Tag: risico management

Cirkel van mogelijkheden en bedreigingen

  door

Cirkel van mogelijkheden en bedreigingen

Risico management wordt veelal als iets negatiefs ervaren. Maar als we kijken naar de formule: kans x impact dan is deze juist ook uitstekend geschikt om mogelijkheden inzichtelijk te krijgen.

Met de Cirkel van mogelijkheden en bedreigingen introduceren we een andere kijk op risico management en laten we zien dat de methodieken om risico’s in te schatten ook heel goed bruikbaar zijn om mogelijkheden te zien.

Hoe werkt het?

Een gebeurtenis is een voorval dat plaats kan vinden in de positieve of negatieve zin en waarvan we de kans en impact kunnen schatten. Iedere gebeurtenis heeft mogelijkheden (positief) of bedreigingen (negatief) in zich waarvan de we kans en impact kunnen schatten.

Het verschil tussenmogelijkheden en bedreigingen:

  • Een mogelijkheid is een potentiele positieve gebeurtenis die kansen biedt voor de organisatie. Bij een mogelijkheid willen we de kans en/of impact dat het voorval zich voordoet verhogen.
  • Een bedreiging is een potentiele negatieve gebeurtenis die gevaren biedt voor de organisatie. Bij een bedreiging willen we de kans en/of de impact dat het voorval zich voordoet verlagen.

Hoe nu verder?

  1. Vraag je af welke gebeurtenissen de meeste positieve of negatieve invloed kunnen hebben op de omzet, de kosten en/of het imago van de organisatie
  2. Schat hoe groot de kans en de impact van die gebeurtenissen is
  3. Bepaal wat je er aan gaat doen om de mogelijkheden te benutten of de bedreigingen te voorkomen

Et voilà: De cirkel van mogelijkheden en bedreigingen “in a nutshell”

Ons advies

  • Begin vandaag nog met het inschatten van de mogelijkheden en bedreigingen: hou het simpel en eet niet de hele olifant in 1x. Beter veel kleine stappen dan een heel groot project
  • Kansen gaan verloren en we worden geconfronteerd met bedreigingen: wees niet paranoia. Overschat de mogelijkheden niet maar onderschat de bedreigingen ook niet
  • Start met bewustzijn en werk toe naar de cirkel van mogelijkheden en bedreigingen

Ondanks 5 jaar crisis blijft risico management blinde vlek

  door

Risico management blijft een machtig mooi onderwerp. In dit blog behandelen we op dit moment de risico’s voor projecten en volgend jaar gaan we verder met de enterprise risks en de operational risks. Toch blijft het voor veel organisaties een moeilijk onderwerp dat wordt onderschat.

Zo kwamen we dit artikel tegen: Ondanks 5 jaar crisis blijft risico management blinde vlek

De resultaten uit het onderzoek, gehouden door Nyenrode Business Universiteit, Rijksuniversiteit Groningen, de NBA en PwC, zijn zorgwekkend omdat vele onderzoeken uitwijzen dat gebrekkig risicomanagement een van de oorzaken is geweest van de financiële crisis.

Zeker een aanrader en als je graag wilt sparren over wat risico management voor jouw organisatie kan betekenen dan doen wij dat natuurlijk graag.

Neem contact met ons op en we maken snel (en vooral geheel vrijblijvend) een afspraak.

Verander complexiteit: Risico analyse en risico management

  door

Vandaag gaan we in op de complexiteitsfactor: Risico analyse en risico management

We gaven het in het vorige punt (complexiteitsfactor) al aan en we hebben risico analyse een afzonderlijk onderdeel gemaakt. In die analyse hebben we de meest voorkomende risico’s bij veranderingen al expliciet voor je benoemd. Het voordeel hiervan is dat je niet meer zelf op zoek hoeft naar al die risico’s die zich voor kunnen doen.

Uiteraard moedigen we je aan om je eigen aanvullingen op de standaard risico’s ook mee te wegen. Wie weet zijn er binnen jouw branche of organisatie specifieke risico’s te onderkennen. Dan moet je die uiteraard ook inzichtelijk maken.

