3 manieren om je risico analyses te verbeteren

Transcriptie

1 Fysieke beveiliging: Eerst denken dan Agile doen (bespaart je een hoop poen) Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van de gebaande paden en onderzoeken waar de organisatie op een efficiënte en effectieve wijze verbeterd kan worden zonder dat de organisatie daar last van ondervindt. De bedrijfsvoering, de primaire en secundaire processen en de aspecten die voor de continuïteit van de organisatie van belang zijn worden daarbij door mij steeds als uitgangspunt genomen. Op strategisch en tactisch niveau zijn mijn adviezen gebaseerd op de groei in volwassenheid van de organisatie. Mijn ervaring op het gebied van change management, risico management en integrale beveiliging binnen organisaties als het Ministerie van Defensie, de ABN AMRO Bank en KPN Telecom aangevuld met mijn universitaire opleiding Bedrijfswetenschappen en HBO opleiding Marketing Management helpen mij daarbij. Waarom Het is mijn doel om organisaties te helpen om continuïteit te waarborgen door (beveiligings)risico s en kansen zichtbaar en begrijpelijk te maken, zodat de impact op omzet, kosten en imago kan worden beheerst. Hoe Ik ben een strategische en tactische business consultant met een specialisatie in operationeel risicobeheer voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Wat Ik zorg ervoor dat organisaties hun doelen bereiken door Good Governance (goed bestuur) en maturity (volwassenheid) te waarborgen voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Dat doe ik door het ontwikkelen en implementeren van beveiligingsbeleid, door het evalueren en aanpassen van dat beleid en door middel van quick scans en audits van het beleid en de getroffen beveiligingsmaatregelen. Copyright Thimo Keizer, Vlaardingen 2017 Voor meer informatie:

2 Organisaties voeren veel risico analyses uit. Een goed idee, als je het mij vraagt want hoe weet je anders welke risico s je loopt en wat je er aan kunt doen om de onacceptabele risico s beheersbaar te maken? Daarbij wordt gebrainstormd over allerlei dreigingen die onderkend worden waarna de kans en de impact voor die risico s worden ingeschat. Iedereen kent de formule wel: risico = kans x impact Dat geheel leggen we vast in een risico register (een simpele Excel sheet of een volledig daarvoor ingericht systeem). Hiermee hebben we een totaal overzicht van de risico s die we onderkennen, althans, dat idee hebben we. Toch zie ik dat er in de praktijk nog veel verbeteringen mogelijk zijn omdat oorzaak, gevolg, doel en middel door elkaar worden gehaald, omdat kans en impact vervolgens op een subjectieve wijze worden bepaald en omdat de risico s niet SMART worden omschreven. Zonde want met een beetje bijstellen kunnen we de risico analyses sterk verbeteren. In dit hoofdstuk beschrijf ik 3 manieren waarmee we de risico analyses kunnen verbeteren door oorzaak, gevolg, doel en middel duidelijker te onderscheiden, door een uitbreiding te geven op de al jaren gebruikte risico formule en door kort in te gaan op hoe we de risico s SMARTER kunnen omschrijven. 2

3 Omdat ik me in de dagelijkse praktijk nu eenmaal veel met beveiliging bezig hou neem ik die risico s hier als voorbeeld. Maar bedenk dat hetgeen beschreven wordt ook op alle andere risico s van toepassing is (of kan zijn). Hou jij je bezig met een ander risico veld dan zou het best zo kunnen zijn dat je met een beetje creativiteit het onderstaande daar ook heel goed op kunt toepassen. Oorzaak, gevolg, doel en middel Neem een risico als inbraak tot een bedrijfsgebouw als voorbeeld. Een risico waar we, als het om fysieke beveiliging gaat, al snel aan zullen denken en waarbij iedereen die zich niet met fysieke beveiliging bezig houdt zich ook een beeld bij kan vormen. Op basis van een term als inbraak zou je al snel in allerlei beveiligingsmaatregelen kunnen gaan denken (weerbaarheid van wanden, ramen en deuren, cameratoezicht, inbraakdetectie om er zomaar een paar te noemen). Maar wat als inbraak niet het doel is maar een middel om een ander doel (het echte risico) te bereiken? Afhankelijk van het echte doel dat onderkend wordt, kunnen we bepalen of we het risico acceptabel of onacceptabel vinden. Voor die risico s die we onacceptabel vinden kunnen we de juiste maatregelen selecteren om dat risico tot een acceptabel niveau terug te brengen. Als het doel van de inbraak bijvoorbeeld is om geld of waardevolle zaken te stelen dan zullen we andere maatregelen moeten treffen dan dat het het doel van een zwerver is om via de inbraak een slaapplaats voor de nacht te hebben wat weer een totaal ander doel is dan dat iemand aan wil tonen hoe gemakkelijk het is om bij jou in te breken en dat graag met de media wil delen (denk aan imagoschade). De inbraak is dus niet het doel maar een middel. Aan de andere kant is inbraak er wel de oorzaak van dat er een gevolg (diefstal, slaapplaats, media-aandacht) plaats vindt. Zouden we oorzaak, gevolg, doel en middel door elkaar halen dan bestaat de kans dat we de verkeerde maatregelen nemen om het risico beheersbaar te maken (teveel maatregelen of juist te weinig maatregelen). 3

