#19 - Risicomanagement goed doen (met Ravin Thakoersingh)
Ja, ja, ja, het is de hoogste tijd voor een nieuwe aflevering van Keytalking. En we gaan nog even door op het onderwerp risico management. Vorige keer ging het over risico analyses en daar heb ik een heel interessant gesprek over met Ravine. Hij is security manager bij de gemeente Utrecht. En Ravine weet niet alleen veel van risicomanagement af, maar hij gaat ook vrij ver in wat het dan betekent om echt aan risicomanagement te doen.
Renco:Namelijk je kan ook besluiten bepaalde maatregelen niet te nemen. En in deze aflevering verrast hij mij nogal omdat hij aan kwam zetten met een heuse keep talking pet. En wat daar het verhaal achter is ja, dat hoor je in deze aflevering of je checkte eventjes LinkedIn of Vimeo voor een kort filmpje van deze opname. Voor nu veel luisterplezier bij deze negentiende aflevering van Tuthochie. Tegen een steeds donker wordende skyline achter mij, die in dat opstaande Utrechtse skyline, ben ik hier weer met een nieuwe aflevering en dus ook met een nieuwe gast.
Renco:En voor de mensen die dit promofilmpje kijken, die zien meteen wie dat is, herkennen het natuurlijk ook meteen. Niemand minder dan Ravin, welkom.
Ravin:Dankjewel, Renco.
Renco:Ik heb denk ik nog nooit iemand zo ronkend aangekondigd als jou net.
Ravin:Nou fijn, bedankt.
Renco:Ook wel terecht toch?
Ravin:Nou, dat zeg jij dan. Geen idee. Ik werk best wel prettig met elkaar samen, dus
Renco:Ja, want dat is meteen wel leuk om even mee te beginnen. Wij kennen elkaar van die gemeente die ik net al noemde, De gemeente Utrecht. Nemen deze aflevering ook op in een ruimte van het stadskantoor van de gemeente Utrecht. Dus achter mij op de video zie je inderdaad die skyline van Utrecht die langzaam donker wordt, omdat we dit aan het eind van de dag opnemen. Ravin, kan je iets over jezelf vertellen en hoe wij elkaar eigenlijk kennen?
Ravin:Zeker, ja. Nou, ik ben Ravin Takoersing, IT security manager bij gemeente Utrecht. Ik op de centrale IT-afdeling, Domstad IT zoals we dat zo mooi hebben genoemd. En in de rol van security manager ben ik eigenlijk verantwoordelijk voor een aantal processen rondom gegevensbescherming. Vanuit het expertteam gegevensbescherming, we de voorzieningen van Domstad-idee, daar ga ik zo wat meer over vertellen.
Renco:Ik wou zeggen, je introduceert meteen allemaal woorden die uitleg nodig hebben.
Ravin:Ja, we begeleiden eigenlijk met alle activiteiten op het gebied van gegevensbescherming.
Renco:Ja, oké, dus eerst even uit te pakken gegevensbescherming. Wat is dat?
Ravin:Gegevensbescherming is informatiebeveiliging en privacy. Utrecht is zo georganiseerd dat ze die functies gecombineerd hebben. Zo hebben we dat ook in het expertteam van Domstad IT geregeld, dat we eigenlijk verantwoordelijk zijn voor informatiebeveiliging en privacy vraagstukken.
Renco:Oké, en het expertteam, dat is een team van experts, de naam doet het al een beetje vermoeden, dat zijn dus experts op het gebied van informatiebeveiliging en privacy?
Ravin:Correct, ja. En specifiek dan zijn dat IT security officers, privacy officers en security manager.
Renco:En die laatste, dat ben jij?
Ravin:Correct,
Renco:ja. Oké, en daarna gebruikte je ook nog het woord voorzieningen. Wat zijn dat?
Ravin:Nou, ik had net al uitgelegd Domstad-IT, dat is de centrale IT-afdeling van gemeente Utrecht. Wij verzorgen IT-dienstverlening aan de organisatiedelen, zeg maar de verschillende afdelingen binnen de gemeente. Daarnaast ook een aantal overheidsinstanties hier in de regio.
Renco:Een aantal dingen voeren we ook uit voor de omliggende gemeentes?
Ravin:Voor de omliggende gemeentes, maar ook denk aan die specifieke dienstverlening voor de politie, lokale belastingkantoor, dat soort instanties. Die dienstverlening is opgeknipt in verschillende voorzieningen. Ik noem het even een stukje dienstverlening. Bijvoorbeeld cloud is een voorziening, werkelijke voorziening, connectiviteit, data.
Renco:Het zijn eigenlijk verschillende subafdelingen binnen de centrale IT-afdeling.
