RISICOMANAGEMENT

Risicomanagement helpt om kansen en risico’s op een gestructureerde manier aan te pakken. Het is niet voor niets dat veel normen en standaarden risicomanagement centraal hebben staan. Neem bijvoorbeeld ISO27001, NEN7510 of ISO9001 waarbij de norm uitgaat van een risico gebaseerde aanpak.
Voordat het inventariseren van de risico’s is het belangrijk te bepalen wat de scope van de risicoanalyse is. Een IT systeem, een nieuwe leverancier of een heel managementsysteem. Wij werken graag visueel aan de hand van een schematische weergave van het te analyseren object.

Stap 1 – Bepaal de context

Waarom een assessment?

De eerste vraag om te beantwoorden is de vraag waarom het assessment wordt uitgevoerd en welke stakeholders onderdeel van de assessment moeten uitmaken. Gaat de assessment om een technische oplossing zijn technisch specialisten nodig bij het assessment. Voor het bepalen van de kansen en risico’s voor een kwaliteitsmanagementsysteem is het goed om de stakeholders van het managementsysteem uit te nodigen. De stakeholders voor de assessment zijn waardevol om de kans van optreden en de impact op de organisatie van ieder risico goed vast te stellen.
Wij vinden dat een risico analyse een objectief en compleet beeld moet geven en niet mag dienen om een eenzijdig beeld te vormen of beslissingen beïnvloedt.

Wat omvat het assessment?

Om duidelijkheid te geven aan de directie en stakeholders waarvan de risico’s zijn vastgesteld, is de scope van de assessment belangrijk. Door deze te documenteren worden ook de deelnemers aan de assessment creatief uitgedaagd over alle risico’s na te denken.
25 North werkt graag visueel door de scope van het assessment te schetsen. Wanneer wij als onafhankelijke derde een situatieschets maken leiden onze vragen vaak al tot inzichten in risico gebieden. Maak daarom een schets van de situatie, oplossing, systeem onderdelen, etc.. Het helpt het denkproces.

Stap 2 – Risico analyse

a. Identificeer de risico’s.

Welke risico’s kunnen zich voordoen, wie kunnen dit veroorzaken (actoren) en welke bedrijfsmiddelen worden potentieel bedreigd door het risico. Dat is waar deze stap om gaat. Vaak kunnen een aantal standaard risico’s direct worden opgeschreven. Denk daarbij aan hackers, virussen en verlies of diefstal. Om een compleet beeld te krijgen van alle risico’s is de MAPGOOD methode een geschikt hulpmiddel. Denk bijvoorbeeld ook aan de opslaglocatie van gegevens, afhankelijkheden van de systemen. Risico’s die wellicht iets minder voor de hand liggen.

Gebruik voor het identificeren van de risico’s de 25 North risk management post-it. Deze post-its zijn ontworpen om tijdens risicomanagement sessie gebruikt te worden.

b. Aanwezigheid van maatregelen

Voordat we de risico’s kunnen voorzien van een score voor de impact en de kans van optreden is het belangrijk te weten welke maatregelen al aanwezig zijn. Vooral de kans van optreden is hiervan sterk afhankelijk. Zo zal de kans op een inbraak aanzienlijk kleiner zijn wanneer hoogwaardig hang en sluitwerk is toegepast en er verlichting aanwezig is. Anderzijds zal de impact van de diefstal van een laptop kleiner zijn wanneer de gegevens versleuteld zijn.

c. Score van de risico’s

Voor ieder risico wordt de kans en impact gewaardeerd. Onze risk post-it heeft hiervoor een schaal van 1 tot en met 5. Wanneer er geen incident registraties aanwezig zijn, zal het inschatten van risico’s voor een groot deel afhankelijk zijn van de ervaring van de stakeholders. Het doel van het scoren van de risico’s is geen exacte wetenschap, maar een goed en realistisch beeld van de aanwezige risico’s.