We kunnen een risico bepalen door naar de kans en de impact te kijken. Hebben we die risico’s eenmaal bepaald dan kunnen we de controle maatregelen bepalen. Daarbij houden we rekening met de risico management strategie die we voor de specifieke risico’s toe willen passen (accepteren, overdragen, mitigeren, monitoren).

Denk ook aan de mogelijkheid om een verandering in zijn geheel niet door te voeren. Als bijvoorbeeld de business case minimaal en het belang minimaal zijn, terwijl de complexiteit en de risico’s hoog zijn dan moet je je afvragen of je deze verandering wel door wilt zetten.

Verander risico: De onderkende risico’s worden niet/slecht gemanaged

  door

Vandaag gaan we in op het risico: De onderkende risico’s worden niet/slecht gemanaged

Met de risico analyse zorgen we ervoor dat de projectrisico’s in kaart worden gebracht. Dat is de eerste stap van risico management. Maar als we de risico’s inzichtelijk hebben dan houdt het daar niet bij op. We moeten bepalen wat we met de risico’s willen. Durven we een risico te accepteren? Kunnen we maatregelen nemen om (een deel van) het risico te verminderen?

Het grootste risico is het risico dat we niet zien. Een goede risico analyse zorgt ervoor dat we niet als struisvogel onze kop in het zand steken. We nemen onze verantwoordelijkheid en maken keuzes die passen bij het risico, bij het project maar ook bij de organisatie. Hoeveel risico we kunnen lopen hangt af van de business case en het belang van die wijziging. Een verandering die cruciaal is voor het voortbestaan van onze organisatie vergt misschien een andere risico management strategie dan een eigelijk onbenullige verandering.

Logisch dat slecht risico management invloed heeft op zowel het geld, de tijd als het resultaat. Het doel is immers om deze aspecten van de verandering te managen.

Project Risico Analyse

  door

Organisaties bestaan bij de gratie van processen, programma’s en projecten. Deze aspecten dragen immers bij aan het succes van de organisatie maar ze kunnen dat succes ook gruwelijk in de weg staan als de risico’s onvoldoende inzichtelijk zijn. Risico analyse kan op vele onderwerpen worden toegepast maar juist van de projecten willen we de risico’s inzichtelijk hebben omdat het activiteiten zijn met een eenmalig karakter. In dit artikel gaan we daarom in op de “project risico analyse” die helpt bij het succesvoller uitvoeren van projecten.

Laten we beginnen met een tweetal definities:

  • Een project is een, in tijd en middelen begrensde, activiteit om iets te creëren. Het onderscheidt zich door zijn eenmalige karakter van een programma of proces.
  • Een project risico is een (negatieve) gebeurtenis of activiteit die invloed kan hebben op de voortgang of het resultaat van een project. Dit risico kan bepaald worden aan de hand van de impact en de kans.

Van projecten zijn de kosten (en hopelijk ook de beoogde opbrengsten en resultaten) inzichtelijk omdat er gewerkt wordt met business cases. We kunnen projecten dan ook als investering zien: de kosten zijn relatief hoog en moeten met het uiteindelijke resultaat terugverdient worden. Toch zien we dat van veel projecten de kosten oplopen, de tijd overschreden wordt en/of de resultaten niet behaald worden. Een gemiste kans.

De oplossing is simpel: voer project risico analyse in en de risico’s worden beter beheersbaar. Als we structureel de risico’s voor de projecten in kaart brengen en gedurende de uitvoeringsfase monitoren dan kunnen we beter sturen. Hiermee neemt de Return on Investment sterk toe omdat de kosten en tijd beheersbaar zijn en het beoogde resultaat bereikt wordt.

Download het hele artikel hier:

[wpdm_file id=9]

(Groot) MKB doet weinig aan risico analyse

  door

Ondernemen is risico nemen”: zo wordt vaak gezegd. Maar blind risico’s nemen is niet voldoende om een succesvolle organisatie te runnen. Als we deze stelling combineren met de uitspraak: “hoe hoger het risico, hoe hoger het rendement”, dan zouden we al snel kunnen concluderen dat we enorme risico’s moeten lopen om maar zoveel mogelijk rendement te halen. Er is een keerzijde aan het nemen van risico’s en juist de risico’s die je niet (vooraf) hebt gezien of verkeerd hebt ingeschat, zijn de risico’s die je wel eens duur kunnen komen te staan.

De oplossing is simpel: voer risico analyse in en de risico’s worden beheersbaar. Binnen het (groot) MKB wordt echter nog weinig aan risico analyse gedaan. De redenen daarvoor zijn diffuus en een aantal van die redenen zijn in dit artikel verwerkt en worden beantwoord.

Omdat wij geloven dat het volgende motto veel beter is: Ondernemen is risico’s beheersen!

Download het hele artikel hier: [wpdm_file id=8]

Een hacker kan heel Nederland platleggen

  door

We sluiten deze week, die geheel onverwacht de week van de hacker, cracker en scriptkiddie is geworden, af met een geruststellend idee.

Eén hacker is in staat heel Nederland plat te leggen. Dat kan door in te breken in computernetwerken en bijvoorbeeld sluizen te openen, met overstromingen tot gevolg (bron).

Ook hier hebben we het gelukkig weer over een hacker die dit kan doen. Er wordt met geen woord gerept over een scriptkiddie…maar geloof me. De meest simpele aanvallen worden nu juist gepleegd door een scriptkiddie (omdat die immers niet weet wat hij doet). Geloof het of niet. Ook hackers en crackers hebben zo hun codes en ze hebben de balen van scriptkiddies die die code niet kennen of overtreden.

Overigens is dit niets nieuws want een aantal maanden geleden was er al van alles te doen om sluizen die met een simpel wachtwoord “beveiligd” waren, maar het sluit deze week natuurlijk wel erg mooi af en onderstreept de noodzaak van informatiebeveiliging.

Het is nu alleen nog wachten op een structurele aanpak. Veel organisaties hebben de afgelopen jaren flink bezuinigd op informatiebeveiliging. Daar lijken ze nu van terug te komen en informatiebeveiliging is ineens topprioteit waar zelfs het hoogste management zich tegenaan wil bemoeien. Maar als we dan toch de aandacht van het hoogste management hebben: mogen we dan ook alstublieft opteren voor die proactieve en structurele aanpak die nodig is en niet de reactieve aanpak die we nu volgen? Dat zorgt er niet alleen voor dat we beter beveiligd raken maar voorkomt ook dat we bakken met geld in de put scheppen.

Er zijn budgetten voor beveiliging en beveiligingsmaatregelen worden aan alle kanten aangeschaft en ingezet. Alles om maar te voorkomen dat we slachtoffer worden (jaja, het draait om imagoschade). Wat we vergeten is dat we nog steeds moeten redeneren vanuit de risico’s en niet vanuit de maatregelen.

Leest u de zin nog een keer en laat hem goed doordringen: Wat we vergeten is dat we nog steeds moeten redeneren vanuit de risico’s en niet vanuit de maatregelen.

Het lijkt tegen dovemansoren gezegd want na de virusaanval op de Gemeenten hebben we de virusscanners weer eens een update gegeven en gaan we weer rustig achterover hangen. Het is wachten op de volgende aanval en die zal sneller komen dan we nu verwachten…het is alleen maar te hopen dat het niet echt een keer uit de klauw loopt want als een hacker de sluizen open kan zetten dan krijgen we tot aan Amersfoort allemaal natte voeten.

Rest mij om u een fijn weekend te wensen en misschien moet je vast je lieslaarzen “uit het vet” halen.

Datalek? Pas op voor boete!

  door

Bijna iedere week komen tal van organisaties in het nieuws vanwege het lekken van gevoelige bedrijfsdata. De oorzaak zit meestal in kwaadaardige aanvallen door hackers. Het gevolg is dat de privé-gegevens van met name consumenten op straat komen te liggen. Voor staatssecretaris Teeven van Justitie en Veiligheid een reden tot een wetsvoorstel, waarbij bedrijven en instellingen kunnen worden beboet als zij hun beveiliging niet op orde hebben (bron).

Hoewel je er over kunt twisten of de meeste datalekken daadwerkelijk door kwaadaardige aanvallers veroorzaakt worden is de strekking van het verhaal dat je als organisatie ervoor moet zorgen dat je beveiliging op orde is omdat je anders een boete kunt krijgen.

Nu moet je als organisatie niet wakker liggen van die boete. Je moet je beveiliging niet op orde brengen om boetes te voorkomen. Nee, je moet je beveiliging op orde hebben omdat je gegevens van klanten in bezit hebt die ze je in vertrouwen hebben gegeven. Je moet zorgen dat je beveiliging op orde is om waardevolle data niet te verliezen. Je moet je beveiliging op orde hebben om te voorkomen dat je bedrijfsprocessen stil vallen. Nou ja, zo kunnen we nog wel even doorgaan met de redenen voor een goede beveiliging.

Die redenen zijn er trouwens al jaren maar die lijken binnen veel organisaties toch niet goed aan te slaan. Het is voor velen een ver van mijn bed show onder het mom van: dat gebeurt ons toch niet.

Misschien is het dan wel goed om boetes op te leggen en misschien is het wel goed als managers inderdaad meer aandacht aan beveiliging gaan besteden om die boete te voorkomen (en daarmee hun eigen bonus veilig te stellen).

Waarom je het ook doet, houd er rekening mee dat beveiliging alleen maar goed geregeld kan zijn als dat vooraf wordt gegaan door een goede manier van risico management, door de juiste combinatie van technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen. En als we dan toch zo lekker bezig zijn, zullen we dan ook direct de business continuity op orde brengen? Gaat het dan toch fout dan kunnen we er in ieder geval voor zorgen dat de schade beperkt blijft.

Heb je als security manager nooit goed draagvlak kunnen krijgen bij het management dan kun je het nu misschien proberen door ze te wijzen op het risico van boetes. Wij weten dan wel dat we het eigenlijk over bijvoorbeeld het voorkomen van imagoschade hebben…maar dat hoeven zij niet te weten.

Vals gevoel van veiligheid

  door

Er heerst een vals gevoel van veiligheid bij IT-afdelingen. Waar de cybercriminelen de afgelopen jaren sterk zijn geëvolueerd met zeer geavanceerde malware aanvallen, zijn de IT-afdelingen achtergebleven. De gevolgen hiervan kunnen desastreus zijn voor bedrijven die denken dat ze veilig zijn (bron).

Hoewel dit bericht is geplaatst op een website van onze Zuiderburen kunnen we deze constatering wat mij betreft regelrecht doortrekken naar ons Kikkerlandje. Alleen zou ik mezelf niet zijn als ik er niets op aan te vullen had.

Wat mij betreft lopen we er constant tegen aan dat er een verschil is tussen “business security”, “information security” en “IT security” (nog los van het feit dat we dat doen op basis van risico management en voor de bedrijfscontinuïteit). Voor de buitenstaander lijken deze termen wellicht hetzelfde maar er is een groot verschil. Zo zou de IT-afdeling zich vooral zorgen moeten maken om de “IT security” die een afgeleide moet zijn van “information security” dat op zijn beurt weer is afgeleid van “business security”.

Ik pleit nog steeds voor een top-down benadering waarbij de dus beginnen met de “business security”. Willen we die goed in kunnen richten dan moeten we kijken welke missie, visie en strategie onze organisatie heeft. Deze moeten als uitgangspunt genomen worden. Als het goed is hebben we voor de korte, middellange en lange termijn doelstellingen bedacht die bijdragen aan onze missie, visie en strategie, toch? Dit klinkt misschien allemaal wat abstract, maar het een kan niet zonder het ander en als we niet weten welke kant onze “reis” op gaat, waar moeten we dan heen rijden?

Weten we welke uitgangspunten we kunnen hanteren voor onze “business security” dan kunnen we vervolgens kijken welke informatievoorziening daaraan een bijdrage levert en hoe kritisch die informatievoorziening dan is. We noemen het “information security” en dat is wezenlijk anders dan “IT security”. Begrijp me goed, ik schrijf dat het anders is en niet dat het een beter of belangrijker is dan het ander. Nee, sterker nog, de verschillende security benaderingen hebben elkaar maar al te hard nodig.

Goed, laten we het hier proberen kort te houden. Weten we welke informatievoorziening voor ons van belang is, dan kunnen we kijken welke informatie technologie die informatievoorziening mogelijk maakt. Welke hardware, welke applicaties, welke besturingssystemen, welke netwerken zorgen er eigenlijk voor dat we over de informatie kunnen beschikken als we ze nodig hebben (beschikbaarheid), wie heeft er eigenlijk allemaal toegang tot die informatie (exclusiviteit) en hoe juist is die informatie eigenlijk (integriteit)?

De conclusie dat er een vals gevoel van veiligheid heerst bij de IT-afdelingen wil ik nuanceren: er heerst een vals gevoel van “IT security” op IT-afdelingen. Net zoals er, als je het mij vraagt, een vals gevoel van “business security” heerst bij het top management van veel organisaties. En dat is onbegrijpelijk als we de missie, visie, strategie en doelstellingen serieus willen nemen. Een top down benadering op basis van risico management en gericht op bedrijfscontinuïteit lijkt hier toch beter op zijn plaats. Of niet?

Gehackte insulinepomp levert fatale dosis aan patient

  door

Informatiebeveiliging is natuurlijk voor veel mensen een ver-van-mijn-bed-show. Met name grote organisaties worden aangevallen en we hebben daar zelf weinig last van. Toch? Totdat hacking wel erg dichtbij komt. Je zult maar suikerpatiënt zijn, dan is het toch fijn om de risico’s te kennen.

Een beveiligingsonderzoeker heeft een manier ontdekt om insulinepompen te hacken, waardoor het mogelijk is een fatale dosis aan suikerpatiënten te geven. Het probleem bevindt zich in de insulinepompen van fabrikant Medtronic, die over een radiozender beschikken waardoor patiënten en doktoren de instellingen kunnen aanpassen. De aanval werkt over een afstand van honderd meter en laat de onderzoeker alle apparaten binnen dit gebied overnemen. Vervolgens kan Jack het apparaat het gehele insulinereservoir naar de patiënt laten pompen.

Fabrikant Medtronic laat weten dat het de veiligheid van de medische apparaten gaat verbeteren. Het risico op een aanval zou volgens het bedrijf echter klein zijn. (bron)

Erg prettig om te weten dat het bedrijf het risico op een aanval klein acht. Helaas zit risico management blijkbaar nog niet goed tussen de oren van deze onderneming. Risico management bestaat immers uit twee variabelen, te weten: kans en impact. De risico management strategie wordt dan vervolgens weer afgeleid uit de uitkomst. De praktijk wijkt hier toch wel erg ver af van de theorie.

In gewoon Nederland acht men de kans op een dergelijke aanval klein. Hartstikke goed, dat kan zo zijn, maar de impact is enorm. Er staan mensenlevens op het spel. Wil je dat als management op je geweten hebben? Lijkt me toch van niet.

Helaas is dit een bericht dat waarschijnlijk te beperkt aandacht zal krijgen in de media. Het zal er niet sexy genoeg voor zijn, er zijn niet genoeg mensen die dit willen weten en er zijn nog geen slachtoffers gevallen. Wat zou het toch mooi zijn als meer organisaties nadenken over de preventieve kant van beveiliging en niet wachten tot ze gedwongen worden de correctieve acties in te zetten.