Ravin:Die specifiek verantwoordelijk zijn voor dat stukje IT-dienstverlening inderdaad.
Renco:Oké, en die IT-security officers, wat hebben die als primaire taak?
Ravin:De IT-security officers ondersteunen de voorzieningen eigenlijk op het gebied van gegevensbescherming En dan houden ze zich specifiek bezig met het beheersen van risico's en het het voldoen aan wet- en regelgeving. En daaromheen natuurlijk nog allerhande werkzaamheden rondom begeleiden van pentests, audits, advies geven in inkooptrajecten, awareness sessies houden, eigenlijk heel breed.
Renco:Kwetsbare analyses?
Ravin:Kwetsbare analyses zit meer aan de operationele kant, security operations inderdaad. Maar op het moment dat dat traject niet lekker loopt en dat er wat geëscaleerd gaat worden, dan komen de IT security officers in beeld. Even, Remco, sorry dat ik je toch even onverwacht inbreek in jou in deze dialoog. Met welke Remco zit ik hier aan tafel? Want ik ken je natuurlijk vanuit verschillende rollen.
Ravin:Het grapje die we altijd maken is van: hé Remco, welke pet heb je nu dan op?
Renco:Ik snap wel dat die vragen ook kan leveren. Dat is een goeie. Met welke pet zit ik hier aan tafel? Ik zit hier aan tafel met de pet dat ik adviseur ben, zelfstandig adviseur ben bij mijn eigen adviesbureautje waar 1 medewerker werkt. Dat ben ik zelf.
Renco:Ja. Dat heet Keep it safe en en de naam van deze podcast is Keep Talking. En vanuit dat bureau detacheer ik mezelf bij opdrachtgevers en ik heb dan een mezelf toegespitst op gegevensbescherming. Alleen buiten de Utrechtse grenzen praten we dan gewoon over informatiebeveiliging en privacy en dan specifiek bij de lokale overheid. Dus ik heb de afgelopen 10 jaar bij lokale overheid gewerkt en ken in die hoedanigheid de gemeente Utrecht ook goed, want daar vervul ik op dit moment ook een opdracht.
Renco:2 opdrachten eigenlijk.
Ravin:Vandaar die petten inderdaad.
Renco:Ja, ja, ja, ja, Je maakt me verlegen.
Ravin:Ik heb een klein cadeautje voor je. Sorry dat ik toch even. Een pet voor jou inderdaad met Keep it Safe als podcaster.
Renco:Dat is wel gaaf ja. De mensen die dit alleen luisteren, die zien het natuurlijk niet, maar dan moet je maar het videootje op LinkedIn kijken. Ik krijg een keep it safe podcaster pet. Nou die ga ik direct, die ga ik direct op doen. Ik had ook kunnen weten dat ik met jou geen podcast dat dit zoiets zou kunnen gaan gebeuren.
Ravin:Ja, sorry voor deze interruptie, maar Nee.
Renco:Hoe vind je hem staan?
Ravin:Perfect ja, super. Staat je heel goed.
Renco:Oké, dus er is nu geen verwarring meer.
Ravin:Nee, niet.
Renco:We zitten aan tafel met Reco de podcaster.
Ravin:Ik
Renco:vind dit wel een leuke verrassing. Maar omdat ik dus ook voor de gemeente Utrecht werk, daar kennen we elkaar van. Daar hebben we natuurlijk, ik heb jou ook gevraagd of je het leuk vindt om te komen podcasten. Dat leek je wel wat en dan is natuurlijk de volgende vraag. Hé, waar zullen we het dan eens over hebben?
Renco:Want je kunt het over van alles en nog wat hebben als het gaat over ons vak. En toen kwamen we eigenlijk al vrij snel op het onderwerp risicomanagement. De vorige aflevering die ik heb opgenomen met Lannie ging over het doen van risicoanalyses. Hoe doe je nou een goede risicoanalyse en hoe zorg je er nou voor dat zo'n risicoanalyse ook wat oplevert voor die business? In plaats van dat het alleen maar tijd vraagt.
Renco:En in deze aflevering gaan we wat mij betreft verder hebben over mooi dat die risico's boven komen drijven. Die heb je geïdentificeerd, maar dan ben je er nog niet. Want wat je wil is dat die risico's ook beheerst worden, behandeld worden. Nou ja, dat is een heel vak op zichzelf. Wat heb jij met risicomanagement, Ravin?
Ravin:Racicomanagement is in ieder geval binnen het expertteam een proces om ervoor te zorgen dat inderdaad die risico's beheerst worden. Wat ik er zelf mee heb, ik vind dat een interessant onderwerp. Even los van het vakgebied kan het gewoon gebruikt worden om juiste keuzes te maken. Dus als je enerzijds het risico hebt, die loop je omdat je anderzijds ook voordelen kan halen om het risico te lopen. En risicomanagement is voor mij een instrument om jou daarin te helpen de juiste keuzes te maken.
