Kort Risicomanagement instrumenteel voor verhogen weerbaarheid Zowel de belangen van organisaties als die van aanvallers zijn onderhevig aan verandering. Dat maakt dat een duidelijk beeld van het verschuivende dreigingslandschap en doorlopende aandacht voor risico’s essentieel is. Weerbaarheid is immers het vermogen om relevante digitale risico’s tot een aanvaardbaar niveau te reduceren. Een brede blik op risico’s is van belang om te kunnen zeggen dat organisaties, ketens en staten een voldoende niveau van weerbaarheid hebben. Deze brede blik kan worden bereikt middels Risicomanagement. Traditioneel gezien wordt het management van technologiegerelateerde risico’s belegd binnen de ICT-afdeling. Dat maakt de kloof tussen technisch experts en de business groter. In plaats daarvan kan Risicomanagement gezien worden als een teamaangelegenheid. Management van digitale risico’s dient te gebeuren in samenspraak met de business, waarbij partijen aan horen te sluiten zoals business continuity managers, risicomanagers, proceseigenaren en domeinexperts. Voorbeelden van waar dit niet is gebeurd, laten zien dat basale problemen anders tussen wal en schip kunnen vallen. Verder is, naast het belang van een goede samenwerking tussen disciplines, een samenwerking tussen de verschillende lagen van een organisatie essentieel. De verkenning en aanpak van
strategische, tactische en operationele risico’s dient namelijk goed op elkaar afgestemd te zijn. Investeren in mensen vormt het fundament Risicomanagement is een specialisme. Daarom kan van bestuurders (en van mensen die de dagelijkse verantwoordelijkheid dragen voor digitale processen en de bijbehorende risico’s) niet worden verwacht dat ze expert zijn op dit gebied. In plaats daarvan dienen ze ervoor te zorgen dat ze de goede mensen op de goede plaats hebben gezet door te investeren in nieuwe aanwas en in de training van huidig personeel. Daarvoor is een gestructureerd personeelsbeleid nodig, evenals een trainingsprogramma dat is verankerd in de organisatie. Naast de experts op het gebied van cybersecurity risicomanagement moet ook de rest van de organisatie een minimale kennisbasis hebben om goed met elkaar in gesprek te kunnen gaan over belangrijke risico’s voor de organisatie en hoe hiermee om te gaan. Daarbij gaat het voornamelijk over het hoe en waarom van de principes achter Risicomanagement (bijvoorbeeld middels een workshop gebouwd rond organisatie-specifieke scenario’s). Bij het aanstellen en trainen van mensen dient een balans gevonden te worden tussen de verschillende facetten van Risicomanagement. <
29