4 Tel daarbij op dat we liever niet aan symptoombestrijding doen (door slechts de gevolgen weg te nemen) maar dat we ons juist willen richten op het wegnemen van de oorzaken door te kijken naar het doel van een bepaalde dreiging. Kijken we naar inbraak als risico dan zouden we misschien één set aan beveiligingsmaatregelen treffen in de waan dat we daarmee alles afdekken. Maar kijken we naar de drie verschillende doelen van de inbraak (diefstal, slaapplaats, media-aandacht) dan zouden we misschien wel drie totaal verschillende sets aan maatregelen kunnen bedenken. Let op: ik gebruik bewust versimpelde en misschien wat absurde voorbeelden om je aan het denken te zetten. Val me dus niet aan op de voorbeelden die ik beschrijf maar gebruik ze om creatief naar je risico s te kijken. Voor diefstal zouden we de zaken op kunnen bergen in een kluis in een ruimte die voorzien is van ruimtedetectie. Voor de zwerver zouden we misschien buiten ons pand een beschut hoekje kunnen creëren waar hij kan slapen terwijl we voor de media-aandacht misschien juist de weerbaarheid van de buitengevel zouden willen verhogen. En als we alle drie de doelen onacceptabel vinden dan moeten we een uitgebreidere set aan maatregelen nemen om de risico's af te dekken. Denk hierbij ook nog eens terug aan de kans en de impact en wat we wel en niet acceptabel vinden. Stel dat we slechts een klein geldbedrag in huis hebben (bijvoorbeeld de fooienpot). Dan is de impact van een inbraak met als doel diefstal van geld een stuk kleiner dan de imagoschade die we oplopen als het doel is om aan te tonen hoe makkelijk het was om binnen te komen. Met dit in het achterhoofd. Kijk nu nog eens naar de risico s die jij hebt opgenomen in je risico register. Zijn het wel risico s? Wat is de oorzaak, wat is het gevolg, met welk doel en middel? Zien we geen risico s over het hoofd? En in hoeverre hebben we de juiste set(s) aan maatregelen getroffen om de oorzaken weg te nemen of de gevolgen te beperken? Een andere formule voor het bepalen van het risico Als we dan toch bezig zijn om onze manier van risico analyse te verbeteren, dan kunnen we nog wel even doorgaan. Een risico analyse is een methode waarbij nader benoemde risico's worden gekwantificeerd door het bepalen van de kans dat een dreiging zich voordoet en de gevolgen daarvan. We weten inmiddels dat we oorzaak, gevolg, doel en middel niet door elkaar moeten halen. Risico wordt normaliter berekend door de kans en de impact van een onderkende bedreiging te vermenigvuldigen. Daarbij kunnen we de kans en de impact schatten (kwalitatief) of op basis van allerlei statistieken berekenen (kwantitatief). In de praktijk wordt toch veelal een schatting gemaakt (bijvoorbeeld op basis van een 3-, 5- of 10- puntsschaal). De formule die hiervoor gebruikt wordt, is: Risico = Kans x Impact 4