Ravin:Enerzijds van het risico lopen, versus anderzijds de voordelen die je kan behalen omdat je het risico loopt inderdaad.
Renco:Dat vind ik wel een interessante, want voordelen behalen om risico's te lopen. Dat hoor je toch in ons vakgebied informatiebeveiliging niet vaak?
Ravin:Nee, het is misschien een beetje vaag uitgedrukt, maar om toch een voorbeeld te noemen: als je bewust risico's neemt, betekent dat dus dat je minder tijd kwijt bent, bijvoorbeeld aan het inrichten van maatregelen, of dat je meer geld te besteden hebt omdat je risico's bewust hebt geaccepteerd. Dus dat is een soort businesscase die je maakt, wegen die kosten van het beheersen van het risico op tegen de baten die je neemt.
Renco:Jij moet toch als security manager wel mateloos populair zijn? Want jij denkt op voorhand al mee in, zeg maar, of er een gezonde balans is tussen de kosten in tijd of geld van de maatregelen versus de reductie in risico. Ja, ja. Want waar de meeste security offices goed in zijn, is in ieder geval het identificeren van de risico's en ook het classificeren van die risico's. Is het nou het risico hoog, zeer hoog, laag, midden, whatever?
Renco:Kwalitatieve risicoanalyse. Maar daarna leveren we het vaak weer op terug aan de lijn, zeggen we dan. Dus aan de teamleider of het afdelingshoofd, de proces- of systeemeigenaar met de boodschap: nou, dit is het risico, er moet wat gebeuren. Ik chargeer natuurlijk hè, hartelijke goede security officer. Maar daarmee heb ik wel eens het idee dat we die eigenaar ook wel knap lastig maken, want die heeft, ja die kan andere dingen goed, maar informatiebeveiliging en risicomanagement niet per se.
Renco:Dat, is dat ook waar jouw dienende risicomanagementhouding vandaan komt? Of zit daar een andere overtuiging achter?
Ravin:Het is meer het bewust maken, denk ik. Het risicobewustzijn creëren van oké, snap jij inderdaad op het moment dat jij deze risico's loopt wat daar de gevolgen van zijn en vind jij, noem het maar even, het waard om dat risico te lopen versus noem het toch maar even, dat voordeel wat je hebt door je tijd of je geld aan andere zaken te besteden. Dat we ze daarin helpen om heel scherp te krijgen: oké, maar wat is dan het risico? Wat zijn dan de gevolgen inderdaad? Wat is de impact op jouw dienstverlening?
Renco:En is het jou dan om het even wat die eigenaar, die risico-eigenaar dan beslist?
Ravin:Ik twijfel een beetje bij elkaar. Nou ja, gewetens, noem ik het even. De twijfel zit hem met name in het stuk. Is het eigenaarschap, het risico-eigenaarschap op het juiste niveau belegd? En wat je soms ziet en wat lastig is, hè, van dat iemand risico's accepteert terwijl hij eigenlijk de gevolgen op een hoger niveau of van iemand anders accepteert.
Ravin:Dus je moet wel heel scherp hebben wie is dan eigenaar van het risico en is die zich wel bewust dan van het risico wat hij of zij accepteert.
Renco:Dus je mag niet een te grote broek aantrekken bij het accepteren van die risico's. Juist, ja. Ik hoor jou ook zeggen, als aan die voorwaarden voldaan wordt, dan ben jij ook oké met het feit dat die eigenaar dat risico voor een bepaalde tijd accepteert. Ja, zeker. Dan werkt het proces ook.
Ravin:Dat is onderdeel van het proces, absoluut.
Renco:Ja, dat vind ik wel interessant, want de meeste scuralty officers zullen toch een soort inborst hebben dat er toch vooral maatregelen genomen moeten worden, omdat die risico's, gereduceerd worden. Ik
Ravin:stel het nu misschien heel zwart-wit, maar natuurlijk zit er ook een heel grijs gebied tussen. Vaak heb je wel meerdere opties of keuzes om een risico te behandelen. In de meeste gevallen is het ook gewoon een verplichting of zijn het maatregelen die vrij eenvoudig te realiseren zijn. En dan leg je die wel voor en dan wil je natuurlijk wel dat er opvolging aan wordt gegeven. Ja, dan vraag je je soms wel af van: hé, waarom neem je niet gewoon die maatregelen ten opzichte van het maar klakkeloos accepteren van zo'n risico?
