risico awareness

Risicobepaling met risicotypologie

admin

Auteur: Manu Steens

De bepaling van de risico’s is een van de belangrijke stappen in Risicomanagement, om te komen tot een risicoregister met bijhorende actieplannen als tussenstap.

Daarbij is, volgens het subsidiariteitsprincipe de laagste in rang die zinvol de risico’s kan bepalen, de aangewezen persoon om de nodige risico’s op te lijsten. Dit geldt zowel voor risico’s op alle niveaus in de organisatie.

De eerste stap bestaat dus uit het bepalen van de doelgroep van de brainstorm voor de risico’s. Voor operationele risico’s kunnen dit proces- of projectverantwoordelijken zijn, maar tevens nieuwelingen die nog niet veel visie hebben op risico’s. Voor hen is het immers zo dat ze voortdurend in contact komen met onvoorziene zaken, en meewerken aan de risicoanalyse vijzelt hun awareness en alertheid op. Voor tactische en strategische risico’s kunnen dit directieraadsleden zijn. Ook de doelgroep van de risico’s moet bepaald worden. Voor de normale risico’s kunnen dit de leidinggevenden zijn, voor grote risico’s en strategische risico’s moet men rapporteren aan het topmanagement/beheerraad.

Wanneer men de doelgroepen voor het bepalen van de risico’s en de rapportering bepaald heeft, moet men de risico’s zelf gaan inventariseren. Dit kan men doen a.d.h.v. bijv. een risicotypologie. Daarbij bestaan meerdere mogelijkheden. Deze zijn steeds afhankelijk van de organisatie zelf, die dus goed gekend moet zijn door de personen die de gepaste risicotypologie kiezen / ontwerpen. Hieronder geven we een aantal voorbeelden van risicotypologieën (niet exhaustief).

Een eerste mogelijke opdeling is als volgt:

  • Financiële risico’s
  • Wettelijke vereisten
  • Wettelijke compliance
  • Imago
  • Specifiek voor de branche
  • Data integriteit en –betrouwbaarheid
  • Confidentialiteit van de data
  • Beveiliging van de eigen data
  • Disaster recovery en continuïteitsplanning
  • Operationele risico’s

Een tweede mogelijke opdeling is als volgt:

  • Externe risico’s
    • Natuur
    • Politiek / wet en regelgeving
    • Sociaal / maatschappelijk
    • Economie / markt , beurzen , …
  • Interne risico’s
    • Strategie
    • Juridische / financiële gevolgen rechtsvorm
    • Continuïteit
    • Kwaliteit
    • Fraude / Compliance …
    • Materiële risico’s (verlies beschadiging)
    • Veiligheid van mensen / middelen
    • Financiële risico’s
    • Kritische kennis
    • Capaciteit …

Een derde mogelijke opdeling is als volgt:

  • Operationele risico’s:
    • (Willem De Ridder, ‘Risicobeheersing met toegevoegde waarde’): “Het risico van verlies als gevolg van inadequate of falende processen, mensen en systemen of als gevolg van externe gebeurtenissen.”
  • Strategische risico’s:
    • (Lizanne Vroom, ‘Risicomanagement vanuit het Dynamisch Business Model’): “Het gevaar voor (kapitaal-)verlies en/of het voortbestaan van de organisatie als gevolg van veranderingen in de omgeving van de organisatie, het gebrek aan respons of een verkeerde respons op veranderingen in de omgeving van de organisatie, zakelijke nadelige beslissingen of een onjuiste implementatie van de gekozen strategie.”

Een handige manier om met deze risicotypologie te werken is om daarna te brainstormen met een SWOT-methode. Merk wel op dat het maken van deze SWOT wél een onderscheid maakt tussen interne zaken (sterktes en zwaktes) en externe zaken (opportuniteiten en bedreigingen), maar nog geen risicoanalyse is op zich. Het kan gebruikt worden om de risicostatements te formuleren a.d.h.v. elk item in de risicotypologie, ten overstaan van de operationele projecten, –  processen, – doelstellingen of strategische doelstellingen. Dus in feite om aan risico-identificatie te doen. De gebruikte risicotypologie kan daarvan tevens afhangen. Daarnaast is de SWOT-methode met haar confrontatiematrix geschikt om maatregelen te formuleren.

