Risk Appetite Statement
Zo af en toe raak ik met een organisatie in gesprek die worstelt met het opstellen van een risk appetite statement. In dat gesprek hoor ik dan meestal dat ze zo’n statement willen om intern, richting een ICT-dienstverlener of aan een ketenorganisaties duidelijk te maken hoe de organisatie vindt dat risico’s beoordeeld moeten worden. Ik snap de behoefte aan een dergelijk statement, maar tegelijk vraag ik me altijd af hoe haalbaar en zinvol het is om zo’n statement op te stellen. In deze blog leg ik je uit waarom een risk appetite statement niet altijd volstaat en wat in zo’n geval de oplossing kan zijn.
Wat is een risk appetite statement?
Voordat ik in ga op hoe om te gaan met een risk appetite statement, wil ik eerst aangeven wat een risk appetite statement naar mijn idee is. Een risk appetite bevat geen concrete risico’s en hoe daar mee om te gaan. Dat is iets voor in een risicoregister. Risk appetite statements, in ieder geval degenen die ik heb gezien, bevatten een algemene en abstracte beschrijving van hoe een organisatie wil dat risico’s beoordeeld moeten worden, zodat managers in de toekomst op een consistente wijze beslissingen kunnen nemen over de behandeling van risico’s. Risk appetite statements gaan vaak over risico’s in brede zin. Ik richt me in dit blogartikel puur op cybersecurity-risico’s, maar mogelijk is mijn denkwijze ook van toepassing op de risico’s uit andere domeinen. Ik laat het graag aan de lezer over om dat te beoordelen.
De algemene beschrijving van risico’s in een risk appetite statement maakt het wellicht wat ongrijpbaar. Als zo’n statement een marketingdoel heeft, dan snap ik hem. Het doel van zo’n statement is dan om potentiële klanten vertrouwen in de organisatie te geven. Echter, dat is wat anders dan het geven van bruikbare inzichten in hoe de organisatie vindt dat risico’s in de praktijk beoordeeld moeten worden.
De moeilijkheden bij risk appetite statements
Wat het opstellen van een risk appetite statement vooral lastig maakt, is dat het beoordelen van een risico afhankelijk is van de situatie. Heb je als organisatie te maken met een strakke deadline waar veel van afhangt of wil je een concurrent een stap voor zijn, dan kan ervoor gekozen worden om op bepaalde zaken een wat hoger risico te accepteren. Ben je er onlangs achter gekomen dat een statelijke actor bovengemiddelde interesse in jouw organisatie heeft gekregen, dan ben je mogelijk geneigd om wat minder risico te willen lopen. Welk risico je bereid bent te accepteren is waarschijnlijk net zo veranderlijk als het risico zelf.
Het opstellen van een risk appetite statement met daarin alle mogelijke situaties in de toekomst is natuurlijk onbegonnen werk. Echter, als je de risico’s op een hoger abstractieniveau gaat benoemen, zoals nu in de praktijk gebeurt, dan denk ik dat de kans groot is dat het onvoldoende uitsluitsel geeft over of een concreet risico acceptabel is of niet. Mijn verwachting is dat de beoordeling van risico’s in de praktijk alsnog vragen gaat oproepen of dat managers op basis van eigen inzichten een beslissing nemen, wat een risk appetite statement dus niet echt zinvol en effectief maakt.
Naar mijn idee is zo’n risk appetite statement ook vooral bedoeld voor de lage-kans/hoge-impactrisico’s. Immers, de risico’s met een hoge kans, die tevens een lage impact hebben, manifesteren zich regelmatig. Daar hoeven we geen statement voor op te stellen, want de praktijk laat al zien hoe we daar mee om willen gaan. De daaruit volgende maatregelen passen prima in een informatiebeveiligingsbeleid. Manifesteert zo’n lage-kans/ hoog-impactrisico zich tot een incident, dan is zo’n statement naar mijn verwachting ook niet voldoende meer. Mensen voelen zich toch vaak overvallen door zo’n incident en vinden dat er betere of extra maatregelen moeten komen, terwijl je eerder hebt besloten dat het een acceptabel risico is. Wat in zo’n geval de juiste keuze is, is een andere discussie, maar je standpunt behouden en daarbij slechts verwijzen naar een risk appetite statement is naar mijn mening niet voldoende om de rust in de organisatie terug te krijgen. Daar zijn goede communicatie en inhoudelijke discussies voor nodig.
De oplossing: het gesprek aangaan
Het simpelweg bespreekbaar maken van risico’s is volgens mij het betere alternatief voor een risk appetite statement. Gebruik bijvoorbeeld de concrete risico’s uit het risicoregister als basis voor de gesprekken. Maak de risico’s inzichtelijk en bespreek die op regelmatige basis met elkaar, intern maar ook met relevante externe partijen. Luister naar elkaars overwegingen voor een beoordeling, leer van elkaar en kom gezamenlijk tot een conclusie. Heb je op den duur met z’n allen een niveau bepaald van wat wel en wat niet acceptabel is qua risico, dan is het nog maar de vraag om het zinvol is om dat op papier te zetten. Immers, je bent er al regelmatig met elkaar over in gesprek. Wat voegt zo’n statement op schrift daar dan nog aan toe? En wat denk je dat beter is voor nieuwe medewerkers of organisaties die bijvoorbeeld toetreden tot een keten? Hen betrekken bij de gesprekken of slechts dat statement toezenden?
Deze aanpak is denk ik tevens een goed antwoord op de vraag hoe om te gaan met ketenrisicobeheersing in het algemeen. Maak risico’s inzichtelijk voor elkaar. Weet van elkaar wat jullie risico’s zijn en ondersteun elkaar in de mitigerende maatregelen. Een aanvaller zoekt namelijk vaak de zwakste plek en de makkelijkste ingang. Weet dus hoe jouw organisatie via een koppeling naar een andere organisatie toegang kan bieden tot diens informatie. Besef dat informatie die jij van een andere organisatie in huis hebt, dezelfde beveiliging vereist als bij de organisatie van wie die informatie is, ook al loop jij zelf niet het risico. De enige manier om elkaar te helpen in informatiebeveiliging is door van elkaar te weten wat de zwakke plekken en de te beschermen belangen zijn. De enige manier om dat van elkaar te weten is door het onderling te delen.
Ga dus met elkaar in gesprek. Een goede samenwerking in informatiebeveiliging, zowel intern, richting een ICT-dienstverlener, als in een ketensamenwerking, is vele malen krachtiger en effectiever dan welk risk appetite statement dan ook.