Compliance

Risico's, wat moet je ermee?

Robert Bor Jeffrey de Vreede

Robert Bor, Jeffrey de Vreede

3 min read
Risico's, wat moet je ermee?
Bewust nadenken over risico's leidt tot bewuste keuzes in het al dan niet behandelen ervan

Risico's. We lopen ze allemaal, iedere dag, ieder moment van de dag. De meeste van die risico's laten we aan ons voorbij gaan. Op het moment dat we de auto of de trein instappen op weg naar ons werk, dan is er altijd die hele kleine kans dat je niet aankomt. Toch nemen we dat risico. Een leven vrij van risico's is niet mogelijk.

Maar sommige van die risico's gaan we wel mee aan de slag. Dat kan zijn omdat het een kleine moeite is om te adresseren, bijvoorbeeld je laptop niet laten staan als je in een cafe even naar het toilet gaat. Of omdat de gevolgschade zo groot is, dat je het risico simpelweg niet kunt lopen, bijvoorbeeld via de snelweg oversteken omdat dat nou eenmaal de kortste route is.

De risicoanalyse

Als bedrijf wil je niet onbewust met risico's omgaan. Een informatiebeveiligingsnorm zoals de ISO-27001 dwingt dat af. Je legt dan regelmatig je risico's onder de loep en gaat daar met de stakeholders het gesprek over aan. Tijdens dat gesprek brainstorm je over de risico's die je loopt en visualiseer je de consequenties als een risico optreedt.

Daarna ga je proberen het risico te kwantificeren over twee assen op bijvoorbeeld een vijfpuntsschaal. Enerzijds kijk je naar de kans dat het optreedt en anderzijds naar de impact als het optreedt. Vermenigvuldig die twee cijfers en je hebt een risicoscore. Die score geeft je een gevoel voor de mate van urgentie die je zou moeten voelen om het risico te behandelen.

Hoe hoger de risicoscore, hoe hoger de urgentie om het risico te behandelen

Echte winst: diepgaand gesprek

Uiteindelijk is de risicoanalyse maar een middel, een proces om een inhoudelijk gesprek op gang te brengen. We nemen de tijd om na te denken over wat er mis kan gaan, reflecteren daarop, bediscussiëren met elkaar hoe erg we dat vinden en besluiten dan of we het risico accepteren of dat we het willen behandelen.

Soms manifesteren bepaalde risico's zich heel vaak, maar is de impact zo klein dat het nauwelijks de moeite is om daar wat aan te doen. Je kunt denken aan een technisch probleem waar je met een simpele workaround geen last van hebt.

Andere risico's hebben een gigantische impact, maar is de kans extreem klein en de kosten zo hoog, of de behandelopties zijn zelfs in het geheel niet uitvoerbaar voor een individuele partij. Wij noemen dit Black Swans, naar het gelijknamige boek van Nicholas Nassim Taleb. Je bent je er dan wel van bewust en moet het risico noodgedwongen accepteren. Voor heel Europa is zo'n Black Swan bijvoorbeeld als de VS besluit geen IT-infrastructuur meer te leveren aan Europa. Het is niet voor niets dat Data Soevereiniteit voor Europa hoog op de agenda staat.

Behandelopties

Voor de risico's die we willen aanpakken, brainstormen we over mogelijke oplossingen. Als meer specialistische kennis nodig is, dan plannen we aparte deep dive sessies in om tot behandelopties te komen die het risico mitigeren. Dat kan langs meerdere assen. Om een paar voorbeelden van behandelopties te noemen als je spreekt over het risico op brand:

  • verkleinen kans op brand; gasfornuis vervangen met inductieplaat
  • verkleinen impact van brand; geen waardevolle spullen in het pand, uitwijkplan naar ready-to-go fallback-locatie of verzekering die alles dekt
  • bestrijden brand; blusmiddelen inpandig, mensen die getraind zijn op gebruik van de blusmiddelen
  • signaleren brand; rookmelders door het gehele pand

Wat heeft onze klant eraan?

Naast het voordeel dat de kwaliteit van onze informatiebeveiliging direct onze klanten raakt in de operationele keten, kunnen onze klanten meeliften op ons risicoanalyse-proces. Dat is handig, omdat we de proceskennis combineren met kennis van hun business en de tooling die we reeds voor ze gebouwd hebben.

Recent hebben we dit proces mogen uitvoeren voor een klant van ons. We hebben daartoe onze interne risicoanalyse procedure omgeschreven naar het domein van de klant. Dit is met name relevant voor de kans en impact. In de sessie zijn we systematisch door de hele workflow gegaan en hebben we pijnpunten geïdentificeerd.

Het eindresultaat van de risicoanalyse is een net rapport, wat de klant kan overdragen aan een auditor als evidence. Naast het rapport zijn de behandelopties uitgewerkt in concrete stappen om het proces veiliger te maken. De klant kan daaruit kiezen welke geïmplementeerd moeten worden. Zowel de klant als wijzelf waren zeer tevreden met het proces en de uitkomst.

Read more