Risicomanagement is alles dat je doet om het behalen en behouden van bedrijfsdoelstellingen te waarborgen. Om ons als schoenmaker bij onze leest te houden gaat het hier om een integrale aanpak voor de organisatie binnen de context van informatiebeveiliging.
Aanbieders en gelukkige ontvangers van certificaten zijn het roerend eens: een geldig certificaat, de gemondkapte LinkedIn-waardige foto en taart zijn onomstotelijk bewijs zijn dat de organisatie ‘het goed (genoeg) heeft gedaan’. Zeg nou zelf, na zoveel werk is het behaalde certificaat toch keihard bewijs dat de beheersing in de organisatie wel snor zit? Of toch niet?

De werkelijke waarde bepaald voor een organisatie van een certificaat is afhankelijk van het type certificaat, de afgesproken scope, de samenhang van beoordeling met het type organisatie en bedrijfsprocessen. Je kunt bij wijze van spreken een certificaat ontvangen waarbij de scope zich heeft beperkt tot ‘hoe recht de deurmat aantoonbaar lag ten opzichte van de hoofdingang ten tijde van het onderzoek’. Een minder flauw voorbeeld is het felbegeerde ‘Certificaat van Deelname’. In mijn carrière ben ik niemand tegengekomen die het tijdens de cursus zo bont heeft gemaakt dat hij geen certificaat ontving, als gevolg van ‘onvoldoende blijk van aanwezigheid’..

Risicomanagement is niet iets dat je ‘erbij doet’. Het maakt een wezenlijk deel uit van adequate bedrijfsvoering. Risicomanagement levert de organisatie een overzicht, ‘een dashboard’ in welk mate je in control bent. Het vertelt je wat je aan het doen bent, maar ook wat je niet gedaan hebt. Een dashboard heeft hiernaast een voorspellend karakter voor de mogelijke gevolgen. Certificaten zijn in die zin niet anders dan richtingaanwijzers en geven aan hoe ver een organisatie afwijkt van een norm. Heb je overal een rood kruisje, dan is het duidelijk dat er wat werk ligt. Maar hoe voorspellend is het als je allemaal groene vinkjes scoort? Net zo min als een richtingaanwijzer écht effect heeft op het daadwerkelijk sturen van een auto, heeft een certificaat op zichzelf staand weinig effect op de ontvanger en toekomstige prestaties. Risico management draagt net zoveel bij aan het einddoel, als de strategie zelf.

Denk aan het rijexamen: maatschappelijk wenselijk rijden tijdens het examen leidt tot een rijbewijs. Het rijgedrag dat je vertoont na het krijgen van je rijbewijs kan echter de bron zijn van irritaties van anderen en zelfs ongelukken. Het resultaat en de realiteit is dat steunen op de scope van een certificaat alleen een gemiste kans is. Laten we eerlijk zijn: bijvoorbeeld het opstellen en implementeren van change, (security) incident & problem management en een procedure voor review van gebruikersactiviteiten op zichzelf staand is gewoon werkverschaffing. 

Zie risicomanagement en beheersmaatregelen als een instrument dat stuwend kan werken voor jullie organisatie. Blijf niet hangen in de roes van een vinkjescultuur en wees meer dan de ‘beste jongen van de klas’.

Werken naar een certificering is mooi. Werken naar een hoger volwassenheidsniveau voor informatiebeveiliging en AVG is beter. 

Haal rendement uit het periodiek reviewen van toenemende registratieprocessen, procedures en protocollen en mogelijkheden om deze te consolideren en te optimaliseren. Verken de mogelijkheden en denk 1 stap vooruit in je processen op het gebied van informatievoorziening. Hiermee bereid je de organisatie voor, voor toekomstige eisen van klanten en wijzigingen in wet- en regelgeving.

Onderzoek uw incident- en problem management procedure of deze niet alleen ITIL-proof is maar ook optimaal werkt voor uw organisatie. Evalueer uw ticketing systeem of koppel dit aan een Knowledge base om de ‘mean-time-between-failures’ van tickets te verminderen. ‘Both risk and opportunity are in the eye of the beholder’ maar hiervoor moet je wel zelf achter het stuur. Laat dit niet aan de examinator over dat, dit ligt niet op zijn route.

Wilt u wisselen van gedachten? Bel ons!