Risicomanagement, security en continuïteitsmanagement – een drieluik

Geplaatst door CorporatieMedia op
 

In een wereld waar informatie inmiddels het belangrijkste productiemiddel is geworden en een toenemende mate van governance en compliance verwacht wordt, nemen de onderwerpen risicomanagement, security en continuïteitsmanagement toe in belangrijkheid.

Toch worden deze drie onderwerpen ervaren als bezwarend, vertragend, complex en niet behorend tot de corebusiness. Echter, in een wereld die snel verandert en toeneemt in complexiteit, kunnen deze onderwerpen bijdragen aan een betere beheersing en vermindering van de risico’s van deze corebusiness. De investering die gevraagd wordt, betaalt zich op termijn uit. Een inzicht in het drieluik.

Risicomanagement
Bij risicomanagement wordt de nadruk veelal op de financiële risico’s gelegd. Maar hoe staat het met de risico’s in uw primaire en ondersteunende bedrijfsprocessen? Welke risico’s dekt u af en welke accepteert u? Het beheersen van risico’s zorgt ervoor dat strategische (organisatie)doelstellingen gerealiseerd kunnen worden. Risicomanagement begint bij een methodische beoordeling van risico’s. De resultaten van deze beoordeling helpen de organisatie te bepalen welke maatregelen nodig zijn en welke prioriteiten gelden voor het beheer en het implementeren ervan ter bescherming van de risico’s. Risicomanagement geeft blijvend inzicht in dreigingen, maatregelen, kosten en – mits goed uitgewerkt – voorkomt een overdaad aan maatregelen die belemmerend werken voor de uitvoering van de corebusiness.

Risicomanagement omvat alle activiteiten die betrekking hebben op de risico's die een organisatie loopt. Tot die activiteiten behoren:
-Het verkrijgen van inzicht in de risico's (risico identificatie);
-Het verkrijgen van inzicht in de kans van verschijnen en impact van de risico’s (risico analyse);
-Vaststellen doelen, beleid, strategie met betrekking tot het beperken van deze risico’s (risico evaluatie);
-Al dan niet realiseren van de maatregelen (risico response);
-Toezicht houden op status van de maatregelen door controle;
-Actueel houden en bijsturen van inzicht, beleid en maatregelen (continue verbetering).

Bij het identificeren van de risico’s is van belang in volle breedte te denken, sluit niet bij voorbaat zaken uit. Het filteren en in perspectief brengen van risico’s gebeurt in de volgende stap, de risico analyse. Geef daarom ook aandacht aan alle risico’s die zich in de strategie of bedrijfsprocessen bevinden.

De risico analyse is op twee verschillende wijzen te benaderen: vanuit een kwantitatief perspectief, waarbij alle risico’s (of de gevolgen daarvan) in geld worden uitgedrukt; of vanuit een kwalitatief perspectief, waarbij uitgegaan wordt van scenario’s en situaties.

Het al dan niet realiseren van maatregelen (risk response) betekent dat er, afhankelijk van de risico inschatting, in bepaalde gevallen geen maatregelen genomen zullen worden. Bij bepaalde risico’s is de kans of de impact zo klein dat het velen malen meer kost een maatregel in te voeren, uit te voeren en te controleren, dan de schade bij het daadwerkelijk voordoen van het verschijnsel. In dat geval ‘accepteer’ je als organisatie het risico. Ook kan je risico’s vermijden, overdragen en verminderen.

De volgende stap is het selecteren en implementeren van passende beheersmaatregelen om zodoende de risico’s te beperken. Deze maatregelen worden geselecteerd op basis van risico acceptatie, risicobehandeling en de aanpak van risicobeheer. Dit moet vanzelfsprekend in lijn zijn met relevante nationale en internationale wet- en regelgeving.

Security
Security mag zich de afgelopen jaren op steeds meer belangstelling verheugen. Helaas wel op een negatieve wijze door tal van incidenten. Weet u nog wat er gebeurede met Diginotar en de incidenten tijdens ‘Lektober’ waar veel gemeenten het slachtoffer waren? De dreigingen lijken van alle kanten te komen. De dreiging door hackers is evident, maar hoe denkt u over de dreigingen uit uw eigen organisatie? Veel incidenten waarbij gevoelige gegevens worden gelekt worden veroorzaakt door het eigen personeel. Al dan niet opzettelijk..