Renco:Ja, dus helemaal blanco is misschien, gaat iets te ver, dat het je helemaal wel met Eva is. Dat is ook een beetje gewetensvraag natuurlijk. En wat is jouw ervaring? Het hoeft niet per se iets zonder de gemeente Utrecht te zijn, maar wat is jouw ervaring met eigenaren die dit zo door jou opgeleverd krijgen? Van nou, dit zijn de risico's en dit zijn de maatregelen die we accepteren.
Renco:En als je die niet neemt, zijn dit de consequenties voor het bedrijfsproces die je dan dus accepteert als je niks doet. Je presenteert dat aan een eigenaar. Kan hij daarmee uit de voeten? Vindt hij dat prettig?
Ravin:Ja, over het algemeen wel ja. Het wordt wel gezien als een onderdeel inmiddels van besluitvorming. Dus wat ga ik doen? Welke maatregelen ga ik nemen? Welke prioriteiten ga ik stellen?
Ravin:En dat geeft hun ook in ieder geval wel genoeg houvast om enerzijds te voldoen aan wet- en regelgeving op het gebied van informatiebeveiliging en privacy, maar anderzijds ook echt wel goed na te denken over: wil ik dat wel of wil ik wel die prioriteiten op dat gebied Ja, op dat gebied leggen inderdaad.
Renco:Want dat is rekening houdend met het feit dat we altijd met beperkte middelen werken. Dus die eigenaar, die kan diezelfde euro, kan die op datzelfde uur, die wil die misschien Je concurreert eigenlijk altijd. Ja.
Ravin:Dat is ook een beetje het principe van Ik weet niet waar ik dat een keer op een training heb gehoord van wat is genoeg informatiebeveiliging? Ja, en dan is het antwoord net genoeg om inderdaad beschermd te zijn op het op het juiste niveau. Als je te veel beveiliging in regelt, dan doe je denk ik ook iets niet goed, want dan ben je aan het over beveiligen en dus je tijd en je geld niet efficiënt aan het benutten.
Renco:Ja, en je loopt ook het risico dat je die business aansluiting kwijtraakt, denk ik. Als mensen het gevoel krijgen dat het voor een informatiebeveiliger eigenlijk nooit genoeg is. Het kan altijd veiliger. Dan denk je, nou ja, dan hoef ik ook niet echt meer naar je te luisteren, want het is eigenlijk onverzadigdbaar. Een andere vraag, want we hebben het over het proces van risicomanagement waarbij we zeggen: we brengen de risico's in kaart, die identificeren we, die analyseren we.
Renco:En die presenteren we weer terug aan die eigenaar met ook een advies. Ons advies is bijvoorbeeld: mitigeer het risico door het nemen van deze maatregelen. Dat klinkt allemaal heel verstandig. Maar we hebben aan de andere kant die baseline informatiebeveiliging overheid. Waar we zeer binnenkort een versie 20 van verwachten.
Renco:Die zegt nou, wij definiëren in dat normenkader een ondergrens. Ja. Daar moet je sowieso aan voldoen. En ik heb het altijd, ik probeer altijd die vraag er weer in te sneaken als ik een podcast opneem. Altijd wat moeite mee gehad.
Renco:Hoe breng je die 2 werelden nou bij elkaar in het perspectief van die eigenaar? Want die krijgt aan de ene kant te horen van jou in dit geval: risicoanalyse, het stuur is in jouw handen. Je mag naar links sturen, dan gaan we maatregelen nemen, die kosten geld. Maar je mag ook naar rechts sturen, dan accepteer je tijdelijk, dan gaan we voorlopig nog even niks doen. Maar dan accepteer je dus ook een bepaalde impact of een onzekerheid in je bedrijfsproces.
Renco:Dat is aan de ene kant. Ja. De andere kant, we moeten de bio implementeren. En deze SWIK aan maatregelen staat op jouw naam. Wanneer ben je klaar?
Renco:Hoe breng je die 2 werelden nou op een logisch samenhangende manier bij elkaar?
Ravin:Ik denk dat die werelden niet eens zo heel gek ver van elkaar liggen, want uiteindelijk ben je bezig met het implementeren van maatregelen, van controls. Dus vanuit wet- en regelgeving heb je de verplichting om aan die maatregelen te voldoen of aan die controles te voldoen. Door middel van risico's ben je ook door middel van die maatregelen ervoor zorgen dat die risico's beheerst worden. Ik denk dat daar de gemene deler zit inderdaad, dat je een overlap zal hebben van de risico's die je loopt en wet- en regelgeving waaraan je moet voldoen. En dat je risicomanagement, noem het even maar als stuur, kan gebruiken waar je de focus op gaat leggen of de prioriteiten op gaat leggen.
Renco:Dus het zijn eigenlijk 2 routes waarlangs je tot vergelijkbare maatregelen kan komen. Want ook die maatregelen die jij in je advies om het risico te mitigeren opneemt, die zal je waarschijnlijk voor een groot deel putten uit die bio. Uiteraard. Toch? Ja, er zijn nog wat andere normenkaders die je natuurlijk kan gebruiken.
