Risicomanagement aan het zwembad

Expertblogs

Op een bloedhete zomerdag op onze vakantiebestemming in het zuiden van Frankrijk wilde mijn familie maar 1 ding: een verkoelende duik in het zwembad. Eenmaal bij het zwembad aangekomen, bleek dat er geen kluisjes waren om onze waardevolle spullen in te stoppen. Wat doe je dan met die telefoon, bankpasjes, autosleutels die je liever ook niet onbeheerd in de tent op de camping achterlaat? Dan maar onder een handdoekje op het ligbed en maar een beetje in de gaten houden. Toch zat me dit niet lekker. Zo veel waardevolle spullen zo slecht beveiligd.

Ook de dagen daarna wilde ik de tas met spullen natuurlijk niet uit het oog verliezen. Spelen met de kinderen, van de glijbaan, een potje waterpolo, de tas móest in het zicht blijven. Dit drukte toch wel erg sterk op mijn vakantieplezier. Tot het moment dat ik het “probleem” vanuit risicomanagementperspectief ging bekijken.

Wat probeer ik hier nu eigenlijk te bereiken?

Het doel van vakantie en zwemmen is voor mij (zoals voor de meesten) plezier beleven en ontspannen. Door de maatregel (het constant in het zicht houden van de tas) om het risico van het verlies van mijn waardevolle spullen te voorkomen, haalde ik mijn vakantiedoelen (ontspannen en plezier maken) niet. Als het niet lukt om je doelen te halen, heb je als risico-eigenaar keuzes te maken! Kort door de bocht zijn er vanuit risicomanagementperspectief dan 2 opties:

  1. Je kies voor minder veilige maatregelen en accepteert meer restrisico’s zodat je je doelen alsnog kunt halen.
  2. Je accepteert de impact van de maatregelen op de doelen en stelt deze omlaag bij.

Bij cyberrisico’s zien we vaak dezelfde risicominimalisatie-reflex

Het bovenstaande voorbeeld heeft paralellen met de manier waarop we nadenken over risicomanagement binnen organisaties:

  • Gebruik van producten uit bepaalde landen? > NIET DOEN!
  • Cloud? > Nee, toch liever onprem.
  • BYOD > Echt niet! Op zijn minst CYOD!

Zolang dit soort keuzes geen impact hebben op de organisatiedoelen zijn dit prima keuzes. Maar net als de situatie bij het zwembad zijn we ons te weinig bewust van de negatieve impact van dergelijke maatregelen op de organisatiedoelen. We kiezen voor het “in het zicht houden van de tas” maar hebben onvoldoende aandacht voor de impact hiervan op de doelen die we proberen te realiseren.

“Hoe kan je nou zo dom zijn?”

Een risico (deels) accepteren is geen makkelijke keuze. Op het moment dat het fout gaat hoor ik iedereen al roepen: “Hoe kan je nou zo dom zijn om die tas met al die spullen onbeheerd achter te laten in een vol zwembad?” Toch is dat waar ik uiteindelijk bewust voor koos.

Mijn vakantiedoelen waren te belangrijk en ik wilde hier geen concessies in doen. Dus moest ik kiezen voor optie 1: minder veilige maatregelen met risico’s als gevolg. De tas onder een handdoekje, de spullen niet openlijk gebruiken in het zwembad. En hopen dat dit voldoende is. 

Risico’s zijn oké

Als risico-eigenaar of risicoleider binnen een organisatie zou je eens kunnen kijken hoe vaak je in de risicominimalisatie-reflex schiet. Als je merkt dat hier sprake van is, maak dan eens een echte risicoanalyse waarbij je ook duidelijk bent over de negatieve impact van de maatregel op de organisatiedoelen. Denk dan bijvoorbeeld ook aan de impact van het beperken van functionaliteiten die essentieel zijn voor bijvoorbeeld laagdrempelige samenwerking. Of de kosten die de maatregelen met zich meebrengen.

Ik hoop dat je je als risico-eigenaar op het moment dat je tot de conclusie komt dat de impact van de maatregel te groot is ook bewust en openlijk durft te kiezen om restrisico’s te accepteren, met mooie resultaten voor de organisatie als gevolg. Net zoals ik uiteindelijk toch een goede en ontspannen vakantie heb gehad. 


Geschreven door:
Ronald van der Zon
CISSP CISA CRISC

Meer lezen over risicomanagement en risico-eigenaarschap?
Zie onze factsheet Risico's beheersen: de waarde van informatie als uitgangspunt.

Reactie toevoegen

U kunt hier een reactie plaatsen. Ongepaste reacties worden niet geplaatst. Uw reactie mag maximaal 2000 karakters tellen.

* verplichte velden

Uw reactie mag maximaal 2000 karakters lang zijn.

Reacties

Er zijn nu geen reacties gepubliceerd.