Een brainstormsessie houd je best met een groep van ongeveer 4 personen, o.l.v. een coach. Deze laatste moet de groep steeds uitdagen om de risicostatements deugdelijk te formuleren, en er tevens, volgens het principe van een Bow-Tie, er de oorzaken en gevolgen, oorzaken van oorzaken en gevolgen van gevolgen enz. te formuleren. Daarbij is de 5x ‘waarom’- en de 5x ‘wat dan’ vraagmethode van toepassing. Daarmee formuleren de deelnemers aan de brainstorm dan uiteindelijk de risicostatements in de vorm van ‘De organisatie / het proces / project … heeft probleem / opportuniteit … met als oorza(a)k(en) … en gevolg(en)…’.

Men kan daarbij kiezen om de oorzaken en gevolgen met het probleem uit te splitsen over meerdere risicostatements, of om de oorzaken te groeperen en de gevolgen te groeperen. Deze worden dan aangevochten met respectievelijk preventieve en reactieve maatregelen. De Bow-Tie methode is dan zeer geschikt om aan te geven of alle aangegeven oorzaken en gevolgen aangepakt worden met maatregelen.

Pre-suation – een revolutionaire manier van beïnvloeden en overtuigen

admin

Auteur: Robert B. Cialdini

De twee kernwoorden van de auteur in dit boek zijn beïnvloeden en overtuigen. En overtuigen en beïnvloeden gebeurt ook in de openingszin van het eerste hoofdstuk van boek alleen al: “Als een soort geheim agent heb ik ooit trainingen geïnfiltreerd van allerlei verschillende beroepen die zich toeleggen om ons ‘ja’ te laten zeggen” en geef toe, wie legt niet de link tussen “geheim agent” en “overtuigen” en “spannend”? Daarmee alleen al overtuigt de auteur de lezer m.i. om in stormende vaart uit te lezen.

Maar ook na het lezen van dit boek, zoals bij veel andere boeken, ben je geen specialist, ‘Übung macht den Meister’ ook in dit verhaal. Maar dan heeft de lezer geluk: het boek is zo meeslepend geschreven dat je direct zin krijgt om ermee aan de slag te gaan en ermee te experimenteren, want geef toe, wie wil nu niet de anderen in zijn omgeving meesterlijk kunnen overtuigen en bespelen?

Om het spel mee te spelen zal ik vertellen wat ik ervan meegedragen heb, en wat ik nuttig acht voor het gebruik hiervan in awarenesswerking van risicomanagement.

Een eerste zaak die me bijbleef na het lezen van het boek komt al in hoofdstuk 2: bevoorrechte momenten. Het doel hiervan is om het moment, dat speciaal is door gebeurtenissen in de omgeving, uit te buiten in uw voordeel. Een voorbeeld hiervan voor veel organisaties zijn de terreuraanslagen van 22 maart 2016. Dat was het uitgelezen moment voor het uitwerken van een sterk crisismanagement team en risicomanagement- en BCM-werking bij uitstek.

Het derde hoofdstuk richt zijn pijlen op het belang van aandacht en focus: om een goede beoordeling te krijgen moet je niet alleen de aandacht vestigen op de goede eigenschappen, maar de focus vooral laten richten op UW product. Want wat de focus heeft is belangrijk, ook al zijn er veruit betere producten. Die focus komt terug als onderwerp in het volgende hoofdstuk waar gebruik gemaakt wordt van de risico-analyse als middel om de focus van het management op risico’s te vestigen. Volgens mij is het risicoregister in de vorm van een rapport geschikter, maar het helpt ervoor zorgen dat het management de organisatie niet blind aanstuurt.

Een aantal hoofdstukken verder is er nog een ander fait-divers dat me helpt om aan awareness te doen: het fenomeen van advies vragen aan medewerkers van de organisatie, en dat kan bijvoorbeeld individueel of in een werkgroep. Let hierbij op. Vraag niet naar hun mening over de beveiliging en de veiligheid (want dat levert een situatie op van hun mening tov de uwe, en dus de muur wij-zij) maar hun advies en gebruik daarbij zeker het woord ‘advies’ zelf. Vraag dus niet ‘wat denk je ervan’ of zo want dan eindigt het gesprek in feite zonder echte medewerking. Als je hun advies hebt laten geven, vraag je hen om dat op mail te zetten. Volgens de psychologische experimenten zorgt een handeling, dat kan eender welke handeling zijn bovenop het mondeling geven van dat advies, voor een langer blijvend commitment. Belangrijk is wel dat het advies ook aantoonbaar ter harte genomen wordt. Dat geeft een extra boost, die de medewerker in een ‘medeplichtige’ verandert.