Renco:Maar die bio is wel een hele usual suspect. Ik ben even een hele dwarse eigenaar. Elke keer als jij mij een advies geeft, dan zeg ik: ik accepteer gewoon. Ik accepteer de risico's gewoon. Dan gaan we er ook nog even vanuit dat ik niet een te grote broek aandoe.
Renco:Ik accepteer ook alleen de risico's voor de voor het informatiesysteem waar ik de eigenaar van ben. Elke keer als jij met een risico komt, vanuit de kwetsbaarheid of wat dan ook, dan zeg ik oké, het is mij duidelijk. Ik accepteer hem. Ja. Voor nu een de maximale termijn van een jaar.
Renco:Over een jaar kijken we er nog een keer naar. En dan een jaar later dan kijk ik er nog een keer keer naar en dan zeg ik nou ik accepteer hem weer. Ja. Hoe? Dit is natuurlijk een extreem voorbeeld hé, dat begrijp ik hé, maar probeer even de spanning erin te brengen.
Renco:Die eigenaar voldoet natuurlijk niet aan de bio. Ja. Is dat oké?
Ravin:Dat is niet oké, want we zijn verplicht om aan wet- en regelgeving te voldoen. Aan de andere kant, ik kom het meerdere malen ook terug in jouw podcast inderdaad, is een continu traject inderdaad. Het moment dat je volledig 100 procent voldoet aan die wet- en regelgeving, dat zal waarschijnlijk nooit gebeuren. Is het oké? Ik vind dat ook een beetje gewetensvraag, maar ik zou zeggen: het is oké, maar als je wel bewust bent van inderdaad welk risico je loopt.
Ravin:Ook het risico aan niet compliant zijn is ook iets wat je expliciet zal moeten accepteren. Daar zit ook gevolgen aan.
Renco:Niet voldoende wet- en regelgeving introduceert ook weer bepaalde risico's. Een toezichthouder kan optreden.
Ravin:Of
Renco:je krijgt bijvoorbeeld te maken met een grote beveiligingsincident doordat je natuurlijk die maatregel niet neemt. Uiteindelijk loop je dan risico's en als je pech hebt, sta je er een keer slecht op. Eens. Met imagoschade, financiële schade, noem het allemaal maar op.
Ravin:Dat kunnen ook risico's zijn inderdaad, omdat je niet voldoet aan de bio of onder de wet- en regelgeving.
Renco:En als jij nou moet kiezen tussen risicomanagement of voldoende bio, wat voor kleur herken je dan?
Ravin:Nou, je bent wel echt van de instelling. Nee, dan kies ik toch voor risicomanagement inderdaad. Waarom? Omdat het veel tastbaarder is. Wet- en regelgeving gaat ook heel vaak om het implementeren van maatregelen waar je, ik noem het even als IT-dienstverlener, voor dat specifieke stukje, misschien heel weinig mee te maken hebt.
Ravin:En risicomanagement gaat echt vaak, of gaat bijna altijd, om het continueren van je dienstverlening.
Renco:Dus dat is gerelateerdbaar? Dat begrijp ik beter, waar het over gaat en waarom we het doen. En als ik het niet doe, welke impact dat dan kan hebben op mijn dienstverlening. Dat wil ik dan niet. Dus snap ik dat er maatregelen moeten worden genomen en snap ik ook dat dat tijd en geld kost.
Renco:Precies. We zouden dan, als we het dan hebben over hoe die 2 werelden bij elkaar komen, zou je kunnen zeggen dat het risicomanagementproces inderdaad stuur in handen geeft van die eigenaar. Niet met de bedoeling dat hij 180 graden kan bijsturen en weer achteruit kan. Maar middels dat risicomanagementproces kan hij wel degelijk veel invloed uitoefenen in de volgordelijkheid van die maatregelen. Juist, ja.
Renco:Toch? Dat is eigenlijk een beetje de middenweg.
Ravin:Zeker, ja. En ook, hoe zwaar zet je in op die maatregelen? Want de bio schrijft niet per se in voor hoe je bepaalde maatregelen moet gaan implementeren. Je hebt daar ook verschillende instrumenten in om het volwassenheidsniveau van zo'n type maatregel of van een control aan te geven. Wil je dat op het lager niveau hebben?
Ravin:Of zeg je van: ik wil daar volledig in control zijn? En door die risico's in ieder geval inzichtelijk te hebben en die te koppelen aan de maatregelen, kun je dus ook daar op gaan sturen van: nou ja, hoe zwaar deel ik aan zo'n maatregel en hoe wil ik hem gaan invullen?
