Ik loop geen enkel risico!
Dan bestaat uw bedrijf al niet meer en is deze uitleg voor u dus niet meer relevant. Pijnlijke conclusie? Zeker wel, maar elk bedrijf of organisatie loopt risico’s en die kunnen zowel negatief als positief zijn, de laatste noemen we alleen een kans.
Wat is nu het verschil? Waarom is risicomanagement zo belangrijk? En hoe pak ik dat nu een beetje handig aan? Wij leggen u de basis uit en geven inzicht in hoe u risicomanagement voor uw onder-neming kan inzitten voor beveiliging en groei potentieel.
Wat is een risico?
Internationaal wordt over het algemeen de volgende definitie aangehouden van een risico:
Maar wat betekent dat nu en hoe moet u daarmee binnen uw bedrijf omgaan? In dit kennisbank artikel leggen wij het uit.
Positief of negatief?
Zeker, risico’s kunnen ook positief zijn. Over het algemeen noemen we dit een kans.
Lastig, want binnen risicomanagement spreken we ook over kansen maar dan wel de kans dat een risico zelf werkelijkheid wordt en daarmee impact heeft op uw onderneming. Het blijft dus even opletten welke kans er bedoelt wordt.
Binnen de informatiebeveiliging is het vaak wel wel duidelijk genoeg. Omdat we hier meestal alleen kijken naar negatieve risico’s, is de kans hier eigenlijk altijd onderdeel van het lijstje met dreiging, kans, kwetsbaarheid, risico en impact.
Risico management
Binnen risico management kijken we naar de hele keten van de risico’s binnen jouw onderneming. Daarbij kijken we naar risico identificatie, analyse, evaluatie en behandeling.
Risico identificatie
Bij risico identificatie kijken we vooral naar welke risico’s jouw bedrijf kunnen raken. Zoals gezegd kunnen dit zowel positieve als negatieve risico’s zijn.
Hoezo ook positief? Dat is simpel uit te leggen. Als je een nieuwe dienst lanceert of in een nieuwe markt actief gaat zijn, dan loop je risico. Dat risico kan zijn dat je dienst of uitbreiding mislukt, maar hij kan ook zeer succesvol zijn. En ja ook dat laatste is een risico, alleen noemen we dat meestal kansen omdat risico’s nogal een negatieve associatie hebben.
De identificatie van risico’s en kansen echter loopt volgends dezelfde principes en dat geldt voor de overige stappen ook.
Risico evaluatie
Nu weten we wat de risico’s en kansen zijn, maar we weten nog niet wat de kans is dat ze gaan voorkomen, welke dreigingen zijn er en welke kwetsbaarheden kunnen de kans en/of de impact vergroten? In deze fase kijken we naar dreigingen, hoe groot is die dreiging en wat is de kans dat die dreiging werkelijkheid wordt.
Om een dreiging impact te laten hebben op uw onderneming heeft die dreiging een kwetsbaarheid nodig, dus ook daar kijken we naar. Waar is uw bedrijf kwetsbaar, waarvoor is uw bedrijf kwetsbaar en hoe kunnen die kwetsbaarheden benut worden.
En ja ook dat positieve risico, die nieuwe dienst, heeft dreigingen en kwetsbaarheden. Dreigingen zijn bijvoorbeeld concurrenten of leveranciers die niet leveren. Kwetsbaarheden kunnen bijvoorbeeld de prijs zijn, uw marketing slaat niet aan of de dienst is niet interessant. Maar ook als de dienst succesvol is zijn er dreigingen en kwetsbaarheden. Zo kunnen te veel klanten een bedreiging zijn omdat u te weinig personeel heeft om ze allemaal te bedienen wat dan weer een kwetsbaarheid is.
Deze evaluatie doen we natuurlijk niet alleen voor positieve risico’s, maar ook voor de negatieve zoals brand, diefstal, ransomware, andere cyber criminaliteit en eventueel werknemers die er met uw kroonjuwelen vandoor gaan.
Risicobehandeling
Als we dit dan allemaal in kaart hebben, dan gaan we samen bepalen wat we met die risico’s gaan doen. je kunt ze altijd negeren, maar dat was nu net niet de bedoeling toch?
Feitelijk heb je 4 opties: accepteren, mitigeren, overdragen of vermijden.
- Accepteren lijkt het meest eenvoudige, maar als je het accepteert en het risico wordt werkelijkheid, kan je bedrijf het dan wel aan? Daar is iets meer voor nodig, kijk hieronder wat we daarvoor doen.
- Mitigeren betekent feitelijk het nemen van maatregelen of het aanpassen van maatregelen of misschien zelfs het wijzigen van een dienst of product om het risico te verkleinen. Verkleinen? Zeker, verkleinen of verlagen tot een acceptabel niveau, kijk daar is die weer.