Tot slot blijft ook het fenomeen ‘locatiegebonden herinneringen’ bij. Bijvoorbeeld artsen zijn zeer moeilijke mensen. Als hen in de 19E eeuw gevraagd werd om de handen te wassen tussen elke twee patiënten  door, omwille van minder besmettingen, waren er velen die het niet deden. Het aanbrengen van een herinnering op de plaats van de behandeling van de patiënten deed hen echter deze handeling vaker doen. Gewoon omdat ze eraan herinnerd werden. Op de juiste plaats. Ik vermoed dan ook dat posters effectiever kunnen zijn als ze op de goede plekken worden opgehangen. Op de werkvloer dus eerder dan in de inkomsthal of het bedrijfsrestaurant.

Het boek is het tweede boek dat de auteur schreef over overtuigen. Zijn eerste boek over dit onderwerp droeg te titel ‘Invloed’.

De 4 geboden van risicomngt, de waarden van een organisatie en Informatieveiligheid

admin

Auteur: Manu Steens en Joris Bouve met dank aan Hilde Van Nijen

De belangrijkste bedoeling van informatieveiligheid is m.i. het risico-besef (awareness) van de medewerkers. De mens is immers de zwakste schakel. Risico-besef gaat zowel in twee richtingen. Enerzijds gaat dit over awareness van de business m.b.t. informatieveiligheid: waar knelt het schoentje en wat kan technisch en wat moet je zelf doen. Anderzijds gaat het ook over de awareness van de ICT mensen: wat moeten zij weten dat de business belangrijk vindt en wat niet. Meer doen is dikwijls onverantwoord en geeft aanleiding tot “geld over de balk gooien”.

Wat & Waarom?

Het doel van informatieveiligheid is zorgen voor de betrouwbaarheid van informatiesystemen.  Die betrouwbaarheid wordt bekeken vanuit volgende drie invalshoeken:

  • Vertrouwelijkheid (Confidentiality): het waarborgen dat informatie alleen toegankelijk is voor diegenen, die hiertoe zijn geautoriseerd
  • Integriteit (Integrity): het waarborgen van de correctheid en volledigheid van de informatie.
  • Beschikbaarheid (Availability): het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot de informatie/informatiesystemen

Dit kan natuurlijk alleen maar door een samenhangend pakket van maatregelen te treffen, te onderhouden en te controleren. Het gaat over het algemeen over informatie die is opgeslagen in informatiesystemen, maar ook opgeslagen kan zijn in papieren dossiers.

Het informatieveiligheidsbeleid van de organisatie is erop gericht om, op basis van risicomanagement, te verzekeren dat de informatie van de organisatie correct en volledig is en tijdig toegankelijk voor de geautoriseerde personen.

Hoe?

Om op een adequate wijze aan informatieveiligheid, te doen, moeten maatregelen uitgewerkt worden om de confidentialiteit (C), integriteit (I) en de beschikbaarheid (A: availability) te kunnen borgen.
Het is niet eenvoudig om hiervoor algemeen geldende criteria vast te leggen, omdat deze kunnen verschillen van departement tot departement binnen een organisatie, zelfs tussen teams binnen een departement kunnen de noden anders liggen.

Deze maatregelen moeten bovendien inspelen op volgende domeinen:

  • Mensen en Middelen,
  • Inhoud,
  • Systemen
  • Samenwerking (op procesniveau en overkoepelend).

Als hulpinstrument hebben wij hiervoor onderstaande matrix uitgewerkt. In deze matrix worden de vier domeinen benaderd vanuit de drie invalshoeken. Voor elke combinatie hebben wij een aantal richtvragen opgesteld. Voor deze richtvragen hebben wij ons geïnspireerd op de “vier geboden van risicomanagement” (zie verder). Met deze richtvragen kan ieder personeelslid aan de slag. Maar deze richtvragen zijn ook uitermate geschikt om een duidelijker zicht te krijgen op informatieveiligheid (zowel vanuit het standpunt van de “business” als vanuit het standpunt van IT).

