Risicoanalyse: tijdrovend en ingewikkeld?

Binnen mijn vakgebied, informatiebeveiliging, is risicomanagement en risicoanalyse mijn specialisme. Ik schrijf daar het nodige over, heb een eigen risicoanalysemethodiek ontwikkeld en vanuit mijn werk geef ik presentaties over dit onderwerp. Ik krijg zo af en toe de vraag of het doen van die tijdrovende en ingewikkelde risicoanalyses wel de moeite waard is? Mijn antwoord is uiteraard ‘ja’ en ik licht in dit artikel toe waarom.

Als eerste wil ik de vraag beantwoorden met een tegenvraag, namelijk: Is het verstandig om digitale middelen te gebruiken voor de verwerking van belangrijke en/of gevoelige informatie, zonder goed na te denken over de mogelijke gevaren? Mede gezien de vele voorbeelden uit de media over wat er mis kan gaan, ga ik ervan uit dat je antwoord op deze vraag ‘nee’ is.

Voordat ik verder ga met mijn betoog, vraag ik je om Notepad te openen. Neem een informatieverwerking in gedachte. Dit mag iets van het werk zijn, maar ook iets uit je privésituatie. Neem nu één minuut de tijd om na te denken over een manier waarop je informatie kan kwijtraken, je informatie niet meer kloppend kan zijn of je informatie in handen van derden kan komen te vallen. Bedenk vervolgens hoe je dat kan voorkomen. Heb je iets in gedachte? Goed, nu aan de slag!

Nee, niet meteen verder lezen. Open Notepad en aan de slag. Ik vraag maar één minuutje van je.

Heb je het echt gedaan? Mooi! Proficiat! Je hebt zojuist een risicoanalyse gemaakt! Echt, veel ingewikkelder dan dit gaat het niet worden. Ik hoop dat je nu begrijpt dat ik kriebels krijg van opmerkingen dat een risicoanalyse doen ingewikkeld en tijdrovend zou zijn.

Uiteraard is wat je net gedaan hebt niet voldoende voor het in kaart brengen van risico’s rondom de informatieverwerkingen binnen je organisatie. Voor een goede risicoanalyse doe je er bijvoorbeeld verstandig aan om de juiste mensen met de juiste kennis en ervaring erbij betrekken. Dit zorgt ervoor dat je zoveel mogelijk alle relevante risico’s bespreekt en de juiste mitigerende maatregelen selecteert. Ook moeten de risico’s en mitigerende maatregelen ergens in de organisatie belegd worden. Maar nog steeds kun je ervoor kiezen om een half uurtje met Notepad aan de slag te gaan. Je kunt er ook meer structuur in aanbrengen en bijvoorbeeld de MAPGOOD lijst hanteren, of mijn RAVIB-risicoanalysemethodiek inzetten of zelfs voor de IRAM2 aanpak gaan. Niks moet, alles mag. Het voordeel van de Notepad-aanpak is dat het weinig tijd kost. Echter, het nadeel is een zeer beperkt inzicht in je risico’s. IRAM2 daarentegen kost veel tijd, maar geeft een uitgebreid beeld van je risico’s. Er is niks mis met beginnen met de Notepad-aanpak en in je eigen tempo door te groeien naar meer gestructureerde aanpak op basis van behoefte en noodzaak. De enige fout die je hierin kunt maken is door niet te beginnen en daarmee je digitale risico’s te negeren.

Dus, ‘ja’, het is verstandig om inzicht te hebben in je risico’s en ‘nee’, het doen van een risicoanalyse is niet tijdrovend of ingewikkeld. Het is wat je er zelf van maakt. Heb je binnen je organisatie een bepaalde verantwoordelijkheid over informatie? Ga eens praten met je CISO over de mogelijkheden om inzicht te krijgen in de risico’s. En vergeet niet, de tijd, moeite en kosten die je steekt in een risicoanalyse zijn ongetwijfeld minder dan wat je zal moeten steken in het verhelpen van een incident. En een risicoanalyse kan je plannen, een incident niet.