Strategie

Wees geen struisvogel

Kop uit het zand: dit kun je doen met risico’s

#strategie

an ostrich's face with a blurry background Photo by Andrey Tikhonovskiy on Unsplash

In mijn vorige blogs had ik het over wat informatiebeveiliging is en heb ik geschreven over risico’s en hoe je die in kaart kunt brengen. In dit artikel wil ik het hebben over wat je kunt doen nadat je je risico’s hebt bepaald.

Als je de methode in mijn vorige blog hebt gebruikt, heb je risico’s in kaart gebracht, en heb je een lijstje gemaakt met daarin de risico’s en een risicoscore. Op basis van die risicoscore weet je welke risico’s je wel of niet wilt gaan terugbrengen.

Als je risico’s hebt gevonden heb je een aantal dingen die je kunt doen:

  • vermijden - neem de kans dat iets gebeurt helemaal weg. Wil je niet dat je PC gehackt wordt doordat je PC verouderde software bevat? Stop dan het gebruik van die verouderde software: stop met de software, update de software, of gebruik een ander vergelijkbaar stuk software.
  • verminderen - Je probeert de kans dat iets zich voordoet te verkleinen of het effect ervan te verkleinen. Een mooi voorbeeld kun je vinden in de auto-industrie. Als je de kans op een ongeluk wilt verkleinen, kun je de snelheid waarmee gereden wordt verlagen door een snelheidslimiet in te stellen. Als je de impact van een ongeluk wilt verkleinen, kun je bijvoorbeeld gordels of een airbag verplicht stellen.
  • overdragen - Je kunt of wilt het risico niet vermijden of verminderen, maar er wel wat aan doen? Dan kun je het nog overdragen. Dat houdt in dat een ander het risico voor je draagt. Meestal is dat in de vorm van verzekeren. Als het risico zich voordoet, dan keert de verzekeraar uit of deze zorgt voor vervanging.
  • accepteren - Als je niets van bovenstaande doet, zul je het moeten accepteren. Let op dat negeren niet hetzelfde is als accepteren. Bij accepteren neem je bewust de beslissing dat je het risico loopt. Negeren is struisvogelgedrag.

Als je het volgens het boekje wilt doen, dan ziet de rest van het proces er als volgt uit (ik heb hieronder ook nog een versimpelde versie, dus lees vooral verder als dit je te ingewikkeld lijkt!):

  1. Kies een risico en bedenk wat je kunt doen om dat risico te verkleinen of weg te nemen. Dit zijn je maatregelen. Probeer zo creatief als mogelijk en out-of-the-box te denken. Hierdoor kom je op zoveel mogelijk ideeën, die je later gewoon kunt wegstrepen. Je kunt hier bijvoorbeeld ChatGPT voor gebruiken, maar bedenk goed of een maatregel ook echt past bij jouw risico(s).
  2. Bedenk vervolgens per maatregel wat de nieuwe risicoscore zou zijn als je de maatregel zou hebben doorgevoerd. Bereken die zoals je dat hebt gedaan bij het maken van je lijstje (link naar blog risico’s).
  3. Heb je een maatregel gevonden die je risico naar het gewenste niveau brengt? Gefeliciteerd! Je weet wat je kunt doen. Geen maatregel gevonden die het risico genoeg terugbrengt? Kijk dan of je maatregelen kunt combineren en zo toch dat risico kunt terugbrengen.
  4. Geen maatregel gevonden die je risico voldoende terugbrengt? Dan heb je eigenlijk maar 1 optie: accepteren. Accepteer dat je het risico loopt en dat je er (op dit moment niets aan kunt doen). Schrijf dat ook op! Dat komt je later van pas (zie hieronder).
  5. Pak jaarlijks je risico’s en maatregelen erbij. Bijvoorbeeld bij het eind van het boekjaar. Waarom? Misschien ben je gestopt met een bepaalde dienst of product waardoor dat risico weg is. Of soms heb je een risico vorig jaar niet genomen (dus geaccepteerd) omdat een maatregel te duur was. Misschien is die maatregel goedkoper geworden en kun je het risico nu wel afdekken. Ook kan het risico juist groter zijn geworden. Bijvoorbeeld doordat je software gebruikt die nu niet meer ondersteund wordt en een jaar geleden nog wel. Of komt nu meer omzet uit een bepaalde productgroep waardoor je afhankelijker bent geworden van een bepaald apparaat in de productielijn.

Dat was de theorie. Nu maar eens een voorbeeld.

In bovenstaand voorbeeld heb ik een scenario uit mijn vorige blog gepakt en daar maatregelen voor verzonnen. De eerste regel is het risico en de risicoscore. Daaronder staan de maatregelen genoemd. En de nieuwe risicoscore als de maatregel geïmplementeerd is. Als de ondernemer dus zijn collectie naar een aparte server voor ontwerpers verplaatst, gaat de risicoscore van een 6 naar een 3. Uit de tabel kun je dus opmaken dat maatregel 1 niet echt een oplossing is en dat de ondernemer 3 maatregelen heeft bedacht die het risico terugbrengen naar een 3. Welke hij dan kan implementeren? Dat hangt af van andere factoren. Maatregel twee is vrij kostbaar. Maatregel drie is niet waterdicht (de anderen overigens ook niet) maar moet ook nog eens extra goedgekeurd worden door de ondernemingsraad als die bestaat. Maatregel 4 is de meest werkbare en goedkoopste oplossing. Dat is waarschijnlijk de optie die de ondernemer zou kiezen.

Omdat de maatregelen in dit voorbeeld vooral de kans verkleinen dat de data lekt, wilde ik ook nog een maatregel opnemen die de impact verkleint. Maatregel 5 brengt de impact terug door de collectie minder relevant te maken. Als de collectie lekt is dat niet zo’n probleem. Dat is natuurlijk alleen een optie als je je hele businessmodel op de schop gooit. Dat zou ik alleen doen als je risico zo groot is dat je huidige businessmodel gevaar loopt. Maar beslissingen op dat vlak is meer iets voor een business-strateeg.

Versimpelde versie

Ik had ook nog een versimpelde versie beloofd. Vooral handig als je het toch nog wel erg ingewikkeld vindt en er net mee begint. Hierbij bedenk je minimaal 1 en maximaal 3 maatregelen per risico die je kunt doen om je risico te verkleinen. Implementeer degene die het beste ‘voelt’. Wees daarbij wel eerlijk naar jezelf: pak niet degene die het minste kost of gedoe is, maar datgene waarvan je echt denkt dat hij het meeste oplevert qua veiligheid.

Noteer ook wat je gedaan hebt om het risico af te dichten. Dat helpt je in de toekomst als je bijvoorbeeld niet meer weet waarom je die maatregel genomen hebt. Bijkomend voordeel: stel dat er toch iets gebeurt, kun je in ieder geval (voor jezelf) verantwoorden dat je maatregelen genomen hebt. Niemand kan dan zeggen dat je er niets aangedaan hebt, je hebt hooguit het risico niet goed ingeschat. Dat is altijd nog beter dan je kop in het zand steken.

Heb jij al risico’s geïnventariseerd voor jouw bedrijf? En wat doe je ermee? Ben je er mee begonnen en vind je het lastig? Laat het me weten in de reacties of stuur me een berichtje.

Klaar met lezen?

CISO Essentials helpt je je gedachten te vertalen naar een concrete aanpak — zonder dure tools of een fulltime CISO.

Intake aanvragen
Alle artikelen