Renco:En dat is dan de meer volwassen manier eigenlijk om daarmee om te Want om even dat wat in te kleuren, ondertussen zit ik mezelf af en toe in de videobeeldschermpje met die mooie petten op. Dus ik moet even een beetje wennen aan het beeld. Nou ben ik alleen kwijt. Ja, dan ben ik natuurlijk weer kwijt wat ik wilde gaan zeggen. Nee, nee, het is ook Maar ik heb nog wel een andere vraag.
Renco:Wat heb je dan in petto zeg maar, wat heb je bedacht, uitgerold om die risico's te monitoren? Want je hebt op een gegeven moment ze inzichtelijk, spreekt af wat voor mate van behandeling je doet. We gaan maatregelen nemen of we gaan accepteren. Het kan best wel lastig zijn om zicht te houden op al die risico's over de langere tijd. Je kunt nu accepteren en als jij er niet meer over begint, begin ik er ook niet meer over.
Renco:Het is natuurlijk de kunst om die eigenaar die risico's wil nemen af en toe ook te confronteren met, wil je dat nog steeds? Misschien is er wel voortschrijdend inzicht, waardoor je nu zegt, mijn advies van toen was dit, maar, kijkend naar deze gebeurtenissen. Afgelopen week kwam het nieuwe CSBN online, het Cyber Securitybeeld Nederland.
Ravin:Dat heb nog niet gelezen.
Renco:Ik ook niet, maar er staan ongetwijfeld weer dreigingen in, waardoor je advies misschien verandert. Hoe houd je dan grip op de beheersing van al die risico's, op die verschillende informatiesystemen bij al die verschillende voorzieningen binnen die centrale IT-organisatie? Dat lijkt me best een uitdaging.
Ravin:Is het zeker inderdaad. En dat is ook niet in 1 zin uit te leggen. Maar misschien wel, hè? Je moet een goed werkend proces daarvoor hebben. Wat is een goed werkend proces?
Ravin:Er zijn verschillende methodieken voor het uitvoeren van risicomanagement. Je hebt ook een aantal internationale standaarden. ISO-norm is normenkader voor risicomanagement. En dan heb je 27005, dat is weer een afgeleide specifiek voor risicomanagement voor informatiebeveiliging. Maar goed, wat al die methodieken gemeen met elkaar hebben, dat je ze eigenlijk systematisch volgens bepaalde procedure, ook in, noem het even cycli inderdaad, dat hele proces gaat doorlopen.
Ravin:En dat begint inderdaad bij het identificeren van zo'n risico, waaronder: leg vast inderdaad dat het risico er is. Daar hoort natuurlijk ook bij wie is dan eigenaar van het risico? Wie is verantwoordelijk voor eventuele gevolgen van het risico? Dat hoort allemaal bij het eigenaarschap. Dus ook die rollen zul je in dat proces moeten beschrijven, in ieder geval moeten vaststellen.
Ravin:Na het identificeren zit je in de analysefase, of ik noem het eigenlijk beoordeling, waarbij je kans, impact, risicomanagement komt.
Renco:Waar ik eerder naar refereerde als de classificatie van een recept.
Ravin:De classificatie inderdaad, Daarin bepaalt en op basis daarvan ook de maatregelen voorstelt. Noem het even de respons. Dus wil je het risico gaan vermijden, wil je het risico gaan beperken, wil je het risico gaan accepteren, daarin vastlegt. Risicocommunicatie is ook een hele belangrijke stap in het 27005
Renco:maand. Wat is dat, risicocommunicatie?
Ravin:Risicocommunicatie is eigenlijk dat je continu in gesprek bent met de stakeholders: dit is het risico, dit zijn de maatregelen die wij voorstellen, dit is de termijn dat we verwachten dat er actie wordt genomen en dat je er eigenlijk continu met ze in gesprek bent om ze op de hoogte te brengen van het risico, maar ook om weer aan de andere kant input te krijgen van hoe zit het met die maatregelen? Zijn die maatregelen wel effectief? Hebben we nu dat risico beheerst?
Renco:Dus bekijk het, je adviseert die maatregelen, maar je stelt dus ook vast: slagen we erin om met die maatregelen het risico daadwerkelijk te verkleinen? Ja. Want dat is natuurlijk wat je beoogt.
Ravin:Correct, ja. En in dat communicatie, ik zit even na te denken hoor of dat ook onderdeel is, volgens mij is monitoring en communicatie is 1 processtap binnen dat framework. Maar ook dat monitoren, dat is inderdaad gewoon een overzicht hebben van je risico's op elk moment, waardoor je dus het risicoprofiel hebt van eigenlijk je organisatie. In ons geval dan de IT-dienstverlening.
Renco:Dat risicoprofiel is eigenlijk een optelsom van al die risico's en de behandeling daarvan.
Ravin:Daarop verder sturen. Dus op het moment dat risico's Je maakt dan anders afspraken op basis van de classificatie. Wil je dat bepaalde risico's binnen een bepaalde termijn zijn afgehandeld, dan nog geaccepteerd?
Renco:En maak je dus vooraf afspraken over. Dit is hoe het bij ons werkt, dat risicomaxment proces. Dus als we zeggen het risico is hoog geclassificeerd, dan accepteren we bijvoorbeeld niet dat een eigenaar er een half jaar over doet om na te denken wat hij ermee wil.
Ravin:Correct, Dan maak je inderdaad gewoon strikte afspraken over van een hoog risico, moet binnen zoveel tijd worden afgehandeld, een gemiddeld risico binnen zoveel tijd, een laag risico binnen zoveel tijd. Maar goed, het niveau daaronder nog, dat valt binnen de risicotolerantie, zoals we dat dan mooi noemen.
Renco:Die risk appetite. Juist. En die grenswaarden, zeg maar, waar we het nu even over hebben, die worden niet hard voorgeschreven vanuit die normen die je net aanhaalt, dat is meer de organisatiecontext die je zelf moet toevoegen. Hoe zien we dit met elkaar? Ja.
Renco:Hé, en nog even een verdiepende vraag. Jij noemde net eerder, toen je dit uitlegde had je het over rollen. Kan je deze een aantal voorbeelden geven van rollen in het risicomanagementproces?
Ravin:Nou, ik heb die heel simpel gehouden. In ieder geval de manier waarop we dat binnen Domstad IT hebben georganiseerd. Je hebt een risico-eigenaar, dat is degene die verantwoordelijk voor het risico, die zorgt voor de tijdelijke afhandeling van de risico binnen die gestelde termijnen.
Renco:Voor mijn beeld, dat is een teamleider of een afdelingshoofd? Iemand in de lijn?
Ravin:Ja, ik had het in het begin over die voorzieningen inderdaad. En dan in de regel ben je verantwoordelijk als lijnmanager voor die voorziening en automatisch dan ook met die verantwoordelijkheid risico-eigenaar voor alle gegevensbescherming.
Renco:Als die functie ben je ook Precies. Dus dat is 1: een risico-eigenaar.
Ravin:Dat is de risico-eigenaar en daarnaast de risicomanager. Dat is een rol die wordt gevuld door de security officers binnen het expertteam. En zij zorgen voor de begeleiding van het hele proces. Dus het helpen met het identificeren van het risico, het vastleggen in het risicoregister, eigenlijk alle registraties daaromheen, het maken van die beoordelingen. Daar hebben templates voor formulieren om dat in te vullen.
Renco:Zij stellen eigenlijk die risico-eigenaar in staat om die verantwoordelijkheid op een efficiënte manier uit te voeren.
Ravin:Nemen inderdaad. Maar ook aanjager zijn in het proces. Dus op het moment dat zij zien van hé, maar er gebeurt hier niet veel op dit risico, maar we vinden wel dat het bepaalde prioriteiten heeft, dan gaan zij daarop aansturen dat zo'n risico-eigenaar daar werk van gaat maken.
Renco:Dat die beweging komt. Juist. Ben je grofweg tevreden over hoe je het uitgedacht hebt versus hoe het werkt. Ik merk dat ik mijn opdrachten wel eens wat bedenk ook en dan valt het tegen. In de zin dat je altijd best wel veel mensen mee hebt te nemen in iets wat voor hen nieuw is.
Renco:Vaak lijnmanagers hebben een enorme span of control. En ja, daar is maar een stukje van informatiseringen, of informatievoorzieningen, en stukje daarvan is weer gegevensbescherming. Ja, voor ons is het wat wij doen. Maar je zit natuurlijk vaak met anderen die ook moeten doen. Dat wil niet zeggen dat iedereen het puur als een moetje ziet, maar het is niet zo'n hoofdtaak.
Renco:Lukt het ook om dat hoe je het uitgedacht hebt, om dat aan de man of aan de vrouw te brengen?
Ravin:Ja, ik ben daar best tevreden over. Ik denk vooral dat het belangrijk is om ze uit te leggen waarom we het doen. En ook niet gelijk al te veel grote stappen nemen. Dus we zijn ook heel eigenlijk stap voor stap gegaan. We gaan eerst de risico's vastleggen, dan gaan we een bepaald formulier gebruiken om ze te beoordelen, dan gaan we de monitoring doen, dan gaan we de reguliere gesprekken met elkaar inplannen.
Ravin:Eigenlijk stapje voor stapje ze wegwijs maken in hoe wij dat proces hebben uitgedacht.
Renco:Niet meteen de hele 31000-norm over ze uitstorten?
Ravin:Nee, dat gaat denk ik niet werken, want dat is voor hun gewoon een hele nieuwe wereld. En op het moment dat je dat op deze manier doet en uitlegt en elke stap ook uitlegt waarom je het doet en wat het doel daarvan is, dan wordt dat best wel goed geaccepteerd, geadopteerd ook. Ik denk ook wel dat het proces nu goed zijn werk ook doet. Want je ziet ook dat die risico-eigenaren heel bewust omgaan met het behandelen van die risico's. Is wel iets waarop ik echt nu actie moet gaan ondernemen, want ik zie nu wat voor impact dat kan hebben.
Renco:Nou, wat ik er wel heel sterk aan vind als ik jou dit hoor vertellen is dat dit proces die eigenaar maximaal in de positie brengt om te acteren. Ik heb nog wel eens het idee in ons vakgebied dat we zelf het probleem komen uitleggen aan de eigenaar en dan ook nog uitleggen hoe ze het kunnen oplossen en dan vervolgens het gaan oplossen, waardoor je een soort parallelle wereld creëert waarbij die lijnmanager denkt nou ja, oké, ik snap dat dit moet kennelijk allemaal, maar het gaat niet echt leven voor die ander. Terwijl als je vanuit risico, dat dat heb je, wat ik net vertelde, daar heb je nog het meeste als je vanuit wet- en regelgeving Ja, klopt. Dit aanvliegt zeg maar. Ja, zie aan je dat je het herkent.
Renco:Maar als je net langs de as van risico's doet, dan wordt het herkenbaar, relateerbaar. Is het ook in een keer wat logischer dat die lijnmanager zelf wat gaat doen. Hè, dat die zelf gaat sturen. En als je ook ziet dat het dan op een gegeven moment lukt om een risico beheerst te hebben, dan kun je hem afstrepen, zeg maar. Of in ieder geval voor de time-being.
Renco:Ik vind dat er wel sterk aan dat het voorkomt dat je zelf de hele tijd ermee blijft lopen, zeg maar.
Ravin:Precies. Je
Renco:trekt de inhoud en het proces eigenlijk uit elkaar. Je zegt: ik ben wel van het proces, maar de inhoud, daar ben jij van.
Ravin:Exact. Ja, en dat is het mooie inderdaad ook. Zijn heel erg ook ja, noem je dat? Ze voelen zich ook dan echt verantwoordelijk en ze voelen zich ook echt eigenaar van het risico van: hey, ik moet hier echt wat mee. Want dit heeft wel degelijk impact op op wat ik hier doe, ik wat ik aan dienstverlening lever inderdaad.
Renco:Ja, dat moet toch wel, dat merkte ik ook in de vorige aflevering over de risicoanalyses, dat dat de sleutel is zeg maar wat maakt de risicoanalyse goed als je tot risico's weet te komen die duidelijk te relateren zijn aan het verantwoordelijkheidsgebied van zo'n manager. Anders blijven het abstracte risico's die vooral een informatiebeveiliger ziet, en die dan ook vooral de informatiebeveiliger eigenlijk mag gaan oplossen. Of in ieder geval iemand anders. Nou, dus dit 2 afleveringen over risicoanalyses en risicomanagement. Dit is wel wat ik heel duidelijk in ieder geval Nou
Ravin:fijn dat dat overeenkomt inderdaad. Nee, maar dat is wel Ik denk dat je dat goed samenvat inderdaad. Door ze bewust te maken van de
Renco:impact op hun proces. Gerwin, dankjewel voor dit kijkje in jouw hoofd in de keuken. Een beetje ook in de keuken van de gemeente Utrecht. Over hoe je risicomanagement stap voor stap voor stap invoeren en waar je vooral op moet letten. Dank je wel, dank je wel ook voor de pet.
Ravin:Ja, jij ook bedankt Trenco en graag gedaan. Staat je goed.
Renco:Wordt het nu ook de voorkeur dat we elkaar zien, zie je mij niet in deze hoedanigheid. Dus dan kan ik de pet thuis laten.
Ravin:Ja, prima joh.
Renco:Mooi hoor. Ja en of ik nu bij elke toekomstige aflevering die pet op ga doen, daar beraad ik mij nog even op. Maar ja, het antwoord daarop hoor je natuurlijk niet via je podcast app, maar gewoon door eventjes op LinkedIn of op Vimeo de huidige promofilmpjes te maken, want Keep Talking wordt met ingang van dit derde seizoen ook elke keer opgenomen. Voor nu leuk dat je weer luisterde naar QTalking en ik hoop uiteraard dat je er over een maand weer bent als er een nieuwe aflevering online verschijnt. Tot dan.
