19.02.2020

Zo krijg jij grip op risico’s binnen jouw organisatie

Stel je voor dat de gegevens in het systeem waar jij alles mee moet doen, niet betrouwbaar zijn. Stel je voor dat deze waardevolle gegevens zonder pardon op straat komen te liggen. Een nachtmerriescenario, toch? Maar wat doe jij er op dit moment aan om dat te voorkomen? Hoe krijg jij grip op risico’s binnen jouw organisatie? De ingang van de Baseline Informatiebeveiliging Overheid (BIO) vraagt van jou dat je met risicomanagement aan de slag gaat om tot een compleet veiligheidspakket te komen. In 5 minuten van je tijd lees jij hieronder hoe je dit met een paar simpele stappen doet.

Privacyschendingen door een datalek, vertrouwelijke plannen die op straat liggen, fysieke schade door storingen in systemen in de openbare ruimte. Eén voor één risico’s die jouw organisatie ernstige schade kunnen toebrengen. En zo’n ongeluk zit vaak al in een klein hoekje. Denk maar eens aan een collega met bevoegdheden die hij eigenlijk niet behoort te hebben of aan een applicatiebeheerder met een gebrek aan opleiding. Voor velen is het lastig deze risico’s inzichtelijk te krijgen. Toch mag het onderwerp informatiebeveiliging niet ontbreken aan de bestuurstafel.

Risicomanagement in BIO

In de BIG stond een set aan regels centraal. In de BIO is dat even anders. De BIO geeft een basis, maar je moet je zelf tot een compleet veiligheidspakket komen. Dit met behulp van risicomanagement. Risicomanagement heeft als doel de bedrijfsmiddelen van de organisatie op een goede manier te beschermen. Daarnaast helpt het je om efficiënter en effectiever te zijn in je aanpak. Door uit te gaan van de risico’s in jouw organisatie doe je immers alleen dat wat nodig is om deze risico’s te beperken.

Aan de slag

Door het continu identificeren en beoordelen van risico’s binnen jouw organisatie, bepaal jij wat nodig is om je informatie adequaat te beschermen. Achterover leunen is er helaas niet bij. Risicomanagement blijft immers onderdeel van een voortdurend leerproces. Als je weet waar jouw risico’s zitten dan weet je ook waar jij kunt verbeteren. Als je niet verbetert dan blijf je kwetsbaar.

SafeHarbour gelooft niet in de methode waarbij je een zaal vol mensen vult om daarna samen een hele lijst van bedreigingen af te lopen of deze voor zouden kunnen komen. Uit de praktijk blijkt dat mensen dan tussentijds afhaken, risico’s worden overschat en onderschat en dat er aan het einde wel zaken zijn benoemd, maar dat niemand zich daar eigenaar van voelt. Dit kun je voorkomen door het vaststellen van risico’s als volgt aan te pakken:
1. Bepaal een scope
2. Betrek de juiste personen
3. Stel vragen waar zij ook daadwerkelijk verantwoordelijk voor zijn en het antwoord op hebben
4. Check welke maatregelen zijn getroffen
5. Bepaal door het inzicht in de maatregelen op objectieve wijze de risico’s
6. Bepaal welke acties nodig zijn om een risico terug te brengen tot een acceptabel niveau
7. Benoem een verantwoordelijke per actie
8. Bewaak de voortgang

Door dit stappenplan te volgen signaleer je risico’s. Doordat je de juiste mensen hebt betrekt realiseer je direct commitment en een verantwoordelijke die zich ook verantwoordelijk voelt.

Helpende hand

Gelukkig hoef jij dit allemaal niet zelf te verzinnen. Natuurlijk ben je op zoek naar een methode die dit makkelijk maakt. Dat bieden wij met IC Control: de Governance, Risk & Compliance tool. Deze tool helpt jou bij het uitvoeren van een risicoanalyse. Daarnaast geeft het je inzicht in het beheersen van interne processen, gedragscodes en wet- en regelgeving. Met behulp van IC Control analyseer je samen met het management eenvoudig risico’s binnen de processen van jouw organisatie.