MAPGOOD

Om een goed beeld van de risico’s te krijgen kan de MAPGOOD-methode helpen. MAPGOOD is een acroniem voor:

  • Mens
    Wie zijn de gebruikers van de omgeving
  • Apparatuur
    Welke apparatuur is gebruikt binnen de context
  • Programmatuur
    Welke programmatuur wordt gebruikt
  • Gegevens
    Welke gegevens zijn er binnen de context aanwezig
  • Organisatie
    Welke afdelingen binnen de organisatie zijn afhankelijk van de omgeving of maken hier gebruik van.
  • Omgeving
    In welke omgeving is het systeem geplaatst
  • Diensten
    Welke diensten horen bij het systeem.

Gebruik mapgood als hulpmiddel om de risico’s te bepalen voor de beschreven context.

Stap 3. De risico’s behandelen

 Nu is er een overzicht van de risico’s aanwezig, maar hoe nu verder. Wellicht zijn er risico’s die de organisatie wil en kan dragen, terwijl andere risico’s liever vermeden worden. De meeste risico’s echter zal de organisatie iets aan moeten doen om ze te controleren. Denk bijvoorbeeld aan cyber risico’s, veel organisaties proberen de kans van optreden te verkleinen door beveiligingsmaatregelen te treffen. De impact van een datalek neemt echter niet veel af en hiervoor zijn cyber security verzekeringen een oplossing.

Grofweg zijn er vier manieren om met een risico om te gaan:

  • Accepteren betekend dat je niets met het risico gaat doen, ofwel je accepteert de gevolgen. Vaak gebeurt dit wanneer organisaties enkele maatregelen hebben geïmplementeerd en het risico hiermee beheersbaar is geworden.
  • Overdragen maakt dat je iemand anders verantwoordelijk maakt voor het risico. Voorbeelden zijn verzekeren of outsourcen van activiteiten.
  • Vermijden van het risico betekend simpelweg dat je als organisatie stopt met de activiteiten die met het risico samengaan. 
  • Mitigeren tenslotte is niets anders dan het risico beheersbaar maken door acties te ondernemen om de kans of de impact te verkleinen.

Het mitigeren van risico’s brengt kosten met zich mee. Het is daarom goed om voor de risico’s die je gaat mitigeren in te schatten wat de risicoscore is na het invoeren van de maatregelen. Dit geeft de directie inzicht in het beoogde effect van de maatregelen.

Stap 4. Maatregelen implementeren.

De risico eigenaren gaan nu aan de slag met het implementeren van de beschreven maatregelen. Als security officer of risico manager ga je regelmatig na of er vorderingen worden gemaakt, ofwel wordt het risico verkleind.

Herhalen, herhalen, herhalen

Het risicoprofiel van de organisatie veranderd voortdurend. Denk aan het invoeren van nieuwe technologische oplossingen, een nieuw bedrijfspand of het starten van een nieuwe dienst. Het is belangrijk dat de geïnventariseerde risico’s regelmatig worden geëvalueerd.

Voor organisaties die een ISO27001  certificaat hebben of nastreven zijn deze stappen in een proces opgenomen en worden minimaal eens per jaar de risico’s beoordeeld. Een tweede trigger voor een risico management sessie is een significante wijziging binnen de organisatie.

Risico gebaseerde aanpak

Door risicomanagement te integreren in de bedrijfsvoering kan de organisatie hier veel profijt van hebben. Kijk bij een nieuwe leverancier naar de risico’s die hiermee ontstaan. Toets vervolgens of deze nieuwe leverancier hieraan adequate invulling geeft. Bij het installeren van nieuwe software beoordeelt de organisatie welke risico’s de software en het gebruik met zich meebrengt. De training voor de medewerkers kan hier vervolgens invulling aan geven.

 

Support nodig?

Heeft u support nodig bij het uitvoeren van uw risicomanagement sessie, het opzetten van uw risicomanagement proces of bent u op zoek naar een second opinion. Wij staan u graag bij. Neem contact met ons op voor meer informatie of een vrijblijvende offerte.