5 Aan deze formule kleven wat nadelen. Ik benoem er twee. Het eerste nadeel is dat hetgeen we schatten al snel erg subjectief wordt. Wat de één hoog vindt, vindt de ander misschien juist laag. Zeker als beide personen een ander beeld hebben bij wat we nu precies onder het risico verstaan omdat oorzaak, gevolg, doel en middel door elkaar worden gehaald en omdat het risico niet SMART is omschreven (maar daarover later meer). Het tweede nadeel is dat we met deze twee variabelen weinig differentiatie in het risico landschap krijgen. Alles wordt al snel medium of hoog. Het gevolg hiervan is dat veel onderkende dreigingen een score krijgen die dicht bij elkaar ligt waardoor het prioriteren een lastige opgave wordt. Voor we het weten zijn we druk bezig om risico s te mitigeren waarbij we de focus op de belangrijkste risico s uit het oog verliezen. Als je duidelijker onderscheid in de risico s wilt maken dan geldt: Risico Kans x Impact Natuurlijk zou ik het hierbij kunnen laten maar als ik een bekende formule weerspreek dan moet ik ook gelijk met een betere oplossing komen. En begrijp me goed, het blijft altijd een model en een model is nu eenmaal een versimpelde weergave van de werkelijkheid (dus als jij liever een andere formule gebruikt dan ben je daar helemaal vrij in, het gaat mij er om dat je getriggerd wordt om na te denken over waarom je welke formule wel of niet zou gebruiken). Nu snel naar de simpele oplossing voor dit probleem: Door drie relevante variabelen toe te voegen wordt de spreiding van de risico s een stuk duidelijker zodat het eenvoudiger wordt om hoofd- van bijzaken te scheiden. De variabelen die ik daarom graag toe zou willen voegen aan de risico formule zijn: 1. Kritische waarde 2. Realisme 3. Kosten Een korte toelichting op de toegevoegde elementen: Kritische waarde Bepaal welke producten en diensten kritisch zijn voor het voortbestaan van de organisatie, kijk naar de processen die hiervoor van belang zijn en bepaal welke informatie, materieel en personen daarvoor belangrijk zijn. Hoe kritischer de waarde hoe hoger de score. Lijkt logisch, toch? Maar in de praktijk zie ik dat de kritische waarde nog wel eens vergeten wordt waardoor er al snel analyses uitgevoerd worden voor allerlei zaken die veel minder belangrijk zijn. Als je je risico s wilt bepalen moet je eerst bepalen welke producten, diensten en processen het meest kritisch zijn voor het voortbestaan van de organisatie. Realisme Bij realisme zou je kunnen denken dat dit al vervat zit in het begrip kans. Toch is er een verschil: de kans is de algemene kans dat een risico zich voordoet terwijl het realisme aangeeft hoe realistisch het is dat een risico de eigen organisatie zal treffen (de kans op een terroristische aanslag wordt tegenwoordig al snel hoog geschat, terwijl de vraag in hoeverre 5

6 het realistisch is dat het de eigen organisatie zal treffen misschien wel laag is). Ook hiervoor geldt hoe realistischer hoe hoger de score. Ook dit lijkt logisch. Bij kans houden we immers toch rekening met de kans dat het de eigen organisatie zal treffen? Als het goed is wel maar omdat we oorzaak, gevolg, doel en middel nog wel eens door elkaar halen en omdat we de risico s onvoldoende SMART beschrijven bestaat de kans dat het realisme onvoldoende wordt meegewogen bij het bepalen van de kans. Kosten De maatregelen die we nemen om een risico te beheersen kosten over het algemeen geld, veel geld. Het is belangrijk om bij het bepalen van maatregelen een kosten en baten afweging te maken. Het heeft weinig zin om iets met een waarde van 10,- te beveiligen met een kluis die 1.000,- kost. En ook dit lijkt weer logisch. Maar bij risico s speelt ook nog zoiets als emotie mee. Zodra we het idee krijgen dat een risico hoog is omdat we oorzaak, gevolg, doel en middel door elkaar halen en omdat we de risico s onvoldoende SMART beschrijven is de ratio ver te zoeken. Voor we het weten zijn we allerlei maatregelen aan het treffen die niet meer in verhouding staan tot de impact. Bij de kosten gebruiken we wederom dezelfde meerpuntsschaal maar dan in omgekeerde volgorde (1 is hoog, 3, 5 of 10 zijn laag) zodat ook de kosten op de juiste manier in de formule kunnen worden meegewogen. Een andere risico formule De risico formule komt er dan als volgt uit te zien: Risico = Kritische waarde x Realisme x Kans x Impact x Kosten Per object worden per bedreiging de kritische waarde, het realisme, de kans, de impact en de kosten bepaald waarna we het totaal kunnen berekenen. Op basis hiervan kunnen voor de hoogste risico s voor de meest kritische objecten de mitigerende maatregelen bepaald worden. Hoe je risico s SMARTER kunt omschrijven Een laatste verbetering die we toe kunnen voegen is om de risico s beter te omschrijven. De term SMART is een bekend begrip binnen organisaties om doelstellingen te formuleren. Het wordt gebruikt voor organisatie brede doelstellingen maar bijvoorbeeld ook bij het bepalen van de doelstellingen voor projecten of taken die aan medewerkers worden gegeven. De letters van SMART staan voor: 1. Specifiek 2. Meetbaar 3. Acceptabel 4. Realistisch 5. Tijdgebonden 6

