Hoewel we het er kort geleden ook al over hebben gehad, is de vraag dusdanig van belang dat we hem niet over slaan. Het staat namelijk aan de basis van alles wat we doen op het gebied van de informatiebeveiliging, nou ja theoretisch dan, in de praktijk komen we nog wel eens tegen dat er aan informatiebeveiliging gedaan wordt zonder risicomanagement. Dat is niet alleen heel erg inefficiënt maar nog gevaarlijk ook. Hoe weten we immers of we de juiste dingen doen en of we de dingen juist doen zonder de volgende vraag te beantwoorden:
Is het risicomanagement ingevoerd?
Om te voorkomen dat we verzanden in allerlei losstaande en inefficiënte beveiligingsmaatregelen moeten we ons baseren op de daadwerkelijke risico’s die de organisatie loopt. Simpel gezegd moeten we geen beveiligingsmaatregelen nemen maar operationele risico’s afdekken en om die operationele risico’s af te dekken hebben we (soms) beveiligingsmaatregelen nodig.
Redeneren we vanuit operationele risico’s dan kunnen we ook een afgewogen set aan technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen nemen om de risico’s af te dekken.
Risicomanagement kunnen we op een kwantitatieve of een kwalitatieve wijze organiseren. We kunnen er allerlei statistieken en financiële gegevens op los laten om de risico’s te bepalen maar we kunnen ook op basis van gezond boeren verstand kijken welke risico’s reëel zijn en wat de kans en de impact van die risico’s is op de continuïteit van de bedrijfsprocessen. Zelf ben ik voorstander van een kwalitatieve methode, omdat in veel gevallen de statistieken nog ontoereikend zijn.
Het grootste risico van het ontbreken van risicomanagement is dat we wel allerlei beveiligingsmaatregelen treffen maar geen zicht hebben op het feit welke risico’s nu daadwerkelijk worden afgedekt. Er ontstaat inefficiëntie en mismatch tussen de beveiligingsmaatregelen en de operationele risico’s. Vergeet overigens niet dat er verschillende soorten risicomaatregelen zijn.
Op hoofdlijnen zijn te onderscheiden:
- Het risico vermijden, door bijvoorbeeld de risicovolle activiteit in zijn geheel niet uit te voeren;
- Het risico accepteren, dus weten dat er een mogelijk risico is, maar geen preventieve maatregelen nemen (wel is het verstandig om in dat geval goed naar de detectieve, repressieve en correctieve maatregelen te kijken, als het risico zich dan openbaart kunnen we er snel op in spelen);
- Het risico overdragen, door bijvoorbeeld een verzekering af te sluiten of door het risico neer te leggen bij een leverancier of afnemer;
- Het risico mitigeren, een juiste set aan beveiligingsmaatregelen nemen om het risico naar een acceptabel niveau terug te brengen. Het risico hoeft daarbij niet in zijn geheel te worden weggenomen, restrisico’s kunnen we dan weer accepteren.
Het gevolg van het ontbreken van risicomanagement en het niet maken van bewuste keuzes is dat we schijnveiligheid creëren waarbij we niet de juiste, te weinig of juist teveel beveiligingsmaatregelen treffen. Operationele risico’s blijven bestaan, we besteden het budget niet efficiënt en we maken het voor de medewerkers lastig om hun dagelijkse werkzaamheden goed (en efficiënt) uit te voeren. Bijkomend gevaar is dat het management denkt dat het allemaal onder controle is, we nemen immers allerlei maatregelen, dus het moet wel goed zitten, toch?
Zonder risicomanagement draagt beveiliging niet bij aan het bereiken van de doelstellingen van de organisatie maar bemoeilijkt ze juist. Deze zin staat er even snel, maar bedenk dat het risicomanagement dat we voeren aan moet sluiten bij de totale strategie, missie, visie en doelstellingen van de organisatie. We zijn ondersteunend aan het bereiken van de doelen van de organisatie, we willen niet in de weglopen, maar willen ook niet dat we onacceptabele risico’s lopen.