Mensen en middelen Samenwerking op procesniveau en overkoepelend Systemen Inhoudelijk
C Wat deel je met wie? Welke toegangen heb je nodig? Kent iedereen de veiligheids-verantwoordelijke? Wat is de bedoeling van het management met hun informatieveilig-heidsbeleid? Blijft de vertrouwelijke informatie binnen vertrouwelijke kringen? Zijn deze kringen door iedereen gekend? Welke zaken moet je kunnen om tot de systemen toegelaten te worden? Is hiervoor een achtergrond-onderzoek nodig? Wie coördineert dit? Aan welke veiligheidsgerelateerde wetten moet je organisatie voldoen  (privacy, ISO-normen, BCM,…)?
I Heeft iedereen goede bedoelingen? Is hiervoor een achtergrond-onderzoek nodig? Zijn de processen uitgetekend en gecontroleerd op bugs en fouten? Werd de flow van het proces getest? Worden de systemen regelmatig onderhouden en getest? Is dat nodig? Hoe belangrijk is de juistheid van de inhoud? Gebruik je vrijwillige foutenintroductie ten behoeve van de vertrouwelijkheid?
A Welke mensen en zaken heb je nodig om je werk veilig te kunnen doen? Wat met een uitval van systemen? Mensen? Gebouwen? Faciliteiten? Leveranciers? Is er een Risicoanalyse gemaakt voor informatieveiligheid? Wie heeft fysieke toegang tot welke systemen? Wie heeft logische toegang tot welke systemen? Wanneer? Is er een SLA met leverancier? Wanneer heb je de informatie nodig? Zijn deze afhankelijk van het tijdstip in het jaar?

 

Antwoorden op deze vragen zijn dan de criteria waaraan informatieveiligheid binnen de organisatie moet voldoen.

De vier geboden van risicomanagement en vier waarden: openheid, daadkracht, vertrouwen en wendbaarheid

Risico-beseffend gedrag is terug te brengen tot de volgende vier geboden:

  1. Berokken jezelf geen schade, tenzij je er beter van wordt;
  2. Berokken niemand schade, tenzij hij/zij er beter van wordt;
  3. Maak niets stuk, tenzij je met de onderdelen iets beter kan maken;
  4. Grijp je kansen, tenzij dit in strijd is met regels 1, 2 of 3.

Deze vier geboden zijn

  • eenvoudig
  • gemakkelijk te onthouden
  • duidelijk toepasbaar

Bovendien zijn deze geboden vrij eenvoudig te linken aan de waarden van een organisatie. Ter illustratie geven we hier hoe deze passen binnen de waarden openheid, daadkracht, vertrouwen en wendbaarheid.

Openheid:

Regel 2: berokken niemand schade is hierop van toepassing. Bijvoorbeeld openheid van bestuur is maar geldig zolang iemand betrokken partij is. Ook de privacywetgeving huldigt dit principe dat een persoon beroep kan aantekenen tegen de verwerking van zijn gegevens. Bovendien staat de privacywetgeving vooral toe om met statistieken naar buiten te komen, niet om hart en ziel van een individu tegen zijn zin bloot te leggen. Er mag dus transparantie zijn, maar met de juiste mate: de mate waarin je niemand kwetst.

Daadkracht:

Regel 3: maak niets stuk en regel 4: grijp uw kansen. Daadkracht binnen de organisatie is scheppend bedoeld. Om de klant beter te dienen kan het evenwel nodig zijn om daadkrachtig te zijn en bestaande structuren af te breken en betere structuren te bouwen. Daarvoor moet men de wegen binnen de organisatie kennen om doeltreffend op te kunnen treden. En als men de doelen kent en de weg er naar toe, is het zaak om de kansen te grijpen.

Vertrouwen:

Regel 2: berokken niemand schade en regel 1: berokken jezelf geen schade. In de organisatie is het van ultiem belang dat iedereen in hen vertrouwen heeft. Dit geldt zowel voor de klant als voor de medewerkers. Je moet voldoende zelfvertrouwen hebben dat je de goede kant uit gaat met wat je voor de markt doet. Indien daarbij mensen elkaar zinloos pijn doen, zal dit vertrouwen snel geschonden worden.

Wendbaarheid:

Dit betekent dat bij regels 1 tem 4 steeds uitzonderingen kunnen horen.

Maar het betekent ook regel 4: grijp je kansen. Even afdwalen van de gekozen weg kan een aantal voordelen opleveren die je anders had laten liggen. Goed uitkijken naar opportuniteiten en deze aanpakken is dus eveneens de boodschap !