Risico management 2.0

Transcriptie

1 0 Risico management 2.0 De wereld om ons heen verandert wat betekent dat voor risicomanagement

2 1 Waar gaat deze presentatie over De wereld om ons heen verandert Waarom heeft dat invloed op risicomanagement? Welke oplossingsrichtingen zijn er Deze presentatie gaat niet over: Hoe implementeer je risicomanagement 2.0?

3 2 Valkuilen alleen risicoanalyse Risicomanagement ACT PLAN CHECK DO RISICO scope verantwoordelijke RISICO Rapportage over uitvoering niet opgelijnd met beleid? Foto: ANP

4 3 Wat verandert er dan om ons heen?

5 4 Voorbeeld ontwikkeling bij de overheid Voorheen A B Loket functie Gemeente Nu A B Loket functie Gemeente C D C E D Services

6 5 Een serviceleverancier levert vrijwel zeker aan meerdere afnemers Nu A Loket functie Gemeente?? B C E D

7 6 Van keten optimalisatie naar onderdeel optimalisatie

8 7 Waar gaat het naar toe? A B C D G F E Gevolg: aanpak van cybersecurity wordt ook complexer!

9 8 Dat wordt versterkt door toenemende dynamiek A B C D G F E

10 9 Dat wordt versterkt door toenemende dynamiek A B C D G F E

11 10 Tegengestelde bewegingen versterken de problematiek Bestuurlijke invloed Technische afhankelijkheid

12 11 Waarom is dit belangrijk voor Informatiebeveiliging? Business stuurt functionaliteit op grensvlak service Assurance door ketenbenadering

13 12 Is dat dan een slechte ontwikkeling? Grip op functionaliteit Kosten efficiency Redundantie, uitwisselbaarheid Minder grip op assurance Minder expertise in eigen huis Bewustzijn hierover neemt toe Cybersecurity: Bij toenemende verwevenheid van ICT en bestuurlijk opdeling, grip krijgen op daaruit voortvloeiende dreigingen en risico s.

14 13 Wat betekent dat voor risicomanagement? A RISICO scope verantwoordelijke RISICO C B D G F E

15 14 Maar we doen toch al risicomanagement! Gewetensvraag: waar bestaat het risicomanagement proces uit? Uitvoeren risicoanalyse(s) Bewaken dat maatregelen geïmplementeerd worden. Stoppen we de energie wel in het juiste proces? Maatregelmanagement vs risicomanagement alleen risicoanalyse Risicomanagement ACT PLAN CHECK DO

16 15 En als we dan inzoomen op een onderdeel A B

17 16 We maken nu toch al afspraken! Maar helpen die afspraken om je risico s te managen? Is de rapportage die je krijgt over je afspraak voldoende om je risico s te managen? Bijvoorbeeld: De beschikbaarheid is conform de afgesproken SLA Wat zegt dat over mogelijke risico s? Rapportage over uitvoering niet opgelijnd met beleid?

18 17 Wat is er dan wel nodig? Een nieuw type afspraak die iets zegt over het vertrouwen in het nakomen van die afspraak. Het vertrouwen is mede bepalend voor het vaststellen van een risico binnen scope A A Afspraak Rapportage B

19 18 Voorbeelden van nieuwe type afspraken! Meetbaar maken of een leverancier zijn risicomanagement proces afdoende kan versnellen. Meetbaar maken hoe en hoe snel met kwetsbaarheden omgegaan wordt.

20 19 Met die nieuwe type afspraken zijn we er nog niet B kan zaken over het hoofd zien B is ook niet verantwoordelijk voor de risico s van A Gebruik externe triggers om risicomanagement proces te voeden A Incident(en) met service die vergelijkbaar is met B B

21 20 Wat betekent dit allemaal voor privacy risico s? A B G C F D E

22 21 Conclusies Op basis van de geschetste context: Huidige vorm risicomanagement in afnemende mate effectief Voor dynamische omgevingen Waar afhankelijkheid groot is Verantwoordelijkheid verdeeld is Oplossingsrichtingen: Energie stoppen in juiste proces Nieuw type afspraken Nieuwe vormen van controle en toetsing

23 22 Andre Smulders andre.smulders@tno.nl