Security wordt veelal gezien als een ICT-aangelegenheid. De werkelijkheid is echter anders; de informatie (als productiemiddel) is van vitaal belang voor het goed verlopen van de primaire processen. En daarmee dus een uitgelezen aangelegenheid van de business.

Daarmee raken we precies het tere punt. De ICT-beveiliging is vaak wel geregeld. Maar medewerkers weten niet wat er van hen verwacht wordt. Bewustzijn en bewustwording blijft achter.

Een valkuil bij het beveiligen van informatie is dat in de afgelopen jaren de beveiligingsmaatregelen het werken en niet makkelijker op hebben gemaakt. Maar dat is juist de zin van goede security: goede bescherming zonder dat het de medewerkers en klanten onmogelijk gemaakt wordt te werken.

Overigens hebben ook corporaties de verplichting te voldoen aan de Wet Bescherming Persoonsgegevens. Heeft u als corporatie geen informatiebeveiligingsbeleid? Dan overtreedt u technisch gezien de wet.

Maar hoe moet het wel? Een aantal tips:
-Pak security aan vanuit risico-perspectief. Beveilig niet alles tegen elke prijs en voorkom daarmee ook overbeveiliging. Sluit aan bij het organisatiebrede risicomanagement (zie boven).
-De Wet Bescherming Persoonsgegevens biedt waardevolle handvatten. Daarnaast is het voldoen aan de wet een verplichting voor iedere corporatie.
-Geef aandacht aan vertrouwelijkheid, maar ook aan continuïteit (zoals een adequate back-up en uitwijk), en datakwaliteit.
-Maak gebruik van een goede methodiek en richt deze toekomstvast in
-Benader security vanuit de processen, en niet als zelfstandig element. Security is een onderdeel en randvoorwaardelijk aan een goede bedrijfsvoering
-Creëer draagvlak, leg uit wat de waarde van de informatie binnen de organisatie is en wat het mogelijke afbreukrisico is.

Continuïteitsmanagement
U heeft allerlei preventieve maatregelen genomen en toch vallen systemen of de telefooncentrale uit. Of uw pand is tijdelijk niet te bereiken door brand of stroomstoring. En nu? Wat te doen?

Als het goed is, heeft u nagedacht over de continuïteitsmanagement. Uitwijk is geregeld en back-ups worden regelmatig aangemaakt. Maar, daarmee bent u er nog niet. Kijk ook eens of de organisatorische kant goed geregeld is. Zijn er draaiboeken, weet iedereen wat hij of zij moet doen. Vaak wordt er nagedacht over allerlei systeemtechnische zekerheden, maar wordt vergeten om uitwijkwerkplekken te regelen voor het personeel. Of de draaiboeken zijn aanwezig, maar liggen in het pand – waar je niet bij kan vanwege brand.

Ook het periodiek testen van de technische voorzieningen wordt vaak achterwege gelaten, toch is dit nodig. Want pas dan komt u er achter of de teruggezette back-up ook echt werkt. Het scheelt veel tijd, geld en energie als u zeker weet dat back-ups teruggezet kunnen worden en de kleine ‘bugs’ uit de uitwijkprocedure of calamiteitenprocedure zijn verdwenen.

Goed is om – wederom – aan te haken bij de organisatiebrede risicoanalyse. Zo blijft het overzicht en zaken centraal geregeld. In de risicoanalyse is er nagedacht over welke uitvaltijden geaccepteerd worden. Ook voorkomt het ook dubbelingen in maatregelen en plannen. Aansluiting bij een organisatie breed calamiteiten- en BHV-plan is vanzelfsprekend.

Test ook deze plannen en procedures. Bijvoorbeeld op een dag dat de corporatie officieel gesloten is. Zo worden ook de laatste schoonheidsfoutjes uit de calamiteiten gehaald. Zo voorkomt u verrassingen als het er echt om spant.

Het drieluik past in elkaar en sluit op elkaar aan. Geen security en continuïteitsmanagement zonder risicomanagement. Bent u in control als het gaat om deze zaken? Weet u welke risico’s u loopt en welke u accepteert? Audittrail helpt u op praktische wijze het drieluik in te richten. Samen met u.

Bron: Audittrail

Klik hier om de bedrijfsprofielpagina van Audittrail in de CorporatieGids 2014 te bekijken.