Gisteren zijn we al ingegaan op de vraag of de dreigingen inzichtelijk zijn. Daarbij zijn we ook al kort ingegaan op de relatie tussen oorzaak en gevolg. Die natuurlijk vergelijkbaar is met zaken als: doel en middel, kip en ei enzovoorts. Als we inderdaad serieus met het inzichtelijk maken van de dreigingen omgaan, dan wordt de volgende vraag:
Zijn de mogelijke gevolgen van een dreiging geïnventariseerd (de risico scenario’s zijn bekend)?
Na de vorige stap hebben we zicht op de dreigingen die ons daadwerkelijk uit het veld kunnen slaan. We hebben hele lijsten met oorzaken en gevolgen. Of eigenlijk hebben we een lijst met allerlei gevolgen en gaan we vandaar uit terugredeneren naar de mogelijke oorzaken voor die gevolgen. Vreemd, maar waar: op de een of andere manier is het voor ons makkelijker om te denken in gevolgen dan in oorzaken. Op zich helemaal niet erg, maar wel goed om te beseffen zodat we nog even doordenken.
Hebben we eenmaal een dreiging geïdentificeerd dan stellen we onszelf nog even de vraag: is dit nu een oorzaak of juist een gevolg? Constateren we dat we hier te maken hebben met een gevolg dan stellen we onszelf de vraag wat dan de mogelijke oorzaken (er kunnen er meer, veel meer zijn) zijn.
Vervolgens kunnen we de kans en de impact voor deze dreigingen bepalen. Dit geeft een indicatie van de prioriteiten die we moeten stellen. Als we de risico analyse helemaal kwantitatief hebben gedaan dan kunnen we er nog echt mee rekenen ook, maar de praktijk is dat veelal statistieken ontbreken om het echt goed kwantitatief aan te pakken. Vaak wordt dan ook voor een meer kwalitatieve manier gekozen, waarbij we wel cijfers kunnen gebruiken maar alleen om de dreigingen onderling vergelijkbaar te maken. Een kans op een schaal van 1 tot 5 en de impact op diezelfde schaal. Het zegt niets over het absolute risico, maar maakt onderling vergelijken een stuk makkelijker.
De kans en impact bepalen is nuttig, maar zoals geschreven dient die stap nog gevolgd te worden met een beschrijving van de echte gevolgen en oorzaken van een dergelijke dreiging. Wat zijn de gevolgen en oorzaken van een overstroming? Wat zijn de gevolgen en oorzaken van een virusuitbraak op ons netwerk? De beveiligingsmaatregelen die we uiteindelijke besluiten te nemen dienen de gevolgen te beïnvloeden of de oorzaken weg te nemen.
Simpel gezegd kunnen we maatregelen nemen die:
• De kans verkleinen;
• De impact verkleinen;
• De kans en impact verkleinen.
Welke we kiezen hangt af van de kans en de impact die we bepaald hebben. Is de kans klein dan kunnen we er beter voor kiezen om de impact te verlagen. Is de impact daarentegen laag dan kiezen we ervoor om juist de kans te beïnvloeden. Zijn zowel de kans als de impact hoog, dan pakken we ze beide bij de horens.
Het risico van het ontbreken van het bepalen van de gevolgen van een dreiging zijn dat we wel allerlei rekenkundige/cijfermatige bepalingen krijgen voor de dreigingen maar dat er alsnog een mismatch ontstaat tussen de te nemen beheersingsmaatregelen en de daadwerkelijke dreiging.
Terugkomend op de overstroming. We kunnen wel proberen om de kans te verkleinen door de Waterschappen te verzoeken de dijken te verhogen maar de kans dat we hier resultaat boeken is slechts beperkt. Beter kunnen we ons richten op de impact. Wellicht is het mogelijk de serverruimte op de eerste verdieping van ons pand te situeren zodat de schade beperkt blijft bij een dijkdoorbraak.
Kortweg moeten we dus kijken naar de beheersingsmaatregelen waar we zelf invloed op uit kunnen oefenen. De maatregelen waar we geen invloed op hebben moeten we wel onderkennen maar kunnen we zelf niet beheersbaar maken.