7 In het licht van risico bepaling kunnen we het begrip goed hergebruiken om de onderkende risico s SMART te maken. Ik maak het begrip liever nog wat SMARTER door er twee begrippen aan toe te voegen die de letters ER verklaren: 6. Expliciet 7. Resultaatgericht Ik ga er vanuit dat je de letters van SMART kent (en anders moet je ze maar even Googlen). De laatste twee punten zal ik wel kort toelichten: Expliciet Waar is de beschrijving van het risico vastgelegd? Wat we in de praktijk zien is dat een risico wel specifiek gemaakt wordt maar niet altijd expliciet wordt beschreven (in termen van SMARTER). Het verschil mag niet zo groot lijken maar is dat wel. Met specifiek wordt bedoeld dat het één en ander eenduidig is (denk aan oorzaak, gevolg, doel en middel). Met expliciet wordt bedoeld dat de risico s ook echt vast worden geleden in een risico register. Als er bijvoorbeeld een risico onderkend is dan moet die ook expliciet worden vastgelegd, ook als het een risico is dat we accepteren. Toch zien we vaak dat de risico s van de organisatie niet of moeilijk in een integraal overzicht te vinden zijn (er is vast wel een risico register, maar liggen alle onderkende risico's daarin vast?). Het gevolg hiervan is dat de ene afdeling druk doende kan zijn om een door hen als hoog geclassificeerd risico weg te werken terwijl dat risico, bezien in het licht van andere risico s misschien wel peanuts is. Neem als voorbeeld nog een keer de inbraak in een gebouw. Dat kan voor één gebouw in een bepaalde regio als hoog worden geschat als we dat gebouw als focus nemen. Maar als we over filialen beschikken dan is het risico voor de totale bedrijfscontinuïteit laag. Resultaatgericht Welke invloed heeft het risico op de continuïteit van de organisatie? Met resultaatgericht wordt bedoeld of het onderkende risico ook echt een negatieve invloed kan hebben op de continuïteit van de organisatie. Risico s die direct invloed hebben op de omzet, de kosten en/of het imago of die daar indirect invloed op hebben omdat ze een risico vormen voor de kritische producten, diensten, processen, projecten of assets van de organisatie verdienen de meeste aandacht. Resultaatgericht hangt dus samen met de kritische waarde zoals die aan de voorgestelde formule is toegevoegd. Kortom Eerlijk is eerlijk: het lijkt misschien ingewikkeld maar eigenlijk is het heel eenvoudig. We maken de beschrijving van de risico s SMARTER waarbij we goed onderscheid maken tussen oorzaak, gevolg, doel en middel. Op basis daarvan kunnen we door drie variabelen (kritische waarde, realisme en kosten) aan de bekende risico formule toe te voegen een betere inschatting maken van de voor de eigen organisatie belangrijkste risico s. Ik ga er vanuit dat je al een soort van risico register hebt. Deze kun je prima hergebruiken om tegen de bovengenoemde 3 principes aan te houden. Het bijkomende voordeel is dat je dan, ook op het gebied van risico management, aan continue verbetering doet. 7