- Overdragen kan ook. het meest voor de hand liggende is verzekeren, daarmee draag je het financiële risico over naar de verzekeraar. Maar het is ook mogelijk om een risico deels over te dragen naar bijvoorbeeld een leverancier, producten zowel als IT. Houd er wel rekening mee dat je uiteindelijk altijd zelf verantwoordelijkheid houd voor het restrisico. Volledig overdragen gaat namelijk niet.
- Vermijden? Ja ook dat kan, maar dat betekent wel dat je met de activiteit stopt die het risico veroorzaakt. Snap je nu waarom er bovenaan deze pagina staat dat als je geen risico loopt je bedrijf niet meer bestaat? Precies, je hebt alle risico’s vermeden.
Impact analyse en risico acceptatie
We missen nog een enkel element. Het is natuurlijk goed te weten wat jouw onderneming bedreigt, waar je kwetsbaar bent en wat eventueel de kans is dat die dreiging samen met de kwetsbaarheid werkelijkheid wordt.
Maar wat is dan het gevolg voor je bedrijf? Die is natuurlijk niet niets, anders had dit hele verhaal geen zin.
Die werkelijkheid geworden risico’s noemen we incidenten en het effect daarvan op uw onderneming noemen impact. Hoe groter die impact, hoe groter de potentiële schade of winst van uw onderneming is.
Vanuit de informatiebeveiliging echter, kijken we vooraal naar business impact en dan wat meer naar de negatieve kant van het verhaal. Wat is de impact op uw onderneming als u de beschikbaarheid, integriteit of vertrouwelijkheid van uw bedrijfsdata niet meer kan garanderen?
Financieel
Impact op uw financiën, zowel het verliezen van geldt, moeten betalen van boetes of misschien wel losgeld bij een ransomware aanval. Hoeveel financiële schade kan uw bedrijf hebben?
Operationeel
Impact kan operationeel zijn zoals het uitval van personeel, niet beschikbaar zijn van uw bedrijfspand, niet beschikbaar zijn van uw bedrijfsdata of u kunt niet meer op de kwaliteit en correctheid van die data vertrouwen.
Reputatie
Impact kan ook met uw reputatie te maken hebben waardoor klanten weglopen, afhaken of lastige vragen gaan stellen. Misschien komt u wel negatief in de media?
Wet en regelgeving
Impact op het voldoen aan wet- en regelgeving hebben zodat bijvoorbeeld toezichthouders zoals de Autoriteit Consument en market, de Autoriteit persoonsgegevens of misschien de Nationale Voedsel en Waren Autoriteit langskomen om eens polshoogte te nemen of zelfs te handhaven.
Samen met de mogelijkheden van impact en het niveau aan impact wat uw bedrijf kan hebben zonder daar erg veel last van te hebben of zelfs aan kapot te gaan, behalen wij met u wat de risico acceptatie waarden zijn.
- Risicobereidheid: hoeveel risico kunt u nemen zonder dat uw bedrijf hier erg veel hinder van ondervind?
- Risico tolerantie: hoeveel risico kunt u extra, tijdelijk, dragen tot dat het risico vermindert is of op een andere manier is weggenomen?
- Risico capaciteit: hoeveel risico kunt u dragen voor dat uw onderneming er volledig aan kapot gaat?
De eerste 2 samen moeten opgeteld altijd lager zijn dan de derde.
Wat heb ik hier nu aan?
Inzicht in uw risico’s, positief zowel als negatief, bekend inzicht in uw bedrijfsvoering, inzicht in dreigingen en kwetsbaarheden, inzicht in impact als er toch iets heel erg goed of gaat.
Het resultaat? Een gezonde bedrijfsvoering waarbij u kunt plannen voor wat u te wachten staat of voor wat u hopelijk niet gaat treffen. Samen met een goed ingericht incident management proces, bent u op alles voorbereid. Nu ja, alles waarvan u het risico heeft weten te identificeren dan.
En daarmee is het cirkeltje weer rond
Risico analyse
Er zijn vele methoden beschikbaar om risico analyses te doen. Sommigen zijn zeer ingewikkeld en andere weer te eenvoudig. Sommigen worden goed bijgehouden waardoor bijvoorbeeld een lijst aan dreigingen constant wordt aangepast, anderen zijn meer hobby projectjes van mensen die denken dat ze het snappen.
Maar wat is nu een goede methode?
Een aantal jaar geleden heeft de Luxemburgse overheid genoeg gehad van dat woud aan analysemethoden en heeft van de beste ervan de belangrijkste onderdelen genomen en gecombineerd tot een nieuwe methode.
De MONARC risicoanalyse methode is er in principe voor kleinere bedrijven, maar dat wil niet zeggen dat die voor grotere ondernemingen niet interessant is.
De method loodst je stapsgewijs door de analyse heen, van risico identificatie en het vaststellen van jouw kroonjuwelen tot dreigings- en kwetsbaarheidsanalyse en van risico behandeling tot risico her-evaluatie.
Risico’s veranderen, dreigingen veranderen en kwetsbaarheden ook, dus geregeld opnieuw naar je risico’s kijken is heel gezond.