Ik hoor het nog steeds regelmatig: 'Een risico-inventarisatie? Waarom moet dat? We implementeren gewoon de vereiste maatregelen en dan zijn we klaar, toch?'.
Drie argumenten om vandaag nog met risicomanagement te beginnen
Drie argumenten om vandaag nog met risicomanagement te beginnen. Een risico-inventarisatie? Waarom moet dat?
Als informatiemanager heb ik geleerd altijd te zoeken naar de vraag achter de vraag. Welk probleem ga ik nou voor je oplossen als ik dit voor je organiseer en is dat ook het probleem waar je mee zit? Als ik kijk naar Informatiebeveiliging & Privacy is een risico-inventarisatie het zoeken naar de echte problemen.
Drie argumenten om vandaag nog te beginnen
Ik geef drie belangrijke argumenten waarom je vandaag nog met risicomanagement moet beginnen.
1. Risicomanagement brengt focus aan
Zonder focus is Informatiebeveiliging & Privacy een gigantisch onderwerp. Als we de normen en wetgeving bekijken zijn er heel veel maatregelen waar je als organisatie mee aan de slag kan. Alles in één keer implementeren en vervolgens beheren kan je hele organisatie platleggen. Door te inventariseren waar je grootste risico's zitten, kun je prioriteren en faseren. En dit is nodig, je beschikt namelijk niet over een oneindige capaciteit. Start met de grootste risico's en eventueel laaghangend fruit (bijvoorbeeld risico's waarvoor de maatregelen al zo goed als gereed zijn). Daarnaast kun je na een risico-inventarisatie en een goed gedefinieerde risk-appetite ook de keuze maken om op bepaalde risico's helemaal geen actie te ondernemen.
2. Risicomanagement maakt Informatiebeveiliging & Privacy herkenbaar
Het insteken van Informatiebeveiliging & Privacy vanuit maatregelperspectief mist de aansluiting op (een groot deel van) de werkvloer. De werkvloer heeft nog geen gevoel welk probleem het op gaat lossen. Een risico-gebaseerde aanpak gaat juist uit van de dagelijkse praktijk en de realistische, concrete zorgen van de medewerkers. Door aan te sluiten op hun beleving wordt het een onderwerp waar medewerkers niet alleen iets mee moeten, maar waar ze vooral ook iets mee willen. Daarnaast zorgt betrokkenheid bij het risicomanagement vanuit de werkvloer op eenvoudige wijze voor verhoogde bewustwording op dit onderwerp.
3. Risicomanagement houdt je scherp
De wereld verandert, de risico's waar je als organisatie mee te maken hebt/krijgt ook. Door structureel aandacht te hebben voor risicomanagement wordt en blijft duidelijk waarom je niet 'klaar' bent met Informatiebeveiliging & Privacy. Je hebt een managementsysteem nodig om mee te bewegen met de wereld en te zorgen dat de maatregelen die je treft aansluiten op de risico's die je wil mitigeren.
Het begint met een eerste stap
Tenslotte geef ik nog graag de tip mee om ook dit niet groter te maken dan past bij je organisatie. Met een kleine inspanning kan je al heel veel inzicht verkrijgen. Zo helpen wij vanuit M&I/Partners regelmatig klanten met een eerste stap door een aantal workshops te organiseren. Hiermee brengen we in een aantal dagdelen snel de hoogste risico's in kaart en kan de organisatie zelf aan de slag om het vervolg in lijn met de uitkomsten op te pakken.
Heb je vragen over risicomanagement en Informatiebeveiliging & Privacy? Of ben je benieuwd hoe wij je kunnen helpen bij het zetten van de eerste stap? Neem dan vrijblijvend contact met mij op.
Reacties: 2
U moet ingelogd zijn om een reactie te kunnen plaatsen.
We hebben het in dit artikel dus over informatie-risicomanagement. Niet over Business Risk Management. Privacy valt onder het laatste, en is per definitie een directie-aangelegenheid.
Als je nu nog moet beginnen met risk-management dan ben je of net begonnen met je onderneming of je loopt hopeloos achter.