Inmiddels beginnen we al aardig draagvlak te krijgen voor onze activiteiten, zowel het management begrijpt dat het niet gaat om al die vervelende maatregelen maar om het afdekken van risico’s. De auditafdeling is op onze hand en de banden met de concurrent hebben we ook aangehaald. Misschien gek dat we de vijfde vraag nu pas gaan beantwoorden…maar ja het zou veel gekker zijn als we de vijfde vraag als tweede vraag zouden hanteren, toch?
De vijfde vraag die we moeten stellen is:
Maakt risicoanalyse en risicomanagement standaard deel uit van de integrale beveiliging?
En het antwoord? Ja, nee of weten we het eigenlijk niet?
Het is deze week al eerder aan bod gekomen, maar het draait dus eigenlijk helemaal niet om al die afzonderlijke, dure, ingewikkelde, lastige beveiligingsmaatregelen? Nee, juist, het draait om het afdekken van de risico’s die we als organisatie lopen. Over risicomanagement kun je hele boeken vol schrijven, maar de discussie over wat het nu exact is gaan we hier voor het gemak even uit de weg. We willen immers door de bomen ook nog gewoon het bos blijven zien. Om het eenvoudig te houden onderscheiden we hier “operational risks” en “enterprise risks”.
De operationel risks zijn die risico’s waar de Security Manager zich druk over mag maken. Denk bijvoorbeeld aan risico’s als: brand, hacking, cracking, virusuitbraak, inbraak en ga zo nog maar even door. Allemaal heel spannend natuurlijk, maar dat is vaak niet wat het senior management wil horen of waar zij wakker van liggen.
Nee de directie ligt juist wakker van de enterprise risks. Die kunnen we verdelen in: omzet, kosten en imago die uiteindelijk leiden tot de winstgevendheid van de organisatie (ja, non-profit ligt iets anders, maar goed, je begrijpt de strekking). De kunst is dus om met onze operationele hoofdpijn…eh, sorry risico’s aansluiting te zoeken bij de enterprise risks. Lukt dat, dan is de kans groot dat de directie ons nog serieus gaat nemen ook…of met andere woorden: onze echte meerwaarde gaat inzien.
Omdat we de blogs kort willen houden gaat het hier echt te ver om de hele risicomanagementmethodieken te beschrijven. Maar een belangrijk punt wil ik jullie toch niet onthouden. Naast operational en enterprise risk moeten we ook nog een keuze maken in een kwantitatieve of kwalitatieve aanpak…waarbij de laatste mijn voorkeur heeft omdat statistieken op informatiebeveiligingsgebied nog vaak ontbreken.
In een kort stuk tekst zijn we met een sneltreinvaart over risicoanalyse en risicomanagement heen gevlogen. Eigenlijk is dat onmogelijk en doen we het gebied te kort, maar goed we kunnen voor nu even niet anders.. Wel zijn we daarmee weer een stap verder en gaan we op weg naar vraag 6. Maar uiteraard niet voordat we, puur vanuit vaderlands liefde, Koninginnedag hebben gevierd.
Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.