Ik hoor het nog steeds regelmatig: 'Een risico-inventarisatie? Waarom moet dat? We implementeren gewoon de vereiste maatregelen en dan zijn we klaar, toch?'.
Als informatiemanager heb ik geleerd altijd te zoeken naar de vraag achter de vraag. Welk probleem ga ik nou voor je oplossen als ik dit voor je organiseer en is dat ook het probleem waar je mee zit? Als ik kijk naar Informatiebeveiliging & Privacy is een risico-inventarisatie het zoeken naar de echte problemen.
Ik geef drie belangrijke argumenten waarom je vandaag nog met risicomanagement moet beginnen.
Zonder focus is Informatiebeveiliging & Privacy een gigantisch onderwerp. Als we de normen en wetgeving bekijken zijn er heel veel maatregelen waar je als organisatie mee aan de slag kan. Alles in één keer implementeren en vervolgens beheren kan je hele organisatie platleggen. Door te inventariseren waar je grootste risico's zitten, kun je prioriteren en faseren. En dit is nodig, je beschikt namelijk niet over een oneindige capaciteit. Start met de grootste risico's en eventueel laaghangend fruit (bijvoorbeeld risico's waarvoor de maatregelen al zo goed als gereed zijn). Daarnaast kun je na een risico-inventarisatie en een goed gedefinieerde risk-appetite ook de keuze maken om op bepaalde risico's helemaal geen actie te ondernemen.
Het insteken van Informatiebeveiliging & Privacy vanuit maatregelperspectief mist de aansluiting op (een groot deel van) de werkvloer. De werkvloer heeft nog geen gevoel welk probleem het op gaat lossen. Een risico-gebaseerde aanpak gaat juist uit van de dagelijkse praktijk en de realistische, concrete zorgen van de medewerkers. Door aan te sluiten op hun beleving wordt het een onderwerp waar medewerkers niet alleen iets mee moeten, maar waar ze vooral ook iets mee willen. Daarnaast zorgt betrokkenheid bij het risicomanagement vanuit de werkvloer op eenvoudige wijze voor verhoogde bewustwording op dit onderwerp.
De wereld verandert, de risico's waar je als organisatie mee te maken hebt/krijgt ook. Door structureel aandacht te hebben voor risicomanagement wordt en blijft duidelijk waarom je niet 'klaar' bent met Informatiebeveiliging & Privacy. Je hebt een managementsysteem nodig om mee te bewegen met de wereld en te zorgen dat de maatregelen die je treft aansluiten op de risico's die je wil mitigeren.
Tenslotte geef ik nog graag de tip mee om ook dit niet groter te maken dan past bij je organisatie. Met een kleine inspanning kan je al heel veel inzicht verkrijgen. Zo helpen wij vanuit M&I/Partners regelmatig klanten met een eerste stap door een aantal workshops te organiseren. Hiermee brengen we in een aantal dagdelen snel de hoogste risico's in kaart en kan de organisatie zelf aan de slag om het vervolg in lijn met de uitkomsten op te pakken.
Heb je vragen over risicomanagement en Informatiebeveiliging & Privacy? Of ben je benieuwd hoe wij je kunnen helpen bij het zetten van de eerste stap? Neem dan vrijblijvend contact met mij op.
NIS2-Wetgeving, wat staat je als organisatie nou te wachten? In dit artikel gaan we in op de achtergrond en context van NIS2.
Lees verder
