organisatie, denk aan: beheer-, gebruikers- en ontwikkelorganisatie.
  • Omgeving, denk aan: locatie, serverruimte en werkplekken.
  • Diensten, denk aan: technisch systeembeheer, netwerkinfrastructuur en onderhoudscontracten met externe dienstverleners.

De MAPGOOD-methode biedt houvast om de risico’s met de lijnmanager te inventariseren. Laat daarbij de lijnmanager zoveel mogelijk aan het woord, hij/zij is immers verantwoordelijk voor zijn/haar afdeling.

Omgaan met risico’s

De MAPGOOD-methode helpt je bij het inventariseren van de risico’s, maar daarna ga je per onderdeel ook kijken naar wat de kans op optreden is en welke impact daarbij hoort. Daarna bepaal je hoe met het vastgestelde risico wordt omgegaan. Dat kan op vier manieren. Om hier een concreet voorbeeld van te geven, blijven we nog even bij het ‘ochtendritueel’. Iedereen weet dat wanneer je je tanden niet poetst je gaatjes en andere tandproblemen kunt krijgen:

  1. Vermijden – Je vermijdt het risico bijvoorbeeld door het nemen van een kunstgebit.
  2. Verminderen – Je beperkt de gevolgen van het risico door je tanden twee keer per dag te poetsen.
  3. Overdragen – Je draagt de risico’s over door een andere partij te betrekken, bijvoorbeeld door het nemen van een volledig dekkende tandartsverzekering.
  4. Accepteren – Op geen van de bovenstaande manieren kun je het risico aanpakken dus je neemt geen maatregelen.

Uiteraard is de manier waarop je omgaat met risico’s afhankelijk van de situatie binnen jouw gemeente. Ik adviseer je daarom altijd samen met het lijnmanagement het gesprek aan te gaan over informatieveiligheid.

Aan de slag!

Zo zie je maar weer, risicomanagement staat dichterbij je dan je wellicht in eerste instantie dacht. In je dagelijks leven maak je wellicht niet bewust een risicoanalyse maar in een complexe organisatie zoals jouw gemeente is dit zeker aan te raden. Hoe ga jij binnen jouw gemeente om met het thema risicomanagement? Heb je naar aanleiding van deze blog of een uitgevoerde risicoanalyse aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …
Verder lezen

Wat zijn de verplichtingen rondom het melden van een datalek?

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de AP wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het d…
Verder lezen

De ENSIA-coördinator als projectleider?

Gemeenten leggen jaarlijks verantwoording af over informatieveiligheid middels ENSIA. De uitvoering ervan wordt begeleid door de ENSIA-coördinator. Maar hoe pak je dit aan en welke vaardigheden zijn hiervoor nodig? Je leest het in deze blog.
Verder lezen

De rol van de gemeenteraad bij informatiebeveiliging en privacy

De gemeenteraad heeft een belangrijke rol om er op toe te zien dat informatiebeveiliging en privacybescherming goed wordt geborgd binnen de gemeentelijke organisatie. In deze blog lees je wat die rol inhoudt en welke taken en verantwoordelijkheden…
Verder lezen

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…
Verder lezen

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog
Verder lezen
Biblio

Blog artikelen

Nieuwsberichten

Downloads

Diensten

BIO - AVG - ENSIA

Bewustwording

Detachering

Over IB&P

Lees ons boek

CISO Pioniers

Privacy Pioniers

Contact

Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap