In dit artikel leggen we uit hoe je risicobeheersing en cybersecurity integreert in de bedrijfsstrategie zonder onnodige tijd en middelen te verspillen.
Hoewel het strategisch beheersen van je risico’s een vereiste is, is risicobeheersing nooit een doel op zich. Je wil namelijk je risico’s kennen zodat je kunt bepalen welke je moet prioriteren om de continuïteit van jouw organisatie te waarborgen. Hoe je vervolgens deze risico’s gaat beheersen bepaalt hoe je de cybersecurity inricht en welke maatregelen daarbij passen.
Met strategische risicobeheersing kun je de continuïteit van de organisatie waarborgen zonder veel tijd en middelen te verspillen. Maar hoe pak je dat aan? Robbert, onze security specialist, vertelt je in dit artikel waar te beginnen en hoe je de grootste valkuilen van strategische risicobeheersing voorkomt.
Risicoanalyse en bewustzijn
Voor het maken van een risicoanalyse van de organisatie stel je de volgende 3 vragen
- Welke risico’s loopt de organisatie?
- Wat is de kans dat deze risico’s een probleem worden?
- Wat is de impact van deze problemen op de organisatie?
Voor de eerste vraag kijk je naar potentiële bedreigingen voor de organisatie zodat je de risico’s in kaart kunt brengen. Dit doe je meestal niet voor de hele organisatie in één keer, maar bijvoorbeeld per proces of product. Er zijn diverse methodieken die hierbij kunnen helpen, zoals bijvoorbeeld de MAPGOOD methode of het OWASP model. Dit geeft houvast bij het uitvoeren van de risicoanalyse. Voor elk van de geïdentificeerde risico’s bepaal je de kans dat dit risico optreedt en tot slot maak je een inschatting van de mogelijke impact op de organisatie bij de risico’s.
Strategische risico overwegingen
Als je jouw risicoanalyse op deze manier gestructureerd hebt, kun je alle geïdentificeerde risico’s matchen met passende maatregelen.
De belangrijkste zijn risico’s met een grote kans en potentiële grote impact, zoals een medewerker die op een phishing link klikt. Het is belangrijk om voor zulke risico’s maatregelen te treffen, bijvoorbeeld door middel van software die malafide e-mails herkent en voorkomt dat deze in de inbox terechtkomen. Daarnaast kun je denken aan bewustzijnscampagnes voor de medewerkers omtrent phishing technieken en hoe ze moeten reageren als ze toch op een phishing link geklikt hebben.
Anderzijds zijn er risico’s waarvan het goed is om ze geïdentificeerd te hebben, maar waar de meest strategische keuze is om hier weinig tijd, aandacht en middelen aan te besteden. Denk bijvoorbeeld aan een overstroming waardoor je bedrijfspand onder water komt te liggen. Voor de meeste organisaties vraagt dit risico niet om de implementatie van nieuwe maatregelen. Dit betekent dat je het risico accepteert.
In sommige gevallen kun je ook besluiten om het risico over te dragen aan een andere partij, bijvoorbeeld door je te verzekeren voor bepaalde financiële risico’s.
De uitkomst van je risicoanalyse geeft je dus de input om strategische afwegingen te maken of je iets met een risico moet doen om deze te beheersen. Als er na het matchen van de risico’s met passende maatregelen nog risico’s open blijven staan, dan kun je deze als input gebruiken om een case te maken voor een investeringsaanvraag. Je kunt immers direct aangeven welke risico’s nog open staan, en welke met risicomaatregelen de organisatie het meeste waar voor haar geld zal krijgen.
Let wel, risico’s kun je natuurlijk nooit compleet mitigeren, want ondernemen is immers een risico op zich. Maar door slim te kiezen waar je als organisatie geld aan uitgeeft kun je de risico’s op strategische wijze beheersen.
Valkuilen bij risicobeheersing
De grootste valkuil die we bij risicobeheersing zien is beginnen met “hoe vragen” voordat de “waarom” duidelijk is. In zulke gevallen is het niet duidelijk welke risico’s relevant zijn voor de organisatie en hoe groot de kans en bijbehorende impact van deze risico’s is. Bij het ontbreken van deze strategische benadering worden organisaties vatbaar voor het verhaal dat IT-leveranciers vertellen over de risico’s die je met hun tools kunt mitigeren.
Het resultaat is ad hoc investeringen in informatiebeveiliging met een lappendeken aan cybersecurity maatregelen als resultaat. Hierbij werken allerlei cybersecurity maatregelen parallel aan elkaar en worden eindeloze maatregelen geïmplementeerd om te compenseren van het onzekere gevoel dat ontstaat uit een gebrek aan het weten waarom ze dingen doen – de strategie achter hun keuzes.
De tweede grote valkuil die we zien komt voort uit bewustzijn van de eerste valkuil, maar dan met de verkeerde oplossing. Hierbij willen organisaties het “security lappendeken” voorkomen door constant te kijken naar nieuwe maatregelen die aansluiten bij de bestaande securityoplossing. De valkuil, echter, is dat ze de bestaande oplossingen als focuspunt nemen en vergeten om een goede risico- en impactanalyse te doen. Het resultaat is een prachtig geïntegreerde oplossing, maar met het risico dat deze duurder is dan nodig op basis van de risicoanalyse.
Dus, wanneer je niet meer risico wil lopen dan je kunt dragen, en ook niet meer geld uitgeven dan nodig, dan moet een strategische benadering van risico- en impactanalyse